PRCTICA 2 - REDES VPN

Administracin de la seguridad
Dr. Eduardo de la Cruz Gmez

Ali Miguel Daz Salgado

Guillermo Arellanes Garca
Eduardo Ortiz Galeana

08320079
07320298
06320041

15/11/2011

NDICE
INTRODUCCIN...3
MARCO TERICO6
ANTEDECEDENTES.7
EVOLUCIN DE LAS REDES PRIVADAS VIRTUALES....7
METODOLOGA8
PPTP...9
OBSERVACIONES.18
IPSEC19
DESARROLLO.21
CONCLUSIN...40
LINKOFGRAFA41

INTRODUCCION
2

Actualmente el trmino VPN o red privada virtual puede aplicarse a varios conceptos, ya
que dependiendo del contexto, una VPN puede ser entendida como una red empresarial o
una simple conexin entre PCs. Si bien este trmino entonces puede ser utilizado con
diversos significados, este documento utiliza el trmino VPN definindolo como una red
privada que utiliza virtualmente los recursos compartidos o pblicos de los
proveedores de servicios.
Entonces una red privada (red dedicada, accedida y administrada por sus propietarios),
est constituida por recursos compartidos o pblicos (enlaces dedicados, circuitos
virtuales y VPNs IP) de los proveedores de servicios, por lo que estos ltimos entienden a
esa red privada como virtual por utilizar recursos compartidos.
Los proveedores de servicios (Service Providers) han brindado sus productos de redes
privadas virtuales (VPN: Virtual Prvate Network) a sus empresas clientes desde la
introduccin de redes basadas en TDM y redes de conmutacin de paquetes de datos
X.25. Ms recientemente, las redes basadas en Frame Relay y ATM con mltiples clases
de servicios han remplazado al X.25 y lneas dedicadas como TDM. Los proveedores de
servicios contaban entonces con productos de VPN con redes fijas o basadas en la tasa
de utilizacin de sus vnculos.
El trmino de VPN ha sido utilizado por los proveedores de servicios para identificar
circuitos virtuales de un grupo de usuarios desde la creacin y desarrollo de los servicios
por X.25, Frame-Relay y ATM.
Recientemente, el trmino comenz a utilizarse por administradores de redes de
empresas para identificar un grupo cerrado de usuarios con IP privadas. Por otro lado los
clientes buscan unificar sus servicios de datos, voz y video. Ellos quieren servicios de
administracin de IP con servicios de nivel agregado (SLAs: Service-Level Agreements) y
una calidad de servicio garantizada (QoS: Quality of Service).
La VPN basada en IP es rpidamente adoptada por la facilidad de consolidar servicios de
datos, voz y video. Muchos proveedores de servicios estn ofreciendo aplicaciones de
valor agregado sobre la basedel transporte de sus redes VPNs. Servicios emergentes
como e-commerce, hosting, Voz sobre IP y aplicaciones de multimedia podranpermitir a
los proveedores de servicios generar nuevas ganancias y mantener una ventaja
competitiva por un largo tiempo. Solamente dos arquitecturas de VPNs han evolucionado
IP Security (IPSec) y Multiprotocol Label Switching (MPLS), estas tecnologas son
diferentes pero complementarias.
La VPN IP es la base que las compaas pueden utilizar para desarrollar o administrar
servicios de
Valor agregado, incluyendo aplicaciones y almacenamiento de datos de redes
comerciales y servicios de telefona. En redes empresariales, las redes internas basadas
en IP (Intranets) han cambiado fundamentalmente la forma en que las compaas
conducen sus negocios. Las compaas estn cambiando sus aplicaciones de negocio a
sus Intranets para extenderse sobre redes de mayor alcance (WAN: Wide-Area Network).
Las compaas estn tambin adoptando la necesidad de sus clientes, proveedores, y
socios utilizando Extranets (una Intranet que agrupa mltiples negocios). Con las
Extranets, las compaas reducen los costos de de los procesos de negocios facilitando la
automatizacin de los procesos. Para tomar ventaja Tesinas Transmisin de voz, video y
datos en Redes Privadas Virtuales VPN/MPLS de sus oportunidades de negocio, los
proveedores de servicios deben contar con una infraestructura de IP VPN que permita
ofrecer servicios de redes privadas sobre una infraestructura compartida.
Este documento desarrolla el ltimo concepto en redes privadas virtuales utilizadas por
los proveedores de servicios VPN/MPLS, la tecnologa en constante evolucin que
permite desarrollar redes privadas virtuales sobre redes IP en forma sencilla, con la
3

ventaja de integrar todos los servicios IP y asegurar niveles de acuerdo de servicios con
los clientes.
Servicios existentes
Los mtodos para soportar los requerimientos de redes de datos privadas, consistieron
por un largo tiempo de tecnologas como lneas privadas y frame relay. Los servicios
brindados por estas tecnologas tienen sus ventajas y desventajas, detalladas en la
siguiente tabla:

Las empresas que mantienen sus redes de datos basadas en estos tipos de tecnologas,
encuentran que estas desventajas sealadas en el cuadro anterior, pueden realmente
estancar su crecimiento, debido a que las actuales tendencias impactan directamente a
sus negocios:
Presin sobre los costos: Reduccin de costos de capacidad y operacin; mejorando la
eficiencia e incrementando la performance.
Utilizacin de ancho de banda a bajo costo: Creciente demanda de banda a bajo precio,
como son acceso a Internet por banda ancha utilizando tecnologa DSL o cable.
Incremento del desarrollo de aplicaciones de software basadas en IP: Crecimiento en
aplicaciones basadas en IP, como aplicaciones de negocio, Web, e-mail y aquellas que
permiten la implementacin de voz y video sobre IP.
Incremento en la interconexin de empresas: La necesidad de intercambiar informacin
y aplicativos de software, que permiten el negocio entre empresas business-to-business
y adems utilizar esta posibilidad como una estrategia de diferenciacin.
Estas tendencias son algunas de las tantas que abren un nuevo paradigma en la
implementacin
de las redes privadas y por las cuales los proveedores de servicios estn trabajando en
ofrecer nuevos servicios.
4

