INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MÉCANICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA SEMINARIO DE ACTUALIZACIÓN CON OPCIÓN A TITULACIÓN: “LAS TECNOLOGÍAS APLICADAS A LAS REDES DE CUMPUTACIÓN” FNS 5092005/03/2007 DISEÑO DE UNA RED VIRTUAL QUE COMO PRUEBA ESCRITA DE SU EXAMEN PROFESIONAL PARA OBTENER EL TÍTULO DE: INGENIERO EN COMUNICACIONES Y ELECTRÓNICA PRESENTAN: CÉSAR NICOLÁS CABALLERO LÓPEZ RAUL FLORES SANCHEZ ROBERTO GAYOSSO ESTRADA INGENIERÍA EN SISTEMAS COMPUTACIONALES PRESENTAN: HÉCTOR EMMANUEL BENÍTEZ GURRIÓN BLANCA ESTELA GARCÍA AVILA MÉXICO D.F. DICIEMBRE DEL 2007 Agradecimientos: Este trabajo es la conclusión de una etapa de estudio en mi vida muy importante. A través de estos años existieron personas que me han dado su apoyo, educación y parte de su vida misma para que yo consiguiera concluir mi formación profesional hasta este momento. Mi familia en general, principalmente los más cercanos a mí. Mi papá Eduardo Flores Ortiz, mi mamá Ana Laura Sánchez Zepeda, mi hermana Aracely Flores Sánchez, así como mis abuelos los cuales fueron de igual forma un pilar de lo que soy ahora. Sin ellos no sería yo. Raúl Flores Sánchez. A MIS PADRES: Quiero agradecer profundamente a ustedes padres por él apoyó y confianza brindada durante este reto, que para mí es una parte muy importante de mi vida, haber concluido con mis estudios profesionales, con la educación que ustedes siempre se preocuparon y se ocuparon de que yo tuviera, muchas gracias por que a aun en los momentos difíciles que hemos pasado siempre han estado y estarán compartiendo con migo mis triunfos, mis alegrías y los retos que se me presenten en la vida. Muchas gracias Monce, por que sé que siempre me has apoyado con mis decisiones y también sé que haz creído en mi, pero sobre todo gracias por que era tú mi hermana la mejor hermana que me pudo haber tocado tener en el mundo, son que muy pronto tendremos la dicha de festejar y compartir dentro de la familia esta alegría que hoy me invade con el titulo. Te quiere té hermanito nenoy. Pase lo pase siempre serán mis padres y a dios bendigo por darme unos padres maravillosos como ustedes. Muchas gracias. A MI FAMILIA: Muchas gracias a cada uno de los integrantes de esta maravillosa familia con la que dios me ha bendecido tener, por que con la confianza y buenos deseos de ustedes a sido más fácil seguir adelante en esos momentos de indecisión y difíciles que eh tenido, a lo largo de este reto que ahora se convierten en uno de mis triunfos, gracias ABUELO, GRACIAS TIOS, GRACIAS PRIMAS, y gracias también a mis dos maravillosas abuelas que hoy descansan a lado de nuestro creador, no podría dejar de agradecer también a ustedes. Gracias por todo el cariño y por creer siempre en mí. A MI ESPOSA: Gracias amor por todo el apoyo y la confianza que me has dado, sin tu ayuda tampoco seria posible esto estar terminado un ciclo muy importante en mi vida como lo son mis estudios, muchas gracias por tus animosa, abrazos y una que otra desvelada por estas ahí conmigo, TEAMO con toda mi Almá y mi corazón te amo mi niña hermosa. Héctor Emmanuel Benítez Gurrión I Le agradezco a Dios sobre todas las cosas porque nunca se aparto de mi y me ayudo a culminar un paso importante en mi vida. Le agradezco a mi madre por su esfuerzo y dedicación, pero sobre todo por su cariño ya que gracias a eso he logrado lo que soy. Le agradezco a mi padre , que aunque ya no este físicamente conmigo, en mi corazón, y en mi mente siempre estará presente, gracias papá por tu fortaleza ,la cual me enseño a que se debe luchar por lo que se quiere, gracias por tus consejos y por haberme regalado parte de tu vida. Le agradezco a mis hermanas por su apoyo físico, económico, e intelectual y por haber depositado en mi toda su confianza. Le agradezco a mis maestros por haber compartido sus experiencias y enseñanzas conmigo. Blanca Estela García Ávila A Dios: Le doy gracias a dios por darme la oportunidad de estar en esta vida y haber llegado a esta este punto. A mi Madre: Quiero dar gracias a mi madre, por darme el don de la vida, por cuidarme, por educarme, por haberme ensañado el valor de la vida, por haberme apoyado y comprendido en las buena y malas, POR ESO TE LA DEDICO ESPECIALMENTE PARA TI MADRE. A mi Padre: Quiero darle gracias a mi padre, Hermelindo Roberto Gayosso Juárez, por apoyarme a realizar un sueño que siempre quisiste que tus hijos hicieran, por tus buenas enseñanzas que me servirán para toda la vida, por tus esfuerzos realizados, por tu dedicación y en especial por tu ejemplo que me diste en esta vida para poder salir adelante; TODA MI VIDA TE ESTARE PROFUNDAMENTE AGRADECIDO PADRE. A mi Hermano: Quiero dar gracias a mi hermano, Ing. Erick Gayosso Estrada por haber compartido con el mi niñez y mi adolescencia, pero en especial por haberme dado el ejemplo que se puede realizar las metas que uno se proponga, Gracias Erick. A mi Hermana: Quiero dar gracias a mi hermana, Jennifer Gayosso Estrada, por darme la oportunidad de verte crecer y poderte enseñar todos mis conocimientos. Al Instituto Politécnico Nacional: Por darme esa gran oportunidad de desarrollarme en mi educación y enseñanza A todos ellos mil gracias. Roberto Gayosso Estrada II Antes que nada quisiera dar gracias a dios por darme la oportunidad de estar realizando la finalización mis estudios profesionales. A MIS PADRE. Rodolfo Caballero Báez, Carmen López Aranda. Gracias por todo su apoyo incondicional para que yo pueda realizar un sueño como es la titulación, a sus esfuerzos por darme todo lo que necesitaba. Las cosas se que no han sido fáciles, y por ese motivo siento un gran aprecio por lo que han hecho, ya que sin su apoyo y el de mis hermanos no lo hubiera podido lograr A MIS HERMANOS Petras, Martina, Juan, Margarita, Adolfo, Mercedes, Eleuterio, Luis y Ricardo, gracias por sus palabras de aliento en los momentos más difíciles cuando todo parecía terminar eran ustedes los que me daban la palmada en la espalda para seguir adelante y lograr este objetivo que lo comparto con mis seres queridos. A MI ESPOSA No podría dejar pasar la oportunidad de dedicarte una palabras a mi apreciable y amada compañera, gracias por haber sido el pilar para hacer esto realidad la realización de una de mis metas de mi vida profesional, TE AMO MI MORENITA. No podría dejar fuera a mis compañeros y amigos, ya que he convivido una gran parte de mi vida al lado de ustedes Ricardo, Oscar. A todos muchas gracias por todo, FAMILIA y amigos, misión cumplida. César Nicolás Caballero López III ÍNDICE Introducción Capítulo 1 1 Redes Privadas Virtuales (VPN) 2 1.1. ¿Qué es una VPN? 1.2 Concepto de una VPN 1.3 Requerimientos Básicos de una VPN 1.4 Conexión de Redes sobre Internet 1.5 Conexión de Computadoras sobre Intranet 1.6 VPN de Acceso Remoto 1.7 VPN en una Intranet 1.8 VPN en una Extranet 1.9 La Arquitectura de las VPN 1.10 Seguridad VPN 1.10.1 Autorización. 1.10.2 Autentificación. 1.10.3 IPsec. 1.10.4 Características de seguridad IPsec. 1.10.5 Ataques a la seguridad. 3 4 5 6 7 8 8 8 8 9 10 12 14 17 19 Capítulo 2 20 Túneles ("Tunneling") 2.1 Protocolos de Túneles. 2.1.1 Funcionamiento de los túneles 2.2 Requerimientos básicos del túnel. 2.2.1 Modo del Túnel de Seguridad de Protocolos Para Internet. 2.3Tipos de Túneles. 2.3.1 Túneles Voluntarios. 2.3.2 Túneles Obligatorios. 21 22 23 27 29 29 29 IV Capítulo 3. Implementación de una Red Privada Virtual 31 3.1. Configuración de Una VPN 3.1.1. Diferencia entre una VPN frente al cable propio o rentado. 3.2. Implementación de una red privada virtual de Enrutador a enrutador basada en L2TP. 3.2.1 Configurar el enrutador de la oficina Corporativa. 3.2.2. - Configurar el enrutador de la sucursal. 3.3 Implementación de una red privada virtual de enrutador a enrutador basada en PPTP. 3.3.1 Configurar el enrutador de la Oficina corporativa. 3.3.2. Configurar el enrutador de la sucursal. 32 40 43 44 48 51 51 56 Índice de Imágenes Fig. 1.1 Enlace VPN Fig. 1.2 Redes LAN Fig. 1.3. Red Privada Virtual Fig. 3.1.a). Asistente de Conexión Nueva Fig. 3.1.b). Tipo de Conexión de Red Fig. 3.1.c). Conexión de Red Privada Virtual Fig. 3.1.d). Nombre de Conexión Fig. 3.1.e). Red Publica Fig. 3.1.f). Selección de Servidor VPN Fig. 3.1.g). Finalización de Asistente de Conexión Fig. 3.1.h). Acceso a Red Privada Fig. 3.1.i). Configuración de l Router. Fig. 3.1.j). Tipo de Red. Fig. 3.1.k). Protección de la red. Fig. 3.2. a) Electos de una conexión VPN Fig. 3.3.a). Conexión VPN basada en PPTP 3 4 6 32 33 33 34 34 35 35 36 37 38 38 43 52 V Conclusiones: 59 Bibliografía 60 Glosario 61 VI INTRODUCCIÓN En los últimos años las redes se han convertido en un factor crítico para cualquier organización. Cada vez en mayor medida, las redes transmiten información vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad. Las Redes Virtuales Privadas son una opción más para que las grandes y pequeñas empresas se mantengan a salvo de cualquier intento de ataque en contra de esa información tan valiosa. Asimismo pueden auxiliarse de la amplia tecnología de vanguardia en cuanto a software y hardware se refiere. Las VPN son de gran utilidad para los usuarios, porque les proporciona acceso remoto a recursos corporativos sobre Internet público y mantiene al mismo tiempo la privacidad de su información incluyendo la integridad de los datos al viajar a través de Internet. Además de que les brinda la certeza de que están trabajando en un canal seguro. 1 Capítulo 1.- Redes Privadas Virtuales. En una red privada virtual todos los usuarios parecen estar en el mismo segmento de LAN (Red de Área Local), pero en realidad están a varias redes de distancia. Para lograr esta funcionalidad, la tecnología de redes seguras, privadas y virtuales debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP (protocolo de Internet) a través de un túnel en la red pública, de manera que dos segmentos de LAN remotos no parezcan estar separados por una red pública; la solución debe agregar encriptación, de manera que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o modificado; y por último, la solución debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicación, de modo que un adversario no pueda acceder a los recursos del sistema. Una definición simple es que se trata de una red de comunicaciones privada implementada sobre una infraestructura pública. Las razones que impulsan al mercado en ese sentido son, fundamentalmente, de costos: es mucho más barato interconectar filiales utilizando una infraestructura pública que despliega una red físicamente privada. Por otro lado, como es lógico, es necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al uso de la criptografía. Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN (Redes Virtuales Privadas) logran esto al permitir que el usuario haga un túnel a través de Internet u otra red pública, de manera que permita a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas. 2 Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red pública. Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece enviando como si los datos se estuvieran enviando sobre un enlace privado dedicado. La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí. 1.1. ¿Qué es una VPN? La VPN es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet, que permite conectar dos o más sucursales de una empresa permitiendo a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet. Figura 1.1. Figura 1.1 Enlace VPN 3 Para hacerlo posible de manera segura es necesario proveer los siguientes medios: la autenticación, integridad y confidencialidad de toda la comunicación: Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener. Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza un método de comparación. Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de interceptación, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. 1.2 Concepto de una VPN. Una red de área local esta definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma, también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre si, dando como desventaja la imposibilidad de comunicación entre las LANs para algunos de los usuarios de la misma. Figura 1.2. Figura 1.2 Redes LAN 4 1.3 Requerimientos Básicos de una VPN. Autenticación de usuario. La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y contables para mostrar quién accedió a qué información y cuándo. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así. Encriptación de datos. Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red. Los tipos de encriptación que se utilizan actualmente son el DES y el 3DES. Administración de Llaves. La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor. Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen Protocolo de Internet. Una solución de VPN de Internet basada en un PPTP (Protocolo de túnel de punto a punto) ó un L2TP (Protocolo de túnel de nivel 2), cumple con todos estos requerimientos básicos, y aprovecha la amplia disponibilidad de Internet a nivel mundial. Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios: Bajo costo. Reduce el costo del servicio de comunicación o del ancho de banda de transporte, y también el de la infraestructura y operación de las comunicaciones. Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. 5 Implementación rápida. El tiempo de implementación de un backbone de WAN (Red de Área Amplia) para una empresa es muy alto frente a la implementación de una red privada virtual sobre un backbone ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa. Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. 1.4 Conexión de las redes sobre Internet. Existen dos métodos para utilizar VPN a fin de conectar redes de área local a sitios remotos: Uso de líneas dedicadas para conectar una sucursal a una LAN corporativa. El software VPN utiliza las conexiones ISP (Proveedor de Servicios de Internet) locales y el Internet público, con el propósito de crear una red privada virtual entre el ruteador de la sucursal Y el del hub corporativo. Figura 1.3. Figura 1.3 Red Privada Virtual 6 Uso de una línea de marcación para conectar una sucursal a una LAN corporativa. El ruteador en la sucursal realice una llamada de larga distancia a un NAS (Servidores de almacenamiento a la red) corporativo o externo, el ruteador en la sucursal puede llamar al ISP local. El software VPN utiliza la conexión al ISP local para crear una red privada virtual entre el ruteador de la sucursal y el del hub corporativo, a través de Internet. Note que en ambos casos las facilidades que conectan la sucursal y la oficina corporativa a Internet son locales; se recomienda que el ruteador del hub corporativo que actúa como un servidor VPN se conecte a un ISP local con una línea dedicada. Este servidor VPN puede estar listo 24 horas al día para tráfico VPN entrante. 1.5 Conexión de computadoras sobre una Intranet. En algunas redes corporativas los datos departamentales son tan sensibles, que la LAN está físicamente desconectada del resto de la Intranet corporativa. Aunque esto protege la información confidencial del departamento, crea problemas de acceso a la información para otros usuarios que no están conectados en forma física a la LAN separada. Las VPN permiten que la LAN del departamento esté físicamente conectada a la Intranet corporativa, pero separada por un servidor. El servidor VPN no está actuando como un ruteador entre la Intranet corporativa y la LAN del departamento. Un ruteador interconectaría las dos redes, lo que permitiría que todos tuvieran acceso a la LAN. Pero al utilizar una VPN el administrador de sólo los la red puede asegurar que solo los usuarios en la Intranet corporativa, que tienen el nivel adecuado, pueden establecer una VPN con el servidor VPN y tener acceso a los recursos protegidos del departamento. 7 1.6 VPN de acceso remoto. Consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas). 1.7 VPN de Intranet. Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre otras. 1.8 VPN de Extranet. Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la Intranet corporativa a través de una red pública. 1.9 La arquitectura de las VPN. La arquitectura de las VPN se debe basar en elementos esenciales de la tecnología para proteger la privacidad, mantener la calidad y confiabilidad, y asegurar la operación de la red en toda la empresa. Estos elementos son: Seguridad: uso de túneles, encriptación de datos, autenticación de usuarios y paquetes, control de acceso. Calidad de Servicio: uso de colas, manejo de congestión de red, priorización de tráfico, clasificación de paquetes. Gestión: implementación y mantenimiento de las políticas de seguridad y calidad de servicio a lo largo de la VPN. 8 1.10. Seguridad en la VPN. Un punto fundamental es el particionamiento de las redes públicas o de uso compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso de túneles que no son ni más ni menos que técnicas de encapsulado del tráfico. Las técnicas que se utilizan son: GRE (Enrutamiento Encapsulado Genérico), que permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro protocolo, típicamente IP; L2TP que permite el armado de túneles para las sesiones PPP (Protocolo Punto a Punto) remotas, y por último IPsec (Protocolo de Seguridad de Internet) para la generación de túneles con autenticación y encriptado de datos. La calidad de servicio permite la asignación eficiente de los recursos de la red pública a las distintas VPN para que obtengan una performance predecible. A su vez, las VPN asignarán distintas políticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes tecnológicas básicas son: Clasificación de Paquetes: Asignación de prioridades a los paquetes basados en la política corporativa. Committed Access Rate (CAR, Tasa de Acceso Entregada): Garantiza un ancho de banda mínimo para aplicaciones o usuarios basándose en la política corporativa. Weighted Fair Queuing (WFQ, Colas Equitativas Ponderadas): Determina la velocidad de salida de los paquetes en base a la prioridad asignada a éstos, mediante el encolado de los paquetes. Weighted Random Early Detection (WRED): Complementa las funciones de TCP (Protocolo de Control de Transmisión) en la prevención y manejo de la congestión de la red, mediante el descarte de paquetes de baja prioridad. Generic Traffic Shaping (GTS): Reduce la velocidad de salida de los paquetes con el fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte de paquetes. 9 1.10.1 Autorización. Sólo se aceptan conexiones de red privada virtual (VPN) de los usuarios y enrutadores que tengan autorización. En la familia Windows Server 2003, la autorización de las conexiones VPN se determina mediante las propiedades de marcado en las directivas de la cuenta del usuario y de acceso remoto. Cómo funciona la seguridad en la conexión. En los pasos siguientes se describe qué ocurre durante el intento de conexión de un cliente VPN basado en el Protocolo de túnel punto a punto (PPTP) con un servidor VPN basado en PPTP que ejecuta Windows Server 2003: 1.- El cliente VPN crea un túnel PPTP con el servidor VPN. 2.- El servidor envía un desafío al cliente. 3.- El cliente envía una respuesta cifrada al servidor. 4.- El servidor contrasta la respuesta con la base de datos de cuentas de usuarios. 5.- Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN. En los pasos del 2 al 4 se supone que el cliente VPN y el servidor VPN utilizan los protocolos de autenticación MS-CHAP o CHAP. El envío de las credenciales del cliente puede variar en otros protocolos de autenticación. En los pasos siguientes se describe qué ocurre durante el intento de conexión de un cliente VPN basado en el Protocolo de túnel de capa 2 a través de seguridad de Protocolo Internet (L2TP/IPsec) con un servidor VPN basado en L2TP/IPsec que ejecuta Windows Server 2003: 10 1.- La asociación de seguridad IPsec se crea mediante certificados de equipo y el proceso de negociación de Intercambio de claves de Internet (IKE). 2.- El cliente VPN crea un túnel L2TP con el servidor VPN. 3.- El servidor envía un desafío al cliente. 4.- El cliente envía una respuesta cifrada al servidor. 5.- l servidor contrasta la respuesta con la base de datos de cuentas de usuarios. 6.- Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN. En los pasos del 3 al 5 se supone que el cliente VPN y el servidor VPN utilizan los protocolos de autenticación MS-CHAP v1 o CHAP. El envío de las credenciales del cliente puede variar en otros protocolos de autenticación. Seguridad una vez realizada la conexión. Después de pasar la autorización y la autenticación, y tras conectar a la LAN, los clientes VPN de conexiones VPN de acceso remoto sólo pueden tener acceso a los recursos de la red para los que tengan permisos. Los clientes VPN de acceso remoto están sujetos a la seguridad de los sistemas operativos Windows Server 2003, tal como si estuvieran en la oficina. Es decir, los clientes VPN de acceso remoto no pueden hacer nada para lo que no tengan los derechos suficientes ni pueden tener acceso a los recursos para los que no tienen permisos. El servidor VPN debe autenticar a los clientes VPN de acceso remoto para que éstos puedan tener acceso a la re o generar tráfico en ella. Esta autenticación es un paso diferente del inicio de sesión en un dominio de Windows Server 2003. 11 Para restringir el acceso para las conexiones VPN de acceso remoto en cuanto al tráfico IP se utilizan filtros de paquetes basados en un perfil de directiva de acceso remoto. Mediante los filtros de paquetes de perfiles, puede establecer las transmisiones IP que se permitirán fuera de la conexión (filtros de salida) o hacia la conexión (filtros de entrada) sobre la base de un conjunto de excepciones: todas las transmisiones excepto aquéllas especificadas por los filtros, o ninguna transmisión excepto aquéllas especificadas por los filtros. El filtrado de perfiles de la directiva de acceso remoto se aplica a todas las conexiones de acceso remoto que cumplen la directiva de acceso remoto. 