Nuevos servicios
Actualmente, los proveedores de servicios de red estn trabajando en soportar los nuevos
requerimientos de sus clientes. Estos no solo requieren performance para los datos que
ellos consideran crticos para su negocio, sino que tambin quieren soportar aplicaciones
de tiempo real como lo son la voz y el video. La red adems debe proveer de seguridad
para la conectividad de todos los empleados, socios y Tesinas Transmisin de voz, video y
datos en Redes Privadas Virtuales VPN/MPLS proveedores. Actualmente los clientes
quieren todo esto y adems reducir costos manteniendo el mismo nivel de seguridad.
Las redes del tipo MPLS le permiti a los Carriers y proveedores de servicios ofrecer a
sus clientes, el transporte de sus redes de datos, ya no utilizando redes tradicionales de
lneas privadas y Frame Relay/ATM, sino evolucionando a redes VPN-IP y permitindoles
a las empresas varios

MARCO TERICO
Antecedentes.
En los ltimos aos Internet ha evolucionado en una gran red, inspirando adems el
desarrollo de una variedad de aplicaciones en negocios y mercados de consumo. Estas
nuevas aplicaciones han conducido al incremento de la demanda de ancho de banda
5

garantizado en el rea principal de las redes (backbone) de los proveedores de servicios

(Carriers y services providers).
El desarrollo inicial de Internet est basado en el transporte de datos a travs de la red;
adicionalmente a los servicios tradicionales de datos provistos por Internet, nuevos
servicios de voz y multimedia estn siendo desarrollados y puestos en produccin, e
Internet ha emergido como la red de eleccin para proveer dichos servicios.
Por el contrario, las demandas aplicadas a la red en trminos de velocidad y ancho de
banda debido a las nuevas aplicaciones y servicios, han disminuido abruptamente los
recursos existentes de la infraestructura de Internet. Adicionalmente al problema de los
recursos, se presenta otro desafi relativo al transporte de bits y bytes sobre un
backbone para proveer clases de servicios diferenciadas a los usuarios (CoS); por otro
lado el crecimiento exponencial en el nmero de usuarios y el volumen de trfico aade
otra dimensin al problema.
En el esquema de las redes convencionales IP (IP packet forwarding), los routers analizan
la direccin IP destino contenida en el encabezado de red de cada paquete a medida que
el mismo atraviesa la red desde su origen hasta su destino final. Cada router analiza la
direccin IP destino independientemente en cada sitio de la red. Los protocolos de ruteo
dinmicos o las configuraciones estticas dentro de los routers construyen la base de
datos (tabla de ruteo o routing table) necesaria para determinar la direccin destino y
consecuentemente su prximo destino o accin a tomar. El proceso implementado en el
ruteo IP tradicional tambin se llama ruteo unicast salto por salto basado en destino
(hop-by-hop destination-based nicas routing).
A pesar de ser exitoso y ampliamente desarrollado, ciertas restricciones que han sido
detectadas tiempo atrs prevalecen en este mtodo de envo de paquetes (forwarding
packet) que disminuye la flexibilidad de la red. Por lo tanto nuevas tcnicas son
requeridas para contrarrestar los inconvenientes presentados y al mismo tiempo expandir
las funcionalidades de la infraestructura de una red basada en protocolo IP.
Debido a los aspectos expuestos resulta evidente la necesidad de contar con redes
basadas en tecnologas capaces de afrontar los aspectos mencionados y proporcionar
resultados ventajosos.
Los aspectos econmicos siempre presentan un papel importante en la seleccin e
implementacin de las redes de nueva generacin. Los Carriers y services providers
que poseen redes ATM (Asynchronous Transfer Mode) o Frame-Relay no estn
dispuestos a remplazar por completo su infraestructura, como consecuencia de esto,
cualquier implementacin de una tecnologa de nueva generacin deber tener en cuenta
la utilizacin de equipamiento y tecnologas existentes tales como ATM, Frame-Relay e IP.
MPLS (Multiprotocol Label Switching) o conmutacin de etiquetas de mltiples protocolos
es una tecnologa emergente apuntando a solucionar las limitaciones presentes en las
redes actuales bajo tcnicas de packet forwarding (redes IP) tales como velocidad,
escalabilidad, manejo de calidad de servicio (QoS), y manejo de trafico para mejora del
rendimiento de la prestacin de la red. MPLS proporciona manejo de ancho de banda y
servicios requeridos para las futuras redes backbone (ncleos principales) basadas en
Protocolo IP (Internet Protocol).
MPLS afronta asuntos referentes a la escalabilidad (habilidad para crecer en
determinadas proporciones), ruteo basado en QoS y mtricas de calidad de servicio;
adems posee la particularidad de soportar redes de enlaces (Capa 2 del modelo OSI)
existentes tales como Modelo de Transferencia Asincrnica (ATM: Asynchronous Transfer
Mode) y Frame-relay.
6