1.10.2 Autenticación. La autenticación de clientes de redes privadas virtuales (VPN) por el servidor VPN es un aspecto vital de la seguridad. La autenticación tiene lugar en dos niveles: 1.- Autenticación en el nivel de equipo. Cuando se utiliza la seguridad del protocolo Internet (IPsec) en una conexión VPN de Protocolo de túnel de capa 2 (L2TP) a través de IPsec (L2TP/IPsec), la autenticación de nivel de equipo se realiza mediante el intercambio de certificados de equipo o una clave previamente compartida durante el establecimiento de la asociación de seguridad IPsec. 2.- Autenticación en el nivel de usuario. Para enviar datos a través del túnel de Protocolo de túnel punto a punto (PPTP) o L2TP, se debe autenticar el cliente de acceso remoto o el enrutador de marcado a petición que solicita la conexión VPN. La autenticación de nivel de usuario se produce a través de un método de autenticación de Protocolo punto a punto (PPP). Cifrado de datos entre cliente y servidor VPN. Cifrado de datos. Debe utilizar el cifrado de datos para proporcionar confidencialidad a los datos enviados entre el cliente VPN y el servidor VPN a través de la red compartida o pública, donde siempre existe el riesgo de que un usuario no autorizado intercepte los datos. 12 Puede configurar el servidor VPN para que exija comunicaciones cifradas. Los usuarios que se conectan a ese servidor deben cifrar sus datos; en caso contrario, no se permitirá la conexión. En las conexiones VPN, la familia Windows Server 2003 utiliza el Cifrado punto a punto de Microsoft (MPPE) con el Protocolo de túnel punto a punto (PPTP) y el cifrado de seguridad de Protocolo Internet (IPsec) con el Protocolo de túnel de capa 2 (L2TP). Dado que el cifrado de datos se realiza entre el cliente VPN y el servidor VPN, no es necesario en el vínculo de comunicaciones establecido entre un cliente de acceso telefónico y su proveedor de servicios Internet (ISP). Por ejemplo, un usuario móvil utiliza una conexión de acceso telefónico para conectarse con un ISP local. Una vez realizada la conexión a Internet, el usuario crea una conexión VPN con el servidor VPN corporativo. Si la conexión VPN está cifrada, no es necesario cifrar la conexión de acceso telefónico entre el usuario y el ISP. Usar filtrado de paquetes. Filtrado de paquetes. Para proteger el servidor VPN del envío o recepción de todas las transmisiones excepto las transmisiones VPN en la interfaz de Internet, es necesario configurar filtros de entrada y salida para PPTP o L2TP/IPsec en la interfaz que corresponde a la conexión a Internet. En las conexiones VPN de enrutador a enrutador debe configurar también filtros de paquetes PPTP o L2TP/IPsec en el enrutador de llamada (el cliente VPN); este paso se lleva a cabo automáticamente si se configura el servidor de acceso remoto mediante el Asistente para la instalación del servidor de enrutamiento y acceso remoto. Puesto que el enrutamiento IP está habilitado de forma predeterminada en las interfaces de la intranet y en la interfaz que corresponde a la conexión a Internet, el equipo que ejecuta un sistema operativo Windows Server 2003 reenvía los paquetes IP entre Internet y la intranet. Así se proporciona una conexión directa enrutada entre la intranet y los posibles intrusos de Internet. Para proteger la intranet de forma que sólo se reenvíen a ella las transmisiones enviadas y recibidas a través de conexiones VPN seguras, se deben configurar filtros PPTP o L2TP/IPsec en la interfaz de Internet. 13 Si tiene un servidor de seguridad, debe configurar en él filtros de paquetes para permitir el tráfico entre el enrutador VPN y los enrutadores de Internet. 1.10.3 IPsec: Protocolo de Seguridad de Internet. Actualmente algunos de los mecanismos de seguridad más utilizados en Internet realizan control de acceso basado en direcciones IP, usuario y contraseña, así como certificados SSL, entre otros. Todos estos métodos, al sustentarse en las capas superiores del modelo OSI (Interconexión de sistemas abiertos), no garantizan la seguridad de los paquetes IP que circulan por las redes, tan solo aseguran la comunicación entre aplicaciones siempre y cuando esta no haya sido comprometida a nivel de red. En las redes actuales proliferan ataques muy variados, desde un simple reemplazo de dirección IP para suplantar identidad hasta la captura y análisis de paquetes para acceder a usuarios, contraseñas y otras informaciones ilícitamente obtenidas. En este sentido IPsec constituye una profundización de las medidas de seguridad de una red IP. Conceptos Generales de IPsec IPsec provee servicios de seguridad en la capa de red al establecer un sistema para seleccionar los protocolos de seguridad requeridos, determinar el algoritmo a usar por cada servicio y aplicar cualquier llave criptográfica requerida por un servicio determinado. Los servicios disponibles por IPsec incluyen control de acceso, autenticación de origen de datos, detección y rechazo de paquetes reenviados protegiendo de esta forma la integridad y confidencialidad (mediante encriptación). El hecho de que estos servicios sean ofrecidos por la capa IP hace posible que puedan ser usados por cualquier protocolo de capa superior a IP como TCP, UDP (protocolo de datagrama de usuario), ICMP (protocolo Internet de control de mensajes) o BGP IPsec se usa para proteger las comunicaciones por uno o más caminos entre un par de Host, un par de compuertas de seguridad o entre una compuerta de seguridad y un Host. 14 La protección ofrecida por IPsec está basada en los requerimientos definidos por una SPD, (Base de Datos de Políticas de Seguridad) establecida y mantenida por un usuario o administrador del sistema, o por una aplicación. Los paquetes son cotejados contra entradas en la SPD y les son aplicadas una de tres posibles acciones. Cada paquete es protegido utilizando los servicios de seguridad de IPsec. Las redes se diseñan normalmente para impedir el acceso no autorizado a datos confidenciales desde fuera de la intranet de la empresa mediante el cifrado de la información que viaja a través de líneas de comunicación públicas. Sin embargo, la mayor parte de las redes manejan las comunicaciones entre los Host de la red interna como texto sin formato. Con acceso físico a la red y un analizador de protocolos, un usuario no autorizado puede obtener fácilmente datos privados. IPsec autentifica los equipos y cifra los datos para su transmisión entre Host en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPsec es proporcionar protección a los paquetes IP. IPsec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos Host que tienen que conocer la protección de IPsec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. IPsec aumenta la seguridad de los datos de la red mediante: La autenticación mutua de los equipos antes del intercambio de datos. IPsec puede utilizar Kerberos V5 para la autenticación de los usuarios. El establecimiento de una asociación de seguridad entre los dos equipos. IPsec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de área local (LAN). 15 El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES), triple DES (3DES) o DES de 40 bits. IPsec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPsec de los paquetes IP normales. El protocolo también proporciona las ventajas siguientes: Compatibilidad con la infraestructura de claves públicas. También acepta el uso de certificados de claves públicas para la autenticación, con el fin de permitir relaciones de confianza y proteger la comunicación con Host que no pertenezcan a un dominio Windows 2000 en el que se confía. Compatibilidad con claves compartidas. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible, se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos. Transparencia de IPsec para los usuarios y las aplicaciones. Como IPsec opera al nivel de red, los usuarios y las aplicaciones no interactúan con IPsec. Administración centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesión en el dominio, el equipo recibe automáticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local. Estándar abierto del sector. IPsec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante. 16 1.10.4 Características de Seguridad IPsec. Las siguientes características de IPsec afrontan todos estos métodos de ataque: Protocolo Carga de seguridad de encapsulación (ESP). Proporciona privacidad a los datos mediante el cifrado de los paquetes IP. Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPsec. Administración automática de claves. Las claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPsec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican. Negociación de seguridad automática. IPsec usa ISAKMP para negociar de forma dinámica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idénticas, sólo una directiva configurada con las opciones de negociación necesarias para establecer un conjunto de requisitos con otro equipo. Seguridad a nivel de red. IPsec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones. 17 Autenticación mutua. IPsec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPsec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos. 18 1.10.5 Ataques a la Seguridad. A continuación se presenta una lista parcial de los ataques a las redes más comunes: Rastreo. Un rastreador de red es una aplicación o un dispositivo que puede supervisar y leer los paquetes de la red. Si los paquetes no están cifrados, un rastreador de red obtiene una vista completa de los datos del paquete. El Monitor de red de Microsoft es un ejemplo de rastreador de red. Modificación de datos. Un atacante podría modificar un mensaje en tránsito y enviar datos falsos, que podrían impedir al destinatario recibir la información correcta o permitir al atacante conseguir la información protegida. Contraseñas. El atacante podría usar una contraseña o clave robadas, o intentar averiguar la contraseña si es fácil. Suplantación de direcciones. El atacante usa programas especiales para construir paquetes IP que parecen provenir de direcciones válidas de la red de confianza. Nivel de aplicación. Este ataque va dirigido a servidores de aplicaciones al explotar las debilidades del sistema operativo y de las aplicaciones del servidor. Intermediario. En este tipo de ataque, alguien entre los dos equipos comunicantes está supervisando activamente, capturando y controlando los datos de forma desapercibida (por ejemplo, el atacante puede estar cambiando el encaminamiento de un intercambio de datos). Denegación de servicio. El objetivo de este ataque es impedir el uso normal de equipos o recursos de la red. Por ejemplo, cuando las cuentas de correo electrónico se ven desbordadas con mensajes no solicitados. 19 Capítulo 2 Túneles ("Tunneling") Trabajar en un sistema de túnel es un método de utilizar una infraestructura de la red para transferir datos de una red sobre otra; los datos que serán transferidos pueden ser las tramas de otro protocolo. En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo de túnel la encapsula en un encabezado adicional. Éste proporciona información de entubamiento de manera que la carga útil encapsulada pueda viajar a través de la red intermedia. De esta manera, se pueden encaminar los paquetes encapsulados entre los puntos finales del túnel sobre la red, la trayectoria lógica a través de la que viajan los paquetes encapsulados en la red se denomina túnel. Cuando las tramas encapsuladas llegan a su destino sobre la red se desencapsulan y se envían a su destino final. Existen muchos otros ejemplos de túneles que pueden realizarse sobre Intranets corporativas. Y aunque la Red de redes proporciona una de las intranets más penetrantes y económicas, las referencias a Internet en este artículo se pueden reemplazar por cualquier otra Intranet pública o privada que actúe como de tránsito. Las tecnologías de túnel existen desde hace tiempo. 20 Algunos ejemplos de tecnologías maduras incluyen: EL ruteador IP a IPX (Intercambio de Paquetes entre Redes) de destino encabezado UPD e IP, el paquete al destino se ha introducido en los últimos años nuevas tecnologías de sistemas de túneles, mismas que son el enfoque principal de este artículo. Incluyen: Protocolo de túnel de punto a punto (PPTP). Permite que se encripte el tráfico IP, IPX o NetBEUI, y luego se encapsule en un encabezado IP para enviarse a través de una red corporativa IP o una red pública IP, como Internet. Protocolo de túnel de nivel 2 (L2TP). Permite que se encripte el tráfico IP, IPX o NetBEUI, y luego se envíe sobre cualquier medio que dé soporte a la entrega de datagramas punto a punto. Modo de túnel de seguridad IP (IPSec). Deja que se encripten las cargas útiles IP y luego se encapsulen en un encabezado IP, para enviarse a través de una red corporativa IP o una red pública IP como Internet. 2.1 Protocolos de Túneles. Para que se establezca un túnel, tanto el cliente de éste como el servidor deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede basar en el protocolo del túnel de Nivel 2 o e Nivel 3; estos niveles corresponden al Modelo de referencia OSI (Interconexión de sistemas abiertos). Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de intercambio. PPTP y L2TP y el envío de nivel 2 (L2F) son protocolos de túnel de Nivel 2, ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se enviará a través de la red. 21 Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de los protocolos de túnel de Nivel 3; éstos encapsulan los paquetes IP en un encabezado adicional antes de enviarlos a través de una red IP. 2.1.1. Funcionamiento de los túneles. Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una sesión; los dos puntos finales deben estar de acuerdo respecto al túnel, y negociar las variables de la configuración, como asignación de dirección o los parámetros de encriptación o de compresión. En la mayor parte de los casos, los datos que se transfieren a través del túnel se envían utilizando protocolos basados en datagramas; se utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado fuera de banda todos los temas relacionados con la configuración, normalmente a través de procesos manuales; sin embargo, quizá no exista una fase de mantenimiento de túnel. Para los protocolos de Nivel 2 (PPTP y L2TP) se debe crear, mantener y luego concluir un túnel. Cuando se establece el túnel, es Posible enviar los datos a través del mismo. El cliente o el servidor utilizan un protocolo de transferencia de datos del túnel a fin de preparar los datos para su transferencia. Por ejemplo, cuando el cliente del túnel envía una carga útil al servidor, primero adjunta un encabezado de protocolo de transferencia de datos de túnel a la carga útil. Luego, el cliente envía la carga útil encapsulada resultante a través de la red, la que lo en ruta al servidor del túnel. Este último acepta los paquetes, elimina el encabezado del protocolo de transferencia de datos del túnel y envía la carga útil a la red objetivo. 22 La información que se envía entre el servidor del túnel y el cliente del túnel se comporta de manera similar. 2.2 Requerimientos Básicos del Túnel. Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP v L2TP) heredan un conjunto de funciones útiles. Como se señala adelante, estas funciones y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN Autenticación de usuario. Los protocolos de túnel Nivel 2 hereda los esquemas de autenticación del usuario de PPP. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es la negociación IPSec ISAKMP que proporciona una autenticación mutua de los puntos Finales del túnel. Soporte de tarjeta de señales. Al utilizar EAP (Protocolo de Autenticación Extensible), los protocolos de túnel Nivel 2 pueden ofrecer soporte a una amplia variedad de métodos de autenticación, incluidas contraseñas de una sola vez, calculadores criptográficos y tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas. Asignación de dirección dinámica. El túnel de Nivel 2 da soporte a la asignación dinámica de direcciones de clientes basadas en un mecanismo de negociación de protocolos de control de la red en general los esquemas del túnel de nivel 3 suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Cabe mencionar que los esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente en desarrollo, por lo que aún no están disponibles. 23 Protocolos de Punto a Punto. Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadas para PPP (punto a punto), vale la pena examinar este protocolo más de cerca. PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP, cada una de las cuales debe completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir los datos del usuario. Estas fases se explican posteriormente. FASE 1: Establecer el enlace de PPP. PPP utiliza LCP (Protocolo de Control de Enlace) para establecer, mantener y concluir la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de Autenticación, peto no se implementan efectivamente hasta la fase de Autenticación de conexión (Fase 2). De manera similar, durante el LCP se toma una decisión respecto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y los otros detalles. 24 FASE 2: Autentificar al usuario. En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso remoto. Por su parte, un esquema seguro de Autenticación proporciona protección contra ataques de reproducción y personificación de clientes remotos. Un ataque de reproducción ocurre cuando un tercero monitoriza una conexión exitosa y utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de manera que pueda lograr una conexión autenticada. La personificación del cliente remoto ocurre cuando un tercero se apropia de una conexión autenticada. La gran parte de la implementaciones del PPP proporcionan métodos limitado, de Autenticación, típicamente el Protocolo de Autenticación de Contraseña (PAP), el (CHAP) Challenge Handshake Authentication Protocol (Protocolo de Autentificación por Desafió Mutuo). Protocolo de autenticación de contraseña (PAP). El PAP es un esquema simple y claro de autenticación de texto: el NAS solicita al usuario el nombre y la contraseña y el PAP le contesta el texto claro. Protocolo de Autentificación por Desafió Mutuo (CHAP). El CHAP es un mecanismo encriptado que evita la transmisión de contraseñas reales en la conexión. El NAS envía un Challenge, que consiste de una identificación de sesión y una extensión arbitraria al cliente remoto. El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto transparente sobre el enlace. En su lugar, se utiliza la contraseña a fin de crear una verificación encriptada del challenge original. El servidor conoce la contraseña del texto transparente del cliente. Y, por tanto, puede duplicar la operación y comparar el resultado con la contraseña enviada en la respuesta del cliente. 25 El CHAP protege contra ataques de reproducción al utilizar una extensión challenge arbitraria para cada intento de autenticación. Asimismo, protege contra la personificación de un cliente remoto al enviar de manera impredecible challenges repetidos al cliente remoto, a todo lo largo de la duración de la conexión. Microsoft Challenge Handshake Aut 1 identicatíon Protocol (MSCHAP). Es un mecanismo de autenticación encriptado muy similar al CHAP. Al igual que en este último, el NAS envía un challenge, que consiste en una identificación de sesión y una extensión challenge arbitraria, al cliente remoto. Este diseño, que manipula una verificación del MD4 de la contraseña, proporciona un nivel adicional de seguridad, debido a que permite que el servidor almacene las contraseñas verificadas en lugar de contraseñas con texto transparente. MSCHAP también proporciona códigos adicionales de error, incluido un código de Contraseña ya expirado, así como mensajes adicionales cliente-servidor encriptado que permite a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del MSCHAP, tanto el Cliente como el NAS, de manera independiente, una llave inicial para encriptaciones posteriores de datos por el MPPE. FASE 3: Control de Interacción del PPP. La implementación de Microsoft del PPP incluye una Fase opcional de control de interacción. Esta fase utiliza el protocolo de control de iteración (CBCP) inmediatamente después de la fase de autenticación. Si se configura para interacción, después de la autenticación, le desconectan tanto el cliente remoto como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado, lo que proporciona un nivel adicional de seguridad a las redes de marcación. El NAS permitirá conexiones partir de los clientes remotos que físicamente residan sólo en números telefónicos específicos. 26 FASE 4: Invocar los protocolos a nivel de red. Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red (NCP), que se seleccionaron durante la fase de establecimiento de enlace (fase 1) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP puede asignar una dirección dinámica a un usuario de marcación. Fase de transferencia de datos Una vez que hayan concluido las cuatro fases de negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado del PPP, que elimina el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la transmisión. Pero si se seleccionó y se negoció de manera similar la encriptación de datos, éstos (comprimidos opcionalmente) se encriptarán antes de la transmisión. 