Evolucin de las redes privadas virtuales

Los proveedores de servicios han estado ofreciendo servicios de VPN (Virtual Prvate
Network) a
Sus clientes corporativos desde la concepcin de las redes TDM (lneas dedicadas puntoa-punto) y las redes de paquetes X.25. Ms recientemente, dichas redes fueron
reemplazadas por redes Frame-Relay y ATM con mltiples clases de servicio. El trmino
de VPN ha sido empleado por los proveedores de servicios para identificar a los grupos
cerrados de circuitos virtuales de usuario desde la creacin de las redes X.25, FrameRelay, etc.; y ms recientemente, el trmino ha sido usado para identificar grupos de
usuarios IP privados. Los clientes corporativos han reconocido las ventajas que
proporciona la tercerizacin del servicio outsourcing de sus redes de servicios IP y la
consolidacin de los servicios de voz, datos y video.
Al mismo tiempo, solicitan la administracin de dichos servicios IP con acuerdos de nivel
de servicio Extremo a extremo (SLA: service-level agreements) y calidad de servicio
garantizado (QoS).
La VPN IP ha estado convirtindose en la base de la provisin de servicios de voz, datos
y video. Muchos proveedores de servicios se encuentran ofreciendo aplicaciones de valor
agregado sobre sus redes VPN de transporte. Los servicios emergentes, tales como ecommerce, aplicaciones de hosting (almacenamiento), y aplicaciones de multimedia,
permitirn a los proveedores de servicios generar una nueva ganancia incremental y
mantener una ventaja competitiva a largo plazo. Dos tecnologas nicas y
complementarias de arquitecturas de VPN tales como IPSec (IP Security) y MPLS
(Multiprotocol Level Switching) forman la base predominante para la provisin de servicios
consolidados.
La caracterstica de VPN IP para MPLS permite desarrollar redes backbone de servicios
escalables
Mediante VPNs de capa de red IPv4. Mediante una VPN IP una compaa puede
desarrollar y administrar servicios de valor agregado, incluyendo aplicaciones de datos y
servicios de telefona para negocios.
En las redes corporativas las Intranets basadas en IP han cambiado la manera de
conducir los
negocios empresariales, las compaas estn migrando sus aplicaciones comerciales
hacia su Intranet para luego extender la misma hacia redes extendidas (WAN). Al mismo
tiempo, las compaas unifican las necesidades de sus clientes, proveedores y socios por
medio de la implementacin de Extranets, mediante las cuales, las compaas facilitan la
reduccin de costos de procesos de negocios, proporcionando cadenas de
automatizacin, intercambio electrnico de la informacin (EDI), etc. Para tomar ventaja
de esta oportunidad de negocio, los proveedores de servicios debern poseer una
infraestructura de VPN IP capaz de proporcionar servicios a redes probadas sobre una
red compartida.
METODOLOGA
Para desarrollar la prctica utilizamos las siguientes herramientas algunas las tuvimos que
instalar:
Instalacin de VWware Workstation.
Instalacin de Wiondows server 2003.
7

 Instalacin de Windows xp sp1.

Instalacin de wireshark.
Uso del internet Explorer.
Uso de un modem.
Uso de cables de red.

PPPT
Como protocolo de tnel, PPTP encapsula datagramas de cualquier protocolo de red en
datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de
este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a travs de
una red IP, como Internet.

PPTP fue diseado para permitir a los usuarios conectarse a un servidor RAS desde
cualquier punto en Internet para tener la misma autenticacin, encriptacin y los mismos
accesos de LAN como si discaran directamente al servidor. En vez de discar a un modem
conectado al servidor RAS, los usuarios se conectan a su proveedor y luego llaman al
servidor RAS a travs de Internet utilizando PPTP.
Existen dos escenarios comunes para este tipo de VPN:

el usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el

servidor RAS.
el usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el
servidor RAS y, por lo tanto, debe iniciar la conexin PPTP desde su propia
mquina cliente.

Para el primero de los escenarios, el usuario remoto estable una conexin PPP con el
ISP, que luego establece la conexin PPTP con el servidor RAS. Para el segundo
escenario, el usuario remoto se conecta al ISP mediante PPP y luego llama al servidor
RAS mediante PPTP. Luego de establecida la conexin PPTP, para cualquiera de los dos
casos, el usuario remoto tendr acceso a la red corporativa como si estuviera conectado
directamente a la misma.
La tcnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing
Encapsulation (GRE), que puede ser usado para realizar tneles para protocolos a travs
de Internet. La versin PPTP, denominada GREv2, aade extensiones para temas
especficos como Call Id y velocidad de conexin.
El paquete PPTP est compuesto por un header de envo, un header Ip, un header
GREv2 y el paquete de carga.
El header de envo es el protocolo enmarcador para
cualquiera de los medios a travs de los cuales el paquete viaja, ya sea Ethernet, frame
relay, PPP. El header IP contiene informacin relativa al paquete IP, como ser, direcciones
de origen y destino, longitud del datagrama enviado, etc. El header GREv2 contiene
informacin sobre el tipo de paquete encapsulado y datos especficos de PPTP
concernientes a la conexin entre el cliente y servidor.
Por ltimo, el paquete de carga es el paquete encapsulado, que, en el caso de PPP, el
datagrama es el original de la sesin PPP que viaja del cliente al servidor y que puede ser
un paquete IP, IPX, NetBEUI, entre otros.
Para la autenticacin, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y aceptar
cualquier tipo, inclusive texto plano. Si se utiliza CHAP, standard en el que se intercambia
un secreto y se comprueba ambos extremos de la conexin coincidan en el mismo, se
utiliza la contrasea de Windows NT, en el caso de usar este sistema operativo, como
secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliacin de
CHAP. Para la tercer opcin, el servidor RAS aceptar CHAP, MS-CHAP o PAP
(Password
Autenthication
Protocol),
que
no
encripta
las
contraseas.
Para la encriptacin, PPTP utiliza el sistema RC4 de RSA, con una clave de sesin de 40
bits.

CIFRADO DE UNA VPN

Asegurarse de que su VPN sea seguro, limitando el acceso de usuario es solamente de
una pieza de la ecuacin; una vez que autentiquen al usuario, los datos mismos necesitan
ser protegidos tambin. Sin un mecanismo para proporcionar aislamiento de datos, la
informacin que atraviesa el canal ser transmitida en el texto claro, que se puede ver o
robar fcilmente con un succionador de paquete. La mayora del uso moderno de VPNs
utiliza una cierta clase de sistema criptogrfico, para envolver datos en el texto de la cifra,
que entonces es descifrado en el texto legible por el recipiente.
El tipo de cifrado disponible se vara altamente. Sin embargo, hay dos sistemas
criptogrficos bsicos: simtrico y asimtrico. La criptografa simtrica tiende para ser
mucho ms rpida desplegar, y se utiliza comnmente intercambiar los paquetes grandes
de datos entre dos partidos que se conozcan, y utiliza la misma llave privada para tener
acceso a los datos.
La mayora de los dispositivos de VPN, si hardware o software-basado, utilizan una cierta
clase de esquema del cifrado, y pueden variar en coste segn la fuerza del sistema
usado. Hay muchos diversos productos para cifrar hace un tnel, de las compaas
confiadas en como el punto de control Software, Digital Equipment Corp., tecnologas de
la estrella de la maana, y PSINet, por ejemplo. Es importante tener presente que la
adicin del cifrado de tercera persona fuerte a su VPN puede retrasar velocidades de la
transmisin.
Algunos productos tambin ofrecen el cifrado selectivo, permitiendo que los
administradores decidan a si o que no cifren un subconjunto de trfico, basado en los
datos que son alcanzados. En algunos casos, usted puede elegir aplicar un algoritmo ms
resistente a los paquetes particularmente importantes que salen el servidor. La
combinacin del control selectivo del cifrado y de acceso permitira que el usuario creara
una sesin cifrada especfica al uso de VPN de la opcin, asegurando la seguridad de los
datos as como garantizar seguridad de la red.