2.2.1 Modo del Túnel de Seguridad de Protocolos para Internet. El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida de información a través de una red IR En su conjunto se describe con mayor detalle en la sección de Seguridad avanzada. Un túnel IPSec consiste en un cliente de túnel v un servidor de túnel, ambos configurados para utilizar los túneles IPSec y un mecanismo negociado de encriptación. El modo del túnel del IPSec utiliza el método de seguridad negociada para encapsular y encriptar todos los paquetes IP, para una transferencia segura a través de una red privada o pública IP. Así, se vuelven a encapsular la carga útil encriptada con un encabeza do IP de texto y se envía en la red para su entrega a un servidor de túnel. Al recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y luego desencripta su contenido, a fin de recuperar el paquete original IP de carga útil. 27 El modo de túnel IP tiene las siguientes funciones y limitaciones: Solo da soporte a tráfico IP Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles más altos hereda su comportamiento. Está controlado por una Política de seguridad. Esta política de seguridad establece los mecanismos de encriptación y de túnel disponible en orden de preferencia, así como los métodos de autenticación disponibles, también en orden de preferencia, tan pronto como existe tráfico, ambos equipos realizan una autenticación mutua, y luego negocian los métodos de encriptación que se utilizarán. Reenvió de nivel 2 (l2f). Una tecnología propuesta por cisco, es un protocolo de transmisión que permite que los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP, y lo transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido. Protocolo de túnel de nivel 2 (l2tp). Es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente las mejores funciones del PPTP y L2E, L2TP es un protocolo de red cápsula las tramas del PPP que viajan sobre redes IP. Cuando está configurado para utilizar al IP como su transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre Internet. También se Puede utilizar directamente sobre varios medios WAN, sin nivel de transporte IP. El L2TP sobre las redes IP utiliza UDP (Protocolos de datagramas de Usuario) y una serie de mensajes para el mantenimiento de túnel. Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel; se pueden encriptar y /o comprimir las cargas útiles de las tramas PPP encapsuladas. 28 2.3 Tipos de Túnel. 2.3.1 Túneles Voluntarios. Una computadora de usuario o de cliente puede emitir una solicitud VPN para configurar y crear un túnel voluntario. En este caso, la computadora del usuario es un punto terminal del túnel y actúa como un cliente de éste. Un túnel voluntario ocurre cuando, una estación de trabajo o un servidor de entubamiento utilizan el software del cliente del túnel, a fin de crear una conexión virtual al servidor del túnel objetivo; para lograr esto se debe instalar el protocolo apropiado de túnel en la computadora cliente. Para los protocolos que se analizan en este artículo, los túneles voluntarios requieren una conexión IP. En determinadas situaciones, el cliente debe establecer una conexión de marcación con el objeto de conectarse a la red antes de que el cliente pueda establecer un túnel (éste es el caso más común). 2.3.2 Túneles Obligatorios. Un servidor de acceso de marcación capaz de soportar una VPN configura y crea un túnel obligatorio. Con uno de éstos, la computadora del usuario deja de ser un punto terminal del túnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora del usuario y el servidor del túnel, es el punto terminal del túnel y actúa como el cliente del mismo. Un buen ejemplo es el usuario de Internet por marcación, que debe marcar a un ISP y obtener una conexión a Internet antes de que se pueda crear un túnel sobre Internet. En los túneles obligatorios, la computadora cliente realiza una conexión única PPP, y cuando un cliente marca en el NAS se crea un túnel y todo el tráfico se en ruta de manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a todos los clientes de marcación hacia un servidor específico del túnel. 29 De manera alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o destino del usuario. A diferencia de los túneles por separado creados para cada cliente voluntario, un túnel entre el FEP y servidor puede estar compartido entre varios clientes de marcación. Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crear una nueva instancia del túnel entre el FEP y el servidor del túnel. Las VPN proveen hoy ahorros de un 50 % a un 75 % en los costos de comunicaciones, y permiten mantener la arquitectura de las redes flexible para adaptarse a los nuevos mecanismos de negocio de las empresas. 30 Capítulo 3. Implementación de una red privada virtual. Con lo expresado en los capítulos anteriores podemos iniciar la creación de una VPN de forma práctica. Considerando las facilidades que nos dan los equipos actuales la creación de una red entre varias oficinas y/o integrar equipos externos de forma segura a nuestra red LAN atreves de Internet es muy fácil, todo esto sin dejar atrás la necesidad obvia de conocer los aspectos teóricos de los capítulos anteriores. De inicio es necesario saber qué tipo de gateway se tendrá en nuestra red para hacer posible la conexión a Internet. Actualmente las comunicaciones más comunes incluyen módems-routers que proporcionan generalmente los proveedores de Internet, sin embargo es viable la contratación de proveedores que brinden la conexión a Internet con equipos propios. Esto es importante ya que en la mayoría de los equipos modem-router que proporcionan los proveedores de Internet no vienen incluidas las opciones necesarias para una buena seguridad empresarial y mucho menos tienen aplicaciones VPN. Con esto también es necesario planear que tipo de servidor usaremos para la VPN y como habrá que diseñar o rediseñar nuestra red para evitar usuarios no deseados. Existen servidores VPN por software y servidores incluidos en equipos de hardware que, el caso de los routers VPN. El software para servidores VPN puede ser encontrado en varias distribuciones Linux para servidor y en Windows Server 2000R y Windows Server 2003R, sin embargo existe software de administración de red que incluye las opciones necesarias para la configuración de una VPN como servidor. 31 3.1. Configuración de una VPN. Para configurar que Windows Server 2000R funcione como administrador de una VPN existen tutoriales muy completos en Internet de los cuales anexamos la siguiente dirección para su consulta. http://support.microsoft.com/kb/308208/es Así como para hacerlo con un Windows Server 2003R existe la siguiente página. http://support.microsoft.com/kb/323441/es La mayor parte de las distribuciones de Linux incluyen el software necesario para ingresar como usuario a una VPN, Windows XPR también ofrece dentro de sus opciones para la configuración de conexiones de red la aplicación usuario de VPN y hay software administrador que incluye la instalación para usuarios, la cual contiene la aplicación de acceso a VPN. Para configurar un cliente VPN en Windows XPR es necesario seguir los siguientes pasos: Paso 1. Desde Inicio -> Configuración -> Panel de Control -> Conexiones de Red ejecutar el Asistente para crear una conexión nueva (Crear una conexión nueva). Fig. 3.1 a). Asistente de Conexión Nueva 32 Paso 2. Seleccione Conectarse a la red de mi lugar de trabajo. Fig. 3.1 b) Tipo de Conexión de Red Paso 3. Seleccione Conexión de red privada virtual Fig. 3.1 c) Conexión de Red Privada Virtual 33 Paso 4. Ingrese un nombre para identificar la conexión Fig. 3.1 d) Nombre de Conexión Paso 5. Seleccione No usar la conexión inicial Fig. 3.1 e) Red Pública 34 Paso 6. Ingrese el nombre del servidor VPN de la Universidad Fig. 3.1 f) Selección de Servidor VPN Paso 7. En estos momentos a terminado de configurar la conexión, puede habilitar la opción de agregar un enlace directo a esta conexión desde el escritorio. Fig. 3.1 g) Finalización del Asistente de Conexión Nueva 35 Paso 8. Al momento de iniciar la conexión con la VPN deberá ingresar un Usuario y una Clave, la cual se le será asignada en su momento Fig. 3.1 h) Acceso a Red Privada Para la creación de una VPN nosotros sugerimos el router VPN modelo RV042 de linksys el cual incluye las opciones de conexión y encriptación de 30 túneles virtuales los cuales pueden ser usados para la conexión de equipos individuales externos y oficinas remotas. Como lo habíamos comentado la conexión a Internet más común es a través de un Modem-Router, dentro del cual ProdigyR usa en la actualidad uno de marca 2wire alambico e inalámbrico, con opciones de filtrado por puertos y analiza los protocolos más comunes como FTP (Protocolo de Transmisión de Archivos), HTTP (Protocolo de Transferencia de Hypertexto), POP3 (Protocolo de Oficina de Correos), etc. Con lo que respecta a conexión LAN funciona como Servidor DHCP (Protocolo de Configuración de Anfitrión Dinámico) y es asignada la dirección 192.168.1.254 al Modem-Router como dirección fija. En la conexión WAN la IP está configurada como cliente DHCP, con lo que nos topamos con nuestro primer problema cuando se intenta ingresar un equipo servidor VPN posterior al Router. 36 La autentificación utiliza la conexión PPPoE, el DLS es utiliza un Identificador de circuito ATM (Modo de Transmisión Asíncrona) con VPI (identificador Virtual): 8 y VCI (identificador Virtual de Canal): 81, la encapsulación ATM está configurada como LLC (Vinculo Lógico de Control) en puente y la búsqueda de ATM en PVC está Habilitada. Las especificaciones anteriores impiden que un servidor VPN entre en funciones ya que las direcciones IP están asignadas por DHCP y caducan a 24 horas de haberlas concedido y también la conexión cliente DHCP hacia Internet provoca que la IP de la red hacia Internet cambie, lo que causaría un problema al conectarse desde un lugar remoto. Estos problemas se corrigen cambiando la configuración del Router, haciendo que funcione únicamente como puente y que la conexión PPPoE sea establecida posteriormente desde el servidor VPN. Esto se hace cambiando la configuración de la búsqueda de ATM en PVC hacia Deshabilitada, además de modificar las opciones de tipo de conexión de PPPoE hacia dirección IP directa. Fig.3.1 i) Configuración del Router 37 Por la parte de configuración LAN este se debe cambiar para Habilitar red en Puente Fig.3.1 j) Tipo de Red Fig.3.1 k) protección de la Red 38 Haciendo esto solo resta cambiar la configuración de protección para una libre administración desde el servidor, esto se hace habilitando la opción de modo DMZ (Zona desmilitarizada). Una vez haciendo esto, solo resta configurar el router VPN. De igual que configurar cualquier router VPN modelo RV042 de linksys, se configura conectando un cable Ethernet entre uno de los cuatro puertos alambricos del router y una computadora cualesquiera, dentro del Internet Explorer de la computadora se teclea la dirección ip del router dentro de la LAN, generalmente la 192.168.1.254, Una vez en el asistente para la configuración es necesario configurar el router especificando que en WAN se usara PPPoE para la conexión y que los DNS (Sistema de Nombres de Dominio) son automáticos. Para LAN el router tiene que asignar direcciones DHCP así como su rango, dependiendo de la seguridad que se requiera activar el firewall, los filtros MAC, WEB o de puertos que se consideren necesarios. De cualquier manera la seguridad de la red se tendrá que ser determinada por el diseñador de la seguridad de la misma. Por último y lo más importante para nosotros se configuran las opciones VPN. Para configurar las opciones VPN es necesario tener entendidos los conceptos de capítulos anteriores y haber definido que se pretende. Por ejemplo, ¿Cuántos túneles se usaran?, ¿Cómo se aseguraran? O ¿Qué tipo de encriptación tendrán? y ¿Qué tipo de contraseña se usara?. Una vez definido esto se podrá configurar de la manera siguiente. Primero es necesario Habilitar la opción VPN haciendo clic en la cacilla de Efable VPN, una de las ventajas de este Router es que para hacer más eficiente la conexión es posible el uso de dos cables para acceso a WAN por lo que es posible seleccionar porque cable se transferirán los datos de determinado cliente VPN, de forma optima el flujo de la LAN se haría a través de una WAN1 y el flujo de VPN se hará en la WAN2. 39 3.1.1. Diferencia entre una VPN frente al cableado propio o rentado. En los capítulos anteriores se muestra el concepto teórico de una VPN y la forma de seguridad y funcionamiento de la misma, sin embargo comentaremos resumidamente las múltiples ventajas y aplicaciones de la misma sobre una conexión por cableado. El cableado propio es práctico y funcional en las conexiones dentro de una LAN, es decir dentro de un edificio, casa u oficina. Sin embargo mientras más distantes estén las redes o equipos terminales donde se desea establecer la conexión menos funcional y más costoso se vuelve establecer una conexión. La primera ventaja que tiene una VPN es el precio para establecer una conexión, para obtener una comunicación solo es necesario el tener una conexión a Internet, mientras más rápida esta sea mejor velocidad de transmisión se tendrá entre un punto y otro. Por esta necesidad los proveedores de servicios de Internet ofrecen Internet con mayores velocidades cada vez más rápidas y a bajo precio. La libertad que se tiene al establecer una o varias conexiones, es decir no son necesarios permisos o autorizaciones por parte de un gobierno para establecer una conexión por muy lejana que esta sea incluso rebasando las fronteras de cualquier país del mundo, seria una de sus principales ventajas. Las conexiones por cableado requieren autorización para la instalación de postes o permisos para transmisiones por microondas o instalaciones de cableado subterráneo, adicional a que normalmente es necesario contratar empresas con permisos para cruzar fronteras entre países. Existen empresas de comunicaciones que ofrecen su infraestructura para la transmisión privada, sin embargo sus rentas son elevadas en precio comparadas con una conexión simple de Internet. 40 También es importante destacar que en varias localidades no se tiene una conexión por cable, microondas que se pueda contratar para establecer una conexión. Otra ventaja es la fácil expansión ya que si es necesario interconectar varias redes o usuarios, solo es necesario se configuren los equipos a conectar para que se pueda dar la conexión. En las conexiones privadas por cable o microondas mientras más localidades se deseen conectar más gastos y equipo para la conexión es necesario. El equipo a usar es otra ventaja que se tiene. Una VPN puede nacer con una computadora como servidor y/o con un router VPN. Si no se desea invertir grandes cantidades de dinero existen versiones de sistemas operativos para servidores en Linux de distribución gratuita, routers VPN desde $3000.00 o pagando hasta pagando una licencia de Windows Server. Para establecer una conexión privada de cableado es necesario invertir en cableado, licencias para cablear, estaciones repetidoras en conexiones largas, equipo de mantenimiento e ingenieros de soporte y reparación calificados, con lo que todo esto implica. Otra opción para el cableado es la contratación de una empresa dedicada a esto que cobre una renta la cual sobrepasa cualquier presupuesto de una VPN. El mantenimiento es una ventaja que se tiene en una conexión por VPN. Un ingeniero de sistemas calificado puede mantener una VPN simple, claro que esto depende mucho del tamaño de la red y la prioridad de que esta siempre se mantenga en óptimas condiciones. La conexión por cableado necesita un gasto elevado en su instalación y mantenimiento así como ingenieros encargados en cada punto de conexión, por lo que resulta más costoso el mantenimiento comparándolo con una VPN. 41 Aplicaciones Prácticas de una VPN. El simple hecho de tener interconectadas todos tus lugares de trabajo, sucursales y computadoras en una red, te da una increíble capacidad de transmitir y obtener información en el momento en que esta se requiera, siendo muy concretos se tienen todas las ventajas que te puede dar una LAN. Estas son solo algunas de las aplicaciones que se le pueden dar a una conexión por VPN. Monitoreo de actividades del personal. Acceso a todos los Servidores y equipos de tu red incluso a nivel mundial. Al poder transmitir a cualquier lugar es posible establecer llamadas IP, nulificando el cobro del servicio telefónico interno o entre sucursales. Entregar Archivos completos justo en la computadora o computadoras que se necesiten o compartiéndolos a la red de forma general, nulificando el problema de la capacidad del correo electrónico o el uso de programas para la transmisión de archivos. Videoconferencias o juntas telefónicas y conversaciones escritas sin costo. Con la instalación de cámaras IP se puede tener un circuito cerrado de televisión para seguridad o monitoreo de personal. Al poder tener uso de impresoras compartidas el envió de fax entre sucursales no es necesario. Es posible tener conexión, información y acceso recursos de la red aun estando de viaje en países o lugares distantes fuera de la oficina o lugar de trabajo. 42 3.2. Implementación de una red privada virtual de enrutador a enrutador basada en L2TP Para crear una conexión VPN de enrutador a enrutador basada en L2TP/IPSec para enviar datos privados a través de Internet, debe seguir los siguientes pasos: 1.- Configure el enrutador con sistema operativo Windows Server 2003 de la oficina corporativa para que reciba conexiones PPTP desde el enrutador de la sucursal. 2.- Configure el enrutador con sistema operativo Windows Server 2003 de la sucursal para que inicie una conexión L2TP con el enrutador de la oficina corporativa. 3.- Inicie la conexión L2TP desde el enrutador de la sucursal. En estos pasos se supone que la conexión VPN de enrutador a enrutador basada en L2TP/IPSec se establece entre una oficina corporativa y una sucursal. Sin embargo, también puede aplicar estos pasos a las conexiones VPN entre dos oficinas corporativas. En la siguiente ilustración se muestran los elementos de una conexión VPN de enrutador a enrutador L2TP/IPSec en un equipo que ejecuta un sistema operativo Windows Server 2003. Fig. 3.2. a) Electos de una conexión VPN 43 3.2.1 Configurar el enrutador de la oficina corporativa. Si desea que el enrutador con sistema operativo Windows Server 2003 de la oficina corporativa admita varias conexiones L2TP con sucursales, realice los pasos siguientes: 1.- Configure la conexión a Internet. La conexión a Internet es una conexión dedicada, un adaptador para WAN instalado en el equipo. Normalmente, el adaptador para WAN es un adaptador DDS, T1, T1 fraccionario o de Frame Relay. Debe contratar los servicios de una compañía telefónica local para que instale el cableado físico apropiado en sus instalaciones. Tiene que comprobar que el adaptador para WAN es compatible con los sistemas operativos Windows Server 2003. El adaptador para WAN incluye controladores que se instalan en los sistemas operativos Windows Server 2003 de forma que aparece como un adaptador de red. Debe configurar los siguientes valores de TCP/IP en el adaptador para WAN: La dirección IP y la máscara de subred asignadas por InterNIC o por un proveedor de servicios Internet (ISP). La puerta de enlace predeterminada del enrutador del ISP. 2.- Configure la conexión a la Intranet. La conexión a la Intranet es un adaptador para LAN instalado en el equipo. Tiene que comprobar que el adaptador para LAN es compatible con los sistemas operativos Windows Server 2003. Debe configurar los siguientes valores de TCP/IP en el adaptador para LAN: La dirección IP y la máscara de subred asignadas por el administrador de la red 44 Si se ejecutan aplicaciones en el enrutador de la oficina corporativa, debe configurar el siguiente valor de TCP/IP en el adaptador para LAN: Los servidores de nombres DNS y WINS correspondientes de la Intranet corporativa. Puesto que el enrutador de la oficina corporativa en rutará el tráfico entre ésta y la sucursal, debe configurar el enrutador con rutas estáticas o con protocolos de enrutamiento, de manera que sea posible el acceso a todos los destinos de la red corporativa desde el enrutador de la oficina corporativa. 3.- Instale un certificado de equipo. Aunque es posible utilizar certificados de equipo o una clave previamente compartida con el fin de proporcionar autenticación para las asociaciones de seguridad IPSec en una conexión L2TP/IPSec, el método recomendado son los certificados de equipo. Por ello, debe instalar un certificado de equipo en el enrutador de la oficina corporativa. 4.- Configure el enrutador de la oficina corporativa. Debe habilitar el enrutador de la oficina corporativa; para ello, instale el Servicio de enrutamiento y acceso remoto. 5.- Configure las interfaces de marcado a petición. Para cada enrutador de sucursal, puede crear una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición. En el asistente, configure las siguientes opciones: Nombre de interfaz. Escriba el nombre de la interfaz que representa la conexión a la sucursal. Ejemplo EnrutadorEsime. Tipo de conexión. Conectar usando red privada virtual (VPN). Tipo de VPN. Protocolo de túnel de capa dos (L2TP). 45 Dirección de destino. Puesto que el enrutador de la oficina corporativa no iniciará la conexión VPN, no se requiere ninguna dirección. Protocolos y seguridad Seleccione los protocolos que desee en rutar y luego active la casilla de verificación Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse. Configurar rutas estáticas. Debe agregar rutas estáticas para que se reenvíe el tráfico a la sucursal mediante la interfaz de marcado a petición apropiada. Para cada ruta de cada sucursal, configure la interfaz, el destino, la máscara de red y la métrica. En cuanto a la interfaz, debe seleccionar la interfaz de marcado a petición que corresponda a la sucursal. Credenciales de llamada saliente Puesto que el enrutador de la oficina corporativa no iniciará la conexión VPN, escriba cualquier nombre, dominio y contraseña. Credenciales de llamada entrante Escriba el dominio y la contraseña de la cuenta que se utilizará para autenticar el enrutador de la sucursal. El Asistente para interfaz de marcado a petición crea automáticamente la cuenta y configura su permiso de acceso remoto como permitir acceso. El nombre de la cuenta es el mismo que el de la interfaz de marcado a petición. 6.