Por qu es importante la seguridad en una VPN?

La palabra clave en "redes privadas virtuales" es privada. Lo ltimo que un negocio
deseara, es mantener en extremo riesgo un sistema corporativo de informacin privada,
que pudiera caer en las manos de algn hacker adolecente, o peor, la competencia.
Afortunadamente, una VPNs se considera extremadamente segura, a pesar de usar redes
pblicas.
10

Dado el VPNs requiere la configuracin de un dispositivo del acceso, software o

hardware-basado, al sistema para arriba un canal seguro. Un usuario al azar no puede
abrirse una sesin simplemente a un VPN, mientras que una cierta informacin es
necesaria permitir un acceso de usuario alejado a la red, o incluso comenzar un apretn
de manos de VPN. Cuando est utilizado conjuntamente con la autentificacin fuerte,
VPNs puede evitar que los intrusos authentiquen con xito a la red, incluso si podan
capturar de alguna manera una sesin de VPN.
El protocolo al hacer un tnel de Punto-a-Punto (PPTP) o acoda 2 que la expedicin (L2F)
est tambin disponible, y aunque solamente un puado de vendedores del firewall apoya
estos protocolos de la seguridad, son parte de la razn por la que no hay estndar
universal aceptado de la corriente.
Protocolos VPN

Protocolos estndar:
o PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para
la encapsulacin PPP sobre una capa de Ethernet, que ofrece
autenticacin, cifrado y compresin.
o

L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo de

IETF como el heredero aparente de los protocolos PPTP y L2F. Este
protocolo no ofrece seguridad, para lo que se suele usa en conjuncin con
L2Sec o IPSEC.

IPsec (la abreviatura de Internet Protocol Security) es una extensin al

protocolo IP que aade cifrado fuerte y autenticacin, asegurando de esta
manera las comunicaciones a travs de dicho protocolo.

Protocolos no estndar:
o

OpenVPN una solucin de cdigo abierto, robusta y altamente flexible.

Soporta mltiples tipos de cifrado, autenticacin y certificacin a travs de
la librera OpenSSL, as como compresin mediante la librera LZO.
Permite realizar un tnel IP tanto sobre un TCP como UDP .

VTun es una solucin de fuente abierta que permite crear de forma sencilla
tneles a travs de redes TCP/IP con compresin y cifrado. Soporta, entre
otros, tneles IP, PPP, SLIP y Ethernet.

cIPe es una solucin similar a IPSec ms ligera por tener un protocolo ms

sencillo, pero no estandarizada.

tinc es una solucin que permite realizar una VPN con cifrado,
autenticacin y compresin (mediante las libreras OpenSSL y LZO), y que
se puede ejecutar sobre mltiples sistemas operativos.

11

Antes de ver la configuracin de los protocolos PAP y CHAP tomemos en cuenta que la
encapsulacin serial predeterminada al conectar dos routers cisco es HDLC, esto es muy
importante ya que el encapsulamiento HDLC slo funciona con dispositivos cisco y cuando
necesitemos conectar un router que no sea cisco deberemos utilizar el encapsulamiento
PPP (Point-to-Point-Protocol).
Dentro de la encapsulacin PPP se encuentran los protocolos de autenticacin PAP y
CHAP, cada uno con sus respectivas caractersticas.
El encapsualmiento PPP se configura en las interfces seriales que se utilizan para
conectar dos routers a travs de enlace serial.
PAP
es un proceso muy bsico de dos vas, no hay encriptacin: el nombre de usuario y la
contrasea se envan en texto sin cifrar, si esto se acepta, la conexin se permite.
PAP slo realiza el proceso de autenticain una sla vez.
Configuracin de PAP.
Ciscoredes# Configure terminal
Ciscoredes(config)# username router-vecino password contrasea
Ciscoredes(config)#interface serial-id
Ciscoredes(config-if)# ppp authentication pap
Ciscoredes(config-if)# ppp pap sent-username nombre-router password contrasea
Ciscoredes(config-if)# exit
CHAP
A diferencia de PAP, que slo autentica una vez, CHAP realiza comprobaciones peridicas
para asegurarse de que el nodo remoto todava posee un valor de contrasea vlido. El
valor de la contrasea es variable y cambia impredeciblemente mientras el enlace existe.
CHaP es el prtocolo que debe usarse siempre que sea posible.
Configuracin de CHAP
Ciscoredes# Configure terminal
Ciscoredes(config)# username router-vecino password contrasea
Ciscoredes(config)# interface serial-id
Ciscoredes(config-if)# ppp authentication chap
Ciscoredes(config-if)# exit

12

El protocolo que actualmente se usa para establecer la conexin VPN es el PPTP (Point
to Point Tuneling Protocol), que se encuentra disponible para los sistemas operativos
Win9x, Me, NT, 2000, XP as como Mac OS-X, Linux,

Si al ejecutar la conexin VPN obtenemos como resultado el error 800 es probable que el
problema se deba al firewall de nuestro pc. Para comprobarlo, desactivar el firewall e
intentar conectar de nuevo. En el caso del Antivirus Panda, no sirve probar
desactivndolo, la prueba con este producto debera consistir en desinstalar
completamente el antivirus y volverlo a instalar sin la opcion del firewall

COMO FUNCIONA
En la prctica general hay normalmente tres ordenadores involucrados en una
distribucin:

Un cliente PPTP
Un servidor de acceso a la red

Un server PPTP

n una distribucin tpica de PPTP comienza por un PC remoto o porttil que ser el cliente
PPTP. Este cliente PPTP necesita acceso a la red privada (private network) utilizando un
ISP (internet service provider). Los clientes que usan WindowsNT Server o Workstation
como S.O. usaran el Dial-up networking y el protocolo PPP para conectar a su ISP.Una
vez conectados, el cliente tiene la capacidad de extraer datos de Internet. Los "network
access servers" usan el protocolo TCP/IP para el mantenimiento de todo el trfico.
Despus que el cliente ha hecho la conexin PPP inicial al ISP, la segunda llamada Dialup es hecha a travs de la conexin PPP ya establecida. Los datos enviados usando la
segunda conexin son en forma de datagramas IP que contienen paquetes PPP. Es la
segunda llamada la que crea la conexin VPN a un servidor PPTP en la red privada de la
compaa. Esto es llamado un TUNEL.

13

El Tunneling es el proceso de intercambio de datos de un ordenador en una red privada

de trabajo enrutndolos sobre otra red. Los otros enrutamientos de la otra red no pueden
acceder porque esta en la red privada. Sin embargo, el tunneling activa el enrutamiento
de la red para transmitir el paquete a un ordenador intermediario, como un server
PPTP .Este server PPTP esta conectado a ambas, a la red privada de la compaa y a la
red de enrutamiento, que en este caso es Internet. Ambos ,el cliente PPTP y el server
PPTP usan el tunneling para transmitir paquetes de forma segura a un ordenador en la
red privada.
Cuando el server PPTP recibe un paquete de la red de enrutamiento (Internet) lo enva a
travs de la red privada hasta el ordenador de destino. El server PPTP hace esto
procesando el paquete PPTP para obtener el nombre del ordenador de la red privada o la
informacin de la direccin que esta encapsulada en el paquete PPP.
NOTA: El paquete PPP encapsulado puede contener datos multi-protocolo como
TCP/IP,IPX/SPX o NetBEUI.Debido a que el servidor PPTP esta configurado para
comunicar a travs de la red privada usando protocolos de esta red privada ,es capaz de
entender Multi-Protocolos.
PPTP encapsula el encriptado y comprimido paquete PPP en datagramas IP para su
transmisin a travs de Internet. Estos datagramas IP son enrutados a travs de Internet
como un paquete PPP y despus son desencriptados usando el protocolo de red de la red
privada. Como mencionamos antes, los protocolos soportados por el PPTP. son...TCP/IP,
IPX/SPX y NetBEUI.
PPTP Cliente
Un ordenador que es capaz de usar el protocolo PPTP puede conectarse a un servidor
PPTP de dos maneras diferentes:

Usando un ISP que soporte las conexiones PPP

Usando una red con soporte para TCP/IP para conectar a un server PPTP

Los clientes PPTP que quieran usar un ISP deben estar perfectamente configurados con
un mdem y un dispositivo VPN para hacer las pertinentes conexiones al ISP y al server
PPTP .La primera conexin es dial-up usando el protocolo PPP a travs del mdem a un
ISP. La segunda conexin requiere la primera conexin porque el tnel entre el dispositivo
VPN es establecido usando el mdem y las conexiones PPP a Internet.
La excepcin a estos dos procesos de conexin es usar PPTP para crear una VPN entre
ordenadores fsicamente conectados a una LAN. En este escenario, el cliente esta de
hecho conectado a una red y solo usa dial-up networking con un dispositivo VPN para
crear la conexin a un server PPTP en la LAN.
Los paquetes PPTP remotos de un cliente PPTP y una LAN local PPTP son procesados
de diferente manera. Un paquete PPTP de un cliente remoto es puesto en el dispositivo
de telecomunicacin de medio fsico, mientras que el paquete PPTP de la LAN PPTP es
puesto en el adaptador de red de medio fsico.

14

Arquitectura PPTP
La siguiente rea expone la arquitectura del PPTP sobre WindowsNT server 4.0 y NT
Workstation 4.0. La siguiente seccin abarca:

Protocolo PPTP
Control de conexin PPTP

Tunneling de datos PPTP

a comunicacin segura que es establecida usando PPTP involucra tres procesos, cada
uno de los cuales requiere la completa realizacin del proceso anterior. Ahora
explicaremos estos procesos y como funcionan:
1. Conexin y Comunicacin PPTP: Un cliente PPTP utiliza PPP para conectarse a
un ISP usando una lnea telefnica normal o una lnea RDSI. Esta conexin usa el
protocolo PPP para establecer la conexin y encriptar los paquetes de datos.
2. Control de Conexin PPTP: Usando la conexin a Internet establecida por el
protocolo PPP, el PPTP crea una conexin controlada del cliente PPTP al server
PPTP en Internet. Esta conexin usa TCP para establecer la comunicacin y esta
llamada PPTP Tunnel.
3. Tunneling de datos PPTP: El protocolo PPTP crea datagramas IP conteniendo
paquetes PPP encriptados que son enviados a travs del Tunnel PPTP al PPTP
server. El server PPTP desensambla los datagramas IP y desencripta los paquetes
PPP, y los enrutamientos los paquetes desencriptados a la red privada.
El PPP es un protocolo de acceso remoto usado por el PPTP para enviar datos a travs
de redes basadas en TCP/IP. El PPP encapsula paquetes IP, IPX y NetBEUI entre marcos
PPP y enva los paquetes encapsulados creando un link point-to-point entre los
ordenadores de origen y destino.
Muchas de las sesiones PPTP comienzan con la llamada de un cliente y un ISP. El
protocolo PPP es usado para crear la conexin entre el cliente y el servidor de acceso a la
red y presenta las siguientes funciones:
1. Establece y termina la conexin fsica. El protocolo PPP usa una secuencia
definida en el RFC 1661 para establecer y mantener la conexin entre dos
ordenadores remotos
2. Autentifica usuarios. Los clientes PPTP son autentificados usando PPP.
Limpieza de texto, encriptado o MS-CHAP pueden ser usados por el protocolo
PPP.
3. Crea datagramas PPP. Que contienen paquetes IPX,NetBEUI o TCP/IP