- Configure los filtros de paquetes del servidor de seguridad. Si utiliza un servidor de seguridad en la oficina corporativa, debe configurar filtros de paquetes L2TP/IPSec en el servidor de seguridad para permitir el tráfico L2TP/IPSec entre los enrutadores de las sucursales y el enrutador de la oficina corporativa. 7.- Configure las directivas de acceso remoto. Al utilizar el Asistente para interfaz de marcado a petición, las propiedades de marcado de las cuentas de usuario que utilizan los enrutadores de las sucursales ya están configuradas para permitir el acceso remoto. 46 Si desea conceder acceso remoto a los enrutadores de las sucursales basados en L2TP/IPSec, en función de la pertenencia a grupos, haga lo siguiente: A.- En el caso de un enrutador independiente que no sea miembro de un dominio, utilice Usuarios y grupos locales, y configure las propiedades de marcado como permitir acceso para todos los usuarios. B.- Para un enrutador basado en servicios de directorio, utilice Usuarios y equipos de Active Directory, (Directorio Activo) y configure las propiedades de marcado como controlar acceso a través de la directiva de acceso remoto para todos los usuarios. C.- Cree un grupo de Active Directory de Windows Server 2003 cuyos miembros puedan crear conexiones de red privada virtual con el servidor VPN. D.- Agregue al grupo de Active Directory las cuentas de usuario que correspondan a las cuentas que utilizan los enrutadores de las sucursales. E.- Cree una nueva directiva de acceso remoto con las propiedades siguientes: En Nombre de directiva, escriba Acceso a VPN si es miembro de EnrutadorEsime (ejemplo). Asigne EnrutadorEsime (ejemplo) a la condición Grupos de Windows. Asigne Virtual (VPN) a la condición Tipo de puerto NAS. Asigne Protocolo de túnel de capa 2 (L2TP) a la condición Tipo de túnel. Active la opción Conceder permiso de acceso remoto. F.- Si este equipo sólo se utiliza para proporcionar conexiones VPN de enrutador a enrutador, debe eliminar las directivas predeterminadas de acceso remoto. De lo contrario, mueva la directiva de acceso remoto predeterminada para que se evalúe en último lugar. La configuración predeterminada admite todos los niveles de cifrado y permite que no haya cifrado. 47 Para requerir el cifrado, desactive la opción Sin cifrado y seleccione los niveles de cifrado apropiados en la ficha Cifrado del perfil de directiva de acceso remoto que utilizan los enrutadores de llamada. 3.2.2. - Configurar el enrutador de la sucursal. Si desea que el enrutador que ejecuta un sistema operativo Windows Server 2003 en la sucursal inicie una conexión L2TP con el enrutador de la oficina corporativa, realice los pasos siguientes: Configure la conexión a Internet. Configure la conexión a la red de la sucursal. Instale un certificado de equipo. Configure una interfaz de marcado a petición. Configure las rutas estáticas. Configure los filtros de paquetes del servidor de seguridad. Configurar la conexión a Internet. La conexión a Internet es una conexión dedicada, un adaptador para WAN instalado en el equipo. Normalmente, el adaptador para WAN es un adaptador DDS, T1, T1 fraccionario o de Frame Relay. Debe contratar los servicios de una compañía telefónica local para que instale el cableado físico apropiado en sus instalaciones. Tiene que comprobar que el adaptador para WAN es compatible con los sistemas operativos Windows Server 2003. El adaptador para WAN incluye controladores que se instalan en los sistemas operativos Windows Server 2003 de forma que aparece como un adaptador de red. 48 Debe configurar los siguientes valores de TCP/IP en el adaptador para WAN: 1.- La dirección IP y la máscara de subred asignadas por InterNIC o por un proveedor de servicios Internet (ISP). 2.- La puerta de enlace predeterminada del enrutador del ISP. Configurar la conexión a la red de la sucursal La conexión a la red de la sucursal es un adaptador para LAN instalado en el equipo. Tiene que comprobar que el adaptador para LAN es compatible con los sistemas operativos Windows Server 2003. Debe configurar los siguientes valores de TCP/IP en el adaptador para LAN: 1.- La dirección IP y la máscara de subred asignadas por el administrador de la red. 2.- Los servidores de nombres DNS y WINS correspondientes de la sucursal. Puesto que el enrutador de la sucursal funcionará como enrutador entre la oficina corporativa y la sucursal, debe configurar el mismo con rutas estáticas o con protocolos de enrutamiento, de manera que sea posible tener acceso a todos los destinos de la red de la sucursal desde el enrutador de la sucursal. Instalar un certificado de equipo. Puesto que el enrutador de la sucursal utiliza certificados de equipo para autenticar la asociación de seguridad IPSec para la conexión L2TP/IPSec, debe instalar un certificado de equipo en el enrutador de la sucursal para que se pueda establecer correctamente una conexión L2TP/IPSec. Configurar una interfaz de marcado a petición. Para crear una interfaz de marcado a petición, utilice el Asistente para interfaz de marcado a petición. En el asistente, configure las siguientes opciones: 49 Nombre de interfaz: Escriba el nombre de la interfaz que representa la conexión a la oficina corporativa. Por ejemplo, escriba OficinaCorp. Tipo de conexión: Haga clic en Conectar usando red privada virtual (VPN). Tipo de VPN: Haga clic en Protocolo de túnel de capa dos (L2TP). Dirección de destino: Escriba la dirección IP o el nombre de host asignado a la interfaz con Internet del enrutador de la oficina corporativa. Si escribe un nombre de host, compruebe que éste se resuelve en la dirección IP correcta. Protocolos y seguridad: Seleccione los protocolos que desea enrutar. Credenciales de llamada saliente: Escriba el nombre, el nombre de dominio y la contraseña de la cuenta de usuario correspondiente al enrutador de la sucursal. Las credenciales son las mismas que se incluyeron en la página Credenciales de llamada saliente del Asistente para interfaz de marcado a petición, al crear la interfaz de marcado a petición correspondiente a esta sucursal en el enrutador de la oficina corporativa. Configurar rutas estáticas. Es necesario agregar rutas estáticas para que se reenvíe el tráfico a la oficina corporativa mediante la interfaz de marcado a petición apropiada. Para cada ruta de la oficina corporativa, configure la interfaz, el destino, la máscara de red y la métrica. Para la interfaz, seleccione la interfaz de marcado a petición que corresponda a la oficina corporativa creada anteriormente. Configurar filtros de paquetes del servidor de seguridad. Si utiliza un servidor de seguridad en la sucursal, debe configurar filtros de paquetes L2TP/IPSec en el servidor de seguridad para permitir el tráfico L2TP/IPSec entre el enrutador de la oficina corporativa y el enrutador de la sucursal. 50 Iniciar la conexión VPN L2TP de enrutador a enrutador. Para conectar el enrutador de la sucursal con el enrutador de la oficina corporativa, en Enrutamiento y acceso remoto, haga clic con el botón secundario del Mouse (ratón) en la interfaz de marcado a petición que conecte con la sucursal y, a continuación, haga clic en Conectar. 3.3 Implementación de una red privada virtual de enrutador a enrutador basada en PPTP. Para crear una conexión VPN de enrutador a enrutador basada en PPTP para enviar datos privados a través de Internet, debe seguir los siguientes pasos: Configure el enrutador que ejecuta un sistema operativo Windows Server 2003 en la oficina corporativa para que reciba conexiones PPTP desde el enrutador de una sucursal. Configure el enrutador que ejecuta un sistema operativo Windows Server 2003 en la sucursal para que inicie una conexión PPTP con el enrutador de la oficina corporativa. Inicie la conexión PPTP desde el enrutador de la sucursal. 3.3.1 Configurar el enrutador de la oficina corporativa Si desea que el enrutador que ejecuta un sistema operativo Windows Server 2003 en la oficina corporativa admita varias conexiones PPTP con sucursales, realice los pasos siguientes: Configure la conexión a Internet. Configure la conexión a la intranet. Configure las interfaces de marcado a petición. Configure los filtros de paquetes del servidor de seguridad. Configure las directivas de acceso remoto. 51 En la ilustración siguiente se muestran los elementos de una conexión VPN de enrutador a enrutador basada en PPTP en un equipo que ejecuta un sistema operativo Windows Server 2003. Fig. 3.3.a). Conexión VPN basada en PPTP Configurar la conexión a Internet. La conexión a Internet es una conexión dedicada; un adaptador para WAN instalado en el equipo. Normalmente, el adaptador para WAN es un adaptador DDS, T1, T1 fraccionario o de Frame Relay. Debe contratar los servicios de una compañía telefónica local para que instale el cableado físico apropiado en sus instalaciones. Tiene que comprobar que el adaptador para WAN es compatible con los productos de la familia de Windows Server 2003. El adaptador para WAN incluye controladores que se instalan en los sistemas operativos Windows Server 2003 de forma que aparece como un adaptador de red. Debe configurar los siguientes valores de TCP/IP en el adaptador para WAN: La dirección IP y la máscara de subred asignadas por InterNIC o por un proveedor de servicios Internet (ISP). La puerta de enlace predeterminada del enrutador del ISP. 52 Configurar la conexión a la Intranet. La conexión a la Intranet es un adaptador para LAN instalado en el equipo. Tiene que comprobar que el adaptador para LAN es compatible con los productos de la familia de Windows Server 2003. Debe configurar los siguientes valores de TCP/IP en el adaptador para LAN: La dirección IP y la máscara de subred asignadas por el administrador de la red. Los servidores de nombres DNS y WINS correspondientes de la Intranet corporativa. Puesto que el enrutador de la oficina corporativa en rutará el tráfico entre la oficina corporativa y la sucursal, debe configurar el mismo con rutas estáticas o con protocolos de enrutamiento, de manera que sea posible el acceso a todos los destinos de la red corporativa desde el enrutador de la oficina corporativa. Configurar el enrutador de la oficina corporativa. Debe habilitar el enrutador de la oficina corporativa; para ello, instale el Servicio de enrutamiento y acceso remoto. Configurar interfaces de marcado a petición. Para cada enrutador de sucursal, puede crear una interfaz de marcado a petición con el Asistente para interfaz de marcado a petición. En el asistente, configure las siguientes opciones: Nombre de interfaz: El nombre de la interfaz que representa la conexión a la sucursal. Tipo de conexión: Conectar usando red privada virtual (VPN). Tipo de VPN: Protocolo de túnel punto a punto (PPTP). Dirección de destino: Puesto que el enrutador de la oficina central no iniciará la conexión VPN, no se requiere ninguna dirección ni número de teléfono. Protocolos y seguridad: Active la casilla de verificación. Agregar una cuenta de usuario para que un enrutador remoto pueda conectarse. 