Control de conexion PPTP

El protocolo PPTP especifica una serie de mensajes que son usados para la sesin de
control. Estos mensajes son enviados entre el cliente PPTP y el servidor PPTP. Los
mensajes de control establecidos, mantienen y terminan el Tunnel PPTP. La siguiente lista
15

presenta el control primario de mensajes usados para establecer y mantener la sesin

PPTP:
Message Type Purpose
PPTP_START_SESSION_REQUEST Starts Session
PPTP_START_SESSION_REPLY Replies to Start Session Request
PPTP_ECHO_REQUEST Maintains Session
PPTP_ECHO_REPLY Replies to Maintain Session Request
PPTP_WAN_ERROR_NOTIFY Reports an error in the PPP connection
PPTP_SET_LINK_INFO Configures PPTP Client/Server Connection
PPTP_STOP_SESSION_REQUEST Ends Session
PPTP_STOP_SESSION_REPLY Replies to End Session Request
Los mensajes de control son enviados dentro de los paquetes de control en un datagrama
TCP. Una conexin TCP es activada entre el cliente PPTP y el server. Este path es usado
para enviar y recibir mensajes de control. El datagrama contiene una cabecera PPP, una
TCP, un mensaje de control PPTP y sus apropiadas reglas. La construccin es como
sigue:
PPP Delivery Header
IP Header
PPTP Control Message
Trailers

Transmisin de datos PPTP

Despus de que el Tunnel PPTP ha sido creado, los datos del usuario son trasmitidos
entre el cliente y el server PPTP. Los datos son enviados en datagramas IP conteniendo
paquetes PPP. El datagrama IP es creado usando una versin modificada de la versin de
Generic Routing Encapsulation (GRE) protocol (RFC1701-2). La estructura de datagrama
IP es:

PPP Delivery Header

IP Header
GRE Header
PPP Header
IP Header
TCP Header
Data
Prestando atencin a la construccin del paquete, podrs ver como es capaz de ser
transmitido a travs de Internet desmenuzando las cabeceras. La cabecera de envo del
PPP proporciona informacin necesaria para el datagrama para atravesar Internet. La
16

cabecera GRE es usada para encapsular el paquete PPP sin el datagrama IP. El paquete
PPP es creado por RAS. El paquete PPP es encriptado y si es interceptado, ser ilegible.
Entendiendo la seguridad PPTP
El PPTP usa la estricta autentificacin y encriptacion de seguridad disponible por los
ordenadores que corren RAS bajo WindowsNT Server v4.0.El PPTP puede tambin
proteger el server PPTP y la red privada ignorando todo excepto el trafico PPTP. A pesar
de esta seguridad es fcil configurar un firewall para permitir al PPTP acceder a la red
interna.
Autentificacin:
La autentificacin inicial en la llamada puede ser requerida por un ISP de servidor de
acceso a la red. Un servidor PPTP es un gateway a tu red, y necesita la base estndar de
"login" de WindowsNT. Todos los clientes PPTP deben proporcionar un login y password.
De todas formas, el login de acceso remoto usando un PC bajo NT server o Workstation
es tan seguro como hacer un login en un PC conectado a una LAN (tericamente). La
autentificacin de los clientes remotos PPTP es hecha usando los mismos mtodos de
autentificacin PPP usados para cualquier cliente RAS llamando directamente en un NT
Server. Porque esto, soporta completamente MS-CHAP.
Control de acceso:
Despus del "auth", todo el acceso a la LAN privada contina usando las estructuras de
seguridad basadas en NT. El acceso a recursos en devices NTFS o otros recursos de la
red requieren los permisos correctos, tal como si estuvieses conectado dentro de la LAN.
Encriptacion de los datos:
Para la encriptacin de datos, el PPTP usa el proceso de encriptacin RAS "shared
secret". Es referido a un "shared-secret" porque ambos terminan la conexin "sharing" the
encryption key. Bajo la implentancin del RAS de MS, el secreto "shared" es el pass del
usuario (Otros mtodos incluyen llave pblica de encriptacin. El PPTP usa la encriptacin
PPP y los mtodos de compresin PPP. El CCP (Compression Control Protocol es usado
para negociar la encriptacin usada. El nombre de usuario y el passwd esta disponible al
server y sustituida por el cliente. Una llave de encriptacin es generada usando una
mnima parte del passwd situados en cliente y server. El RSA RC4 standard es usado
para crear estos 40 bits (128 dentro de EEUU y Canada) de llave de sesin basada en el
passwd de un cliente. Esta llave es despus usada para encriptar y desencriptar todos los
datos intercambiados entre el server PPTP y el cliente. Los datos en los paquetes PPP
son encriptados. El paquete PPP que contiene un bloque de datos encriptados es
despus metido en un largo datagrama IP para su ruteo.

17

OBSERVACIONES
No puede utilizar Cifrado punto a punto de Microsoft (MPPE) si se emplea CHAP para
autenticar la conexin.
Si est utilizA CHAP para autenticar una conexin a un servidor de acceso remoto que
ejecuta Windows 2000 y el servicio Enrutamiento y acceso remoto, la cuenta de usuario
del cliente debe estar configurada para permitir el almacenamiento de la contrasea en un
formato cifrado reversible.
Si mandamos una peticin de inicio de sesin de PPTP con una longitud de paquete
invalida en la cabecera del paquete PPTP dejara colgado una maquina y causara un
"CoreDump" osea un volcado la memoria ram al server.

18

IPsec
IPSec trata de remediar algunas falencias de IP, tales como proteccin de los datos
transferidos y garanta de que el emisor del paquete sea el que dice el paquete IP. Si bien
estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec
provee confidencialidad, integridad, autenticidad y proteccin a repeticiones mediante dos
protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP).
Por confidencialidad se entiende que los datos transferidos sean slo entendidos por los
participantes de la sesin. Por integridad se entiende que los datos no sean modificados
en el trayecto de la comunicacin. Por autenticidad se entiende por la validacin de
remitente de los datos. Por proteccin a repeticiones se entiende que una sesin no
pueda ser grabada y repetida salvo que se tenga autorizacin para hacerlo. AH provee
autenticacin, integridad y proteccin a repeticiones pero no as confidencialidad. La
diferencia ms importante con ESP es que AH protege partes del header IP, como las
direcciones de origen y destino.
ESP provee autenticacin, integridad, proteccin a repeticiones y confidencialidad de los
datos, protegiendo el paquete entero que sigue al header. AH sigue al header IP y
contiene diseminaciones criptogrficas tanto en los datos como en la informacin de
identificacin. Las diseminaciones pueden tambin cubrir las partes invariantes del header
IP.
El header de ESP permite rescribir la carga en una forma encriptada. Como no considera
los campos del header IP, no garantiza nada sobre el mismo, slo la carga. Una divisin
de la funcionalidad de IPSec es aplicada dependiendo de dnde se realiza la
encapsulacin de los datos, si es la fuente original o un gateway:

El modo de transporte es utilizado por el host que genera los paquetes. En este
modo, los headers de seguridad son antepuestos a los de la capa de transporte,
antes de que el header IP sea incorporado al paquete. En otras palabras, AH cubre
el header TCP y algunos campos IP, mientras que ESP cubre la encriptacin del
header TCP y los datos, pero no incluye ningn campo del header IP.
El modo de tnel es usado cuando el header IP entre extremos est ya incluido en
el paquete, y uno de los extremos de la conexin segura es un gateway. En este
modo, tanto AH como ESP cubren el paquete entero, incluyendo el header IP entre
los extremos, agregando al paquete un header IP que cubre solamente el salto al
otro extremo de la conexin segura, que, por supuesto, puede estar a varios saltos
del gateway.

Los enlaces seguros de IPSec son definidos en funcin de Security Associations (SA).
Cada SA est definido para un flujo unidireccional de datos y generalmente de un punto
nico a otro, cubriendo trfico distinguible por un selector nico. Todo el trfico que fluye a
travs de un SA es tratado de la misma manera. Partes del trfico puede estar sujeto a
varios SA, cada uno de los cuales aplica cierta transformacin. Grupos de SA son
denominados SA Bundles. Paquetes entrantes pueden ser asignados a un SA especfico
por los tres campos definitorios: la direccin IP de destino, el ndice del parmetro de
seguridad y el protocolo de seguridad. El SPI puede ser considerado una cookie que es
19

repartido por el receptor del SA cuando los parmetros de la conexin son negociados. El
protocolo de seguridad debe ser AH o ESP. Como la direccin IP de destino es parte de la
tripleta antes mencionada, se garantiza que este valor sea nico.
Un ejemplo de paquete AH en modo tnel es:

Un ejemplo de paquete AH en modo transporte es:

Como ESP no puede autentificar el header IP ms exterior, es muy til combinar un

header AH y ESP para obtener lo siguiente:

Este tipo de paquete se denomina Transport Adjacency.

La versin de entunelamiento sera:

Sin embargo, no es mencionado en las RFC que definen estos protocolos. Como en
Transport Adjacency, esto autenticara el paquete completo salvo algunos pocos campos
del header IP y tambin encriptara la carga. Cuando un header AH y ESP son
directamente aplicados como en esta manera, el orden de los header debe ser el
indicado.
Es posible, en el modo de tnel, hacer una encapsulacin arbitrariamente
recursiva para que el orden no sea el especificado.

20

Aade cifrado fuerte para permitir servicios de autenticacin y cifrado y, de esta manera,
aseguramos las comunicaciones a travs de dicho protocolo. Inicialmente fue desarrollado
para usarse con el nuevo estndar IPv6 (permite cerca de 34 trillones de ips), aunque
posteriormente se adapt a IPv4 (el actualmente usado, que alcanza 4 billones de ips).
IPsec acta a nivel de capa de red, protegiendo y autenticando los paquetes IP entre los
equipos participantes en la comunidad IPsec. No est ligado a ningn algoritmo de
encriptacin o autenticacin, tecnologa de claves o algoritmos de seguridad especfico.
Es ms, IPsec es un marco de estndares que permite que cualquier nuevo algoritmo sea
introducido
sin
necesitar
cambiar
los
estndares.
IPsec proporciona:

Confidencialidad
Integridad

Autenticacin.

usando:
Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish).
Algoritmos de hash (MD5, SHA-1).

Tecnologas de clave pblica (RSA).

Certificados digitales.

Fue creado de forma modular para permitir seleccionar el conjunto de algoritmos

deseados sin afectar a otras partes de la implementacin. Pese a esto, tambin se han
definido ciertos algoritmos estndar que soportan todas las implementaciones para
garantizar
la
interoperabilidad
en
Internet.
Dentro de IPSec encontramos los siguientes componentes:

Dos protocolos de seguridad:

o Autentificacin de cabecera IP (AH).
o

Carga de seguridad de encapsulado (ESP)

Un protocolo de seguridad de claves:

o

Intercambio de llaves de internet.

21

El funcionamiento del protocolo AH es el siguiente:

Funcionamiento del protocolo ESP es el siguiente

EXISTEN 2 MODOS DIFERENTES EN QUE TRABAJA IPSEC

Modo Transporte: en este modo el contenido transportado dentro del datagrama AH o
ESP son datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la
cabecera IPSec se inserta inmediatamente a continuacin de la cabecera IP y antes de
los datos de los niveles superiores que se desean proteger. El modo transporte tiene la
ventaja de que asegura la comunicacin extremo a extremo, pero requiere que ambos
extremos entiendan el protocolo IPSec.
22

 Modo Tnel: en ste el contenido del datagrama AH o ESP es un datagrama IP

completo, incluida la cabecera IP original. As, se toma un datagrama IP al cual se aade
inicialmente
una
cabecera
AH
o
ESP, posteriormente se aade una nueva cabecera IP que es la que se utiliza para
encaminar los paquetes a travs de la red. El modo tnel se usa normalmente cuando el
destino final de los datos no coincide con el dispositivo que realiza las funciones IPSec.
El protocolo IKE es importante aqu que se refiere al protocolo para Intercambio de
claves en Internet es el encargado en la infraestructura IPSec de proporcionar un entorno
previo seguro para la comparticin de una clave secreta y autenticacin de los extremos,
IKE utiliza el puerto 500 de UDP para establecer el intercambio de mensajes pertinente.