53 Configurar rutas estáticas: Debe agregar rutas estáticas para que se reenvíe el tráfico a la sucursal mediante la interfaz de marcado a petición apropiada. Para cada ruta de cada sucursal, configure la interfaz, el destino, la máscara de red y la métrica. En cuanto a la interfaz, debe seleccionar la interfaz de marcado a petición que corresponda a la sucursal. Credenciales de llamada saliente: Puesto que el enrutador de la oficina corporativa no iniciará la conexión VPN, escriba cualquier nombre, dominio y contraseña. Credenciales de llamada entrante: Escriba el dominio y la contraseña de la cuenta que se utilizará para autenticar el enrutador de la sucursal. El Asistente para interfaz de marcado a petición crea automáticamente la cuenta y configura su permiso de acceso remoto como permitir acceso. El nombre de la cuenta es el mismo que el de la interfaz de marcado a petición. Configurar filtros de paquetes del servidor de seguridad. Si utiliza un servidor de seguridad en la oficina corporativa, debe configurar filtros de paquetes PPTP en el servidor de seguridad para permitir el tráfico PPTP entre los enrutadores de las sucursales y el enrutador de la oficina corporativa. Configurar directivas de acceso remoto. Al utilizar el Asistente para interfaz de marcado a petición, las propiedades de marcado de las cuentas de usuario que utilizan los enrutadores de las sucursales ya están configuradas para permitir el acceso remoto. Si desea conceder acceso remoto a los enrutadores de la sucursal basados en PPTP, en función de la pertenencia a grupos, haga lo siguiente: En el caso de un enrutador independiente que no sea miembro de un dominio, utilice Usuarios y grupos locales, y configure las propiedades de marcado como permitir acceso para todos los usuarios. 54 Para un enrutador basado en servicios de directorio, utilice Usuarios y equipos de Active Directory, y configure las propiedades de marcado como controlar acceso a través de la directiva de acceso remoto para todos los usuarios. Cree un grupo de Active Directory cuyos miembros puedan crear conexiones de redes privadas virtuales con el servidor VPN. Agregue al grupo de Active Directory las cuentas de usuario que correspondan a las cuentas que utilizan los enrutadores de las sucursales. Cree una nueva directiva de acceso remoto con las propiedades siguientes: 1.- En Nombre de directiva, escriba Acceso a VPN si es miembro de EnrutadorEsime (ejemplo). 2.- Asigne EnrutadorEsime (ejemplo) a la condición Grupos de Windows. 3.- Asigne Virtual (VPN) a la condición Tipo de puerto NAS. 4.- Asigne Protocolo de túnel punto a punto (PPTP) a la condición Tipo de túnel. 5.- Active la opción Conceder permiso de acceso remoto. Si este equipo sólo se utiliza para proporcionar conexiones VPN de enrutador a enrutador, debe eliminar las directivas predeterminadas de acceso remoto. De lo contrario, mueva la directiva de acceso remoto predeterminada para que se evalúe en último lugar. La configuración predeterminada admite todos los niveles de cifrado y permite que no haya cifrado. Para requerir el cifrado, desactive la opción Sin cifrado y seleccione los niveles de cifrado apropiados en la ficha Cifrado del perfil de directiva de acceso remoto que utilizan los enrutadores de llamada. 55 3.3.2. Configurar el enrutador de la sucursal. Si desea que el enrutador que ejecuta un sistema operativo Windows Server 2003 en la sucursal inicie una conexión PPTP con el enrutador de la oficina corporativa, realice los pasos siguientes: Configure la conexión a Internet. Configure la conexión a la red de la sucursal. Configure una interfaz de marcado a petición. Configure las rutas estáticas. Configure los filtros de paquetes del servidor de seguridad. Configurar la conexión a Internet. La conexión a Internet es una conexión dedicada; un adaptador para WAN instalado en el equipo. Normalmente, el adaptador para WAN es un adaptador DDS, T1, T1 fraccionario o de Frame Relay. Debe contratar los servicios de una compañía telefónica local para que instale el cableado físico apropiado en sus instalaciones. Tiene que comprobar que el adaptador para WAN es compatible con los sistemas operativos de servidor. El adaptador para WAN incluye controladores que se instalan en los sistemas operativos Windows Server 2003 de forma que aparece como un adaptador de red. Debe configurar los siguientes valores de TCP/IP en el adaptador para WAN: La dirección IP y la máscara de subred asignadas por InterNIC o por un proveedor de servicios Internet (ISP). La puerta de enlace predeterminada del enrutador del ISP. 56 Configurar la conexión a la red de la sucursal. La conexión a la red de la sucursal es un adaptador para LAN instalado en el equipo. Tiene que comprobar que el adaptador para WAN es compatible con los productos de la familia de Windows Server 2003. Debe configurar los siguientes valores de TCP/IP en el adaptador para LAN: La dirección IP y la máscara de subred asignadas por el administrador de la red. Los servidores de nombres DNS y WINS correspondientes de la sucursal. Configurar una interfaz de marcado a petición. Para crear una interfaz de marcado a petición, utilice el Asistente para interfaz de marcado a petición. En el asistente, configure las siguientes opciones: Nombre de interfaz: Escriba el nombre de la interfaz que representa la conexión a la oficina corporativa. Por ejemplo, escriba OficinaCorp. Tipo de conexión: Conectar usando red privada virtual (VPN). Tipo de VPN: Protocolo de túnel punto a punto (PPTP). Dirección de destino: Escriba la dirección IP o el nombre de host asignado a la interfaz con Internet del enrutador de la oficina corporativa. Si escribe un nombre de host, compruebe que éste se resuelve en la dirección IP correcta. Credenciales de llamada saliente: Escriba el nombre, el nombre de dominio y la contraseña de la cuenta de usuario correspondiente al enrutador de la sucursal. Las credenciales son las mismas que se incluyeron en la página Credenciales de llamada saliente del Asistente para interfaz de marcado a petición, al crear la interfaz de marcado a petición correspondiente a esta sucursal en el enrutador de la oficina corporativa. 57 Configurar rutas estáticas. Es necesario agregar rutas estáticas para que se reenvíe el tráfico a la oficina corporativa mediante la interfaz de marcado a petición apropiada. Para cada ruta de la oficina corporativa, configure la interfaz, el destino, la máscara de red y la métrica. Para la interfaz, seleccione la interfaz de marcado a petición que corresponda a la oficina corporativa creada anteriormente. Configurar filtros de paquetes del servidor de seguridad. Si utiliza un servidor de seguridad en la sucursal, debe configurar filtros de paquetes PPTP en el servidor de seguridad para permitir el tráfico PPTP entre los enrutadores de la oficina corporativa y el enrutador de la sucursal. Iniciar la conexión VPN PPTP de enrutador a enrutador. Para probar la conexión del enrutador de la sucursal con el enrutador de la oficina corporativa, en Enrutamiento y acceso remoto, haga clic con el botón secundario del Mouse (ratón) en la interfaz de marcado a petición que conecte con la oficina corporativa y, a continuación, haga clic en Conectar. 58 CONLUSIONES. Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias. Existe seguridad en el viaje de la información ya que se realiza en forma encriptada a través del túnel creada por el usuario. Disminuye considerablemente el costo de llamadas telefónicas de larga distancia o de servicio medido ya que se paga una renta sin limitaron en tiempo y distancia. 59 BIBLIOGRAFÍA www.checkpoint.com 15 de septiembre del 2007 http://www.interlan.com.co/vpns.htm 15 de Septiembre del 2007 http://es.wikipedia.org/wiki/Red_privada_virtual 22 de Septiembre del 2007 http://html.rincondelvago.com/redes-virtuales-privadas.html 09 de Noviembre del 2007 http://www.interlan.com.co/vpns.htm 09 de Noviembre del 2007 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHe lp/6926383e-cfbd-41f7-b657-e8e5bfe0b3c5.mspx?mfr=true 14 de noviembre de 2007 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHe lp/4991d1ec-366c-417b-8d3c-082c3005576d.mspx?mfr=true 14 de noviembre de 2007 http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html 14 de noviembre de 2007 60 GLOSARIO Datagramas: Son paquetes de información. Extranet. Una Extranet es una red privada que usa los protocolos de Internet y el sistema público de telecomunicaciones para compartir, de modo seguro, parte de la información de un negocio o las operaciones con proveedores, vendedores, socios, clientes u otro tipo de negocios. Una Extranet puede ser considerada como parte de la Intranet de una compañía que se amplía a usuarios que están fuera de la empresa. FTP: (File Transfer Protocol). Protocolo de Transferencia de Archivos. Uno de los protocolos de transferencia de archivos más usado en Internet. GRE (Enrutamiento Encapsulado Genérico) IP: (Internet Protocol.) Protocolo de Internet. Bajo éste se agrupan los protocolos de Internet. También se refiere a las direcciones de red Internet. IPX: (Internet Packet Exchange. Intercambio de Paquetes entre Redes. Inicialmente protocolo de Novell para el intercambio de información entre aplicaciones en una red Netware ISP: (Internet Service Provider). Proveedor de Servicios Internet IPSec (Seguridad de Protocolo de Internet) Intranet: Red TCP/IP de una empresa que utiliza los protocolos y normas abiertas que han surgido a partir de Internet L2TP (Protocolo de túnel de nivel 2) LCP (Protocolo de Control de Enlace) 61 Módem: (modulador-de modulador) modula las señales digitales que salen de un ordenador u otro dispositivo digital para convertirlas en señales analógicas para que puedan ser enviadas por una línea telefónica convencional de par entrelazado de cobre, y de modula la señal analógica para convertirla en una señal digital que pueda ser interpretada por el dispositivo. OSI: (Open Systems Interconnection). Interconexión de Sistemas Abiertos. Modelo de referencia de interconexión de sistemas abiertos propuesto por la ISO. Divide las tareas de la red en siete niveles. PPP: (Point to Point Protocol). Protocolo Punto a Punto. Protocolo Internet para establecer enlace entre dos puntos. PPTP (Protocolo de túnel de punto a punto) ROUTER: Dispositivo conectado a dos o más redes que se encarga únicamente de tareas de comunicaciones. Red: Es una colección de estándares, basada en dispositivos que encadenan todo lo referente a la compañía, como computadoras de escritorio, anfitriones y recursos, sin sacrificar velocidad, costo o maniobrabilidad. (Red de Área Local) TCP: (Transmission Control Protocol). Protocolo de Control de Transmisión. Uno de los protocolos más usados en Internet. Es un protocolo del Transport Layer. Túnel: Técnicas de encapsulado del tráfico. UDP: User Datagram Protocol. Protocolo de Datagrama de Usuario. Protocolo abierto en el que el usuario (programador) define su propio tipo de paquete. VPN (Redes Virtuales Privadas) 62