Por sus caractersticas es el protocolo estndar para la construccin de redes privadas

virtuales.

23

DESARROLLO
CONFIGURACIN DEL SERVIDOR
El primer paso para configurar la VPN en Windows server 2003 es entrar al asistente
para la configurar su servidor.

A continuacin aparecer la ventana del asistente, presionar siguiente.

Nos indicara los pasos preliminares de configuracin, presionar siguiente.

24

El pantallazo siguiente se refiere a la deteccin de la red, tardara unos segundos.

Presionar siguiente.

25

Seleccionar configuracin personalizada, presionar siguiente.

En la opcin de funcin del servidor marcar VPN y presionar siguiente.

26

A continuacin aparecer el resumen de la conexin, presionar siguiente.

La siguiente imagen nos muestra que est aplicando la funcin al servidor.

27

De manera paralela a la imagen anterior nos aparece el asistente, presionar siguiente.

Seleccionar acceso remoto (VPN).

28

En la ventana de acceso remoto seleccionar VPN, presionar siguiente.

La siguiente imagen es muy importante, ya que es donde se selecciona la conexin que

va a utilizar para la VPN, cabe destacar que si no se cuenta mnimo con 2 conexiones
distintas (WLAN Y LAN) no se podr seguir.
29

A continuacin seleccionamos la red.

En la siguiente imagen se muestra la asignacin de ips, seleccionamos automticamente.

30

Presionamos finalizar.

A continuacin nos notifica de la configuracin.

31

CONFIGURACIN DEL CLIENTE:

En esta prctica se utilizaron maquinas virtuales para hacer la funcin del cliente y del
snnifer.
Nos vamos a conexiones de red y seleccionamos nueva conexin.

Posteriormente seleccionamos conectar a mi lugar de trabajo.

32

Seleccionamos conexin VPN.

Asignamos el nombre que se le dar a la conexin.

33

Introducimos la ip del servidor (server 2003).

Presionar finalizar y crear un icono de acceso directo.

34

En la imagen siguiente se introduce el usuario y la contrasea del usuario remoto.

35

En esta imagen se muestra la conexin VPN en la ventana y tambin se indica en la parte

inferior derecha.

Ipconfig del servidor, una vez establecida la conexin VPN

36

Ipconfig del cliente, una vez establecida la conexin VPN

Estado de la VPN en el cliente:

37

38

Utilizamos el analizador de protocolos wireshark para indicar el inicio y el final de la

comunicacin entre el cliente y el servidor.
El protocolo PPTP especifica una serie de mensajes que son usados para la sesin de
control. Estos mensajes son enviados entre el cliente PPTP y el servidor PPTP. Los
mensajes de control establecidos, mantienen y terminan el Tunnel PPTP. La siguiente lista
presenta el control primario de mensajes usados para establecer y mantener la sesin
PPTP:
1.- PPTP_START_SESSION_REQUEST Starts Session
2.- PPTP_START_SESSION_REPLY Replies to Start Session Request
3.- PPTP_ECHO_REQUEST Maintains Session
4.- PPTP_ECHO_REPLY Replies to Maintain Session Request
5.- PPTP_WAN_ERROR_NOTIFY Reports an error in the PPP connection
6.- PPTP_SET_LINK_INFO Configures PPTP Client/Server Connection
7.- PPTP_STOP_SESSION_REQUEST Ends Session
8.- PPTP_STOP_SESSION_REPLY Replies to End Session Request

1
2

3
4
6
7
8

39

CONCLUSIN
En el desarrollo de esta prctica aprendimos a elaborar una red vpn entre un servidor
(Windows server 2003) y un cliente (Windows xp sp1).
El manejo de las ips es fundamental para la conexin, ya que el ms minimo error en
algn nmero o direccin errnea es causa de falla en la conexin.
En un principio optamos por hacerlo todo en maquinas virtuales, lo cual nos provoco un
retraso en la actividad, ya que en la maquina virtual del servidor necesitaramos ms de
una conexin de red (alambrico e inalmbrico) y la maquina virtual (VMWare) no
detectaba ambas. Es por eso que decidimos hacer el Windows server de inicio.
El analizador de protocolos nos indico el inicio y el final de la vpn de manera clara.
El firewall y el antivirus son otros de los factores a tomar en cuenta durante la elaboracin
de esta prctica.
Por igual observamos que l lo PPTP llevan a si mismo algunos otros protocolos dentro
del mismo con en este caso se manejan los PPP y en IPsec ahora sabemos que se
puedan manejar de dos modos diferentes como de transporte o modo tnel y utilizan los
protocolos AH Y ESP.

LINKOFGRAFA
40

http://www.ub.edu.ar/investigaciones/tesinas/259_rodriguez.pdf
http://triton.javeriana.edu.co/carrera/tgrado/99-1/redesprivadas.PDF
http://networkingtools.blogspot.com/2011/06/tecnologia-vpn.html
http://tesis.udea.edu.co/dspace/bitstream/10495/69/1/ModeloTeoricoImplementacion
VPN.pdf
http://www.dei.uc.edu.py/tai2003/vpn/protocol.html
http://www.dei.uc.edu.py/tai2003/vpn/cifrado.html
http://www.dei.uc.edu.py/tai2003/vpn/eleccion.html
http://www.dei.uc.edu.py/tai2003/vpn/segur.html
http://www.dei.uc.edu.py/tai2003/vpn/config.html
http://www.dei.uc.edu.py/tai2003/vpn/integ.html
http://www.ac.usc.es/docencia/ASRII/Tema_4html/node20.html
http://www.monografias.com/trabajos12/monvpn/monvpn.shtml
http://campusvirtual.unex.es/cala/cala/mod/resource/view.php?id=1883
http://es.scribd.com/doc/34037219/Protocolos-VPN
http://www.ciscoredes.com/tutoriales/75-pap-y-chap.html
http://www.pablin.com.ar/computer/info/varios/pptnvpn.html

41