Actividad 2. Foro: VPN Y Protocolos.

Discutir otras alternativas para la implementacin de VPNs mediante la utilizacin de otros protocolos. El propsito de la siguiente actividad es que identifiques y compares las ventajas y desventajas para la implementacin de VPNs mediante la utilizacin de otros protocolos. Para llevar a cabo la actividad debers realizar lo siguiente: 1. De la lista siguiente lista, deber elegir TRES protocolos y compararlos: i) Protocolos estndar: (1) PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet, que ofrece autenticacin, cifrado y compresin. (2) L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Este protocolo no ofrece seguridad, para lo que se suele usa en conjuncin con L2Sec o IPSEC. (3) IPsec (la abreviatura de Internet Protocol Security) es una extensin al protocolo IP que aade cifrado fuerte y autenticacin, asegurando de esta manera las comunicaciones a travs de dicho protocolo. ii) Protocolos no estndar: (1) OpenVPN una solucin de cdigo abierto, robusta y altamente flexible. Soporta mltiples tipos de cifrado, autenticacin y certificacin a travs de la librera OpenSSL, as como compresin mediante la librera LZO. Permite realizar un tnel IP tanto sobre un TCP como UDP . (2) VTun es una solucin de fuente abierta que permite crear de forma sencilla tneles a travs de redes TCP/IP con compresin y cifrado. Soporta, entre otros, tneles IP, PPP, SLIP y Ethernet. (3) cIPe es una solucin similar a IPSec ms ligera por tener un protocolo ms sencillo, pero no estandarizada. (4) tinc es una solucin que permite realizar una VPN con cifrado, autenticacin y compresin (mediante las libreras OpenSSL y LZO), y que se puede ejecutar sobre mltiples sistemas operativos.
.

PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet, que ofrece autenticacin, cifrado y compresin
PPPOE(Protocolo Punto a Punto sobre Ethernet):El servidor posee un software con caractersticas del Protocolo PPP, como la autenticacin. tambin se conoce esta conexin como "Tnel" ya que une dos puntos, en este caso el PC o router con el servidor. Este tipo de conexin requiere un "Nombre de usuario" y "Contrasea" para autenticarse en el servidor (en este caso el servidor es la empresa que nos provee la conexin de banda ancha).

http://i2.wp.com/www.adslfaqs.com.ar/wpcontent/uploads/2007/03/pppoe_arch1.jpg?resize=482%2C353

Ventajas que slo se encuentran en PPPoE PPPoE tiene aspectos positivos que no se puede encontrar en PPPoA, veremos los que ahora. Autenticacin de usuario final a la red, obliga al usuario final para autenticar a un servidor RADIUS antes de poder acceder a la red Las opciones de facturacin, le da al proveedor de la capacidad de ofrecer diferentes opciones de facturacin, por el tiempo, por los datos, ilimitado o por servicios adquiridos La conservacin de la direccin IP, el proveedor puede limitar el nmero d e IP de un usuario especfico puede recibir o puede forzar a un usuario de la conexin a voluntad El modelo de negocio al por mayor, el proveedor puede optar por alquilar el bucle local a otro proveedor que puede vender el acceso interno a un usuario

 Solucin de problemas, un proveedor puede decir fcilmente lo que los usuarios estn encendidos o apagados en una base por usuario Escalable, toda la autenticacin, autorizacin y contabilidad puede ser manejado por cada usuario utilizando los servidores Radius invisible al usuario final, pueden ser integrado en el Customer Premise Equipment CPE hacer el proceso de conexin invisible para el usuario final - aunque le recomendamos que se quedan fuera de la CPE. Seleccin de servicios, tanto se puede utilizar para ofrecer servicios mltiples y seleccin del servicio Gestin de Marca, por tener el software del cliente para conectarse y desconectarse obligan al usuario a ver la marca de los proveedores, el logotipo o nombre de la empresa. El boca a boca es la forma ms fuerte de la publicidad Aumento de las oportunidades de ingresos, con PPPoE podemos ofrecer la posibilidad de acceder a mltiples servicios o crear varias sesiones, todo al mismo tiempo por la misma lnea. Qu se entiende por servicios mltiples? Qu tal una cuenta especial para un nio que les da acceso G nominal solamente? Qu tal una pelcula dedicada o servidor de msica? Facilidad de apoyo, el software de PPPoE tiene la solucin de problemas y archivos de ayuda integrados en la aplicacin. Si se produce un error el mensaje de error puede estar presente para el usuario final con una resolucin posible prevenir al cliente de tener que llamar al proveedor para obtener ayuda. En todo PPPoA se hace en el sentido CPE cuando un problema se produce la notificacin slo se enciende en el CPE, que nada decirle a un usuario La familiaridad del usuario final, el cliente de los usuarios de software del lado del actual con el aspecto familiar de dial-up, que si la compra de un servicio de banda ancha significa que son casi el 100% familiar con el dial-up mirada y la tarifa de la reduccin de su curva de aprendizaje para usar el nuevo servicio Obras en el entorno existente, si un proveedor ya ofrece un servicio basado en PPPoE Ethernet puede ser implementa sin modificar la CPE vigente, como se mencion anteriormente PPPoA necesita una interfaz ATM Negativos que se encuentran en PPPoE Lo nico negativo es que cada vez planteadas slo se encuentra en PPPoE es que debe tener el software instalado en el lado del cliente. Como se muestra por encima de esto es realmente positivo que debe ser reforzada a un proveedor. Las principales razones por PPPoE se debe utilizar ms de PPPoA Por encima de que hemos demostrado las ventajas comn de ambos, los principales inconvenientes de PPPoE y las ventajas principales de PPPoE. Los elementos que deben tenerse en cuenta son las ventajas que ofrece PPPoE a un proveedor que no PPPoA: Gestin de Marca, Ingresos y Disminucin de la generacin de opciones de soporte Call Center.

http://www.peruhardware.net/foros/showthread.php?t=122641

IPsec (la abreviatura de Internet Protocol Security) es una extensin al protocolo IP que aade cifrado fuerte y autenticacin, asegurando de esta manera las comunicaciones a travs de dicho protocolo.

Que es IPSec?
IPSec es una propuesta de arquitectura, la cual busca proveer servicios de seguridad al trafico de la capa IP (IPv4 y IPv6). La forma de proveer estos servicios es a traves de otros protocolos asi como de mecanismos de criptografia , los cuales pueden ser usados solos o en conjunto, para proveer distintos niveles de seguridad. Entre los servicios que provee se encuentran control de acceso, integridad sin conexion, autentificacion de origen de datos, proteccion antiduplicados y confidencialidad. La manera de conseguir estos objetivos es a traves del uso de dos protocolos, Authentication Header(AH) y Encapsulatin Security Payload (ESP), y el uso de procedimientos y protocolos de manejo de claves. Estos pueden ser usado en cualquier contexto y la manera en que se conbinarn, depende de los requerimientos de seguridad de los usuarios, aplicaciones y organizaciones que lo emplearan. La idea es que el uso de este protoclo sea totalmente transparente al trafico del usuario. El protoclo IPSec es totalmente independiente de los algoritmos y procedimientos usados para los procedimientos criptograficos. Es conveniente resaltar que esta seguridad solo afectara la capa IP, y los niveles superiores a esta.
Como funciona.

Los protocolos que soportan IPSec pueden ser usados solos o en conjunto, para lograr la combinacin de servicios que se necesite. Ambos pueden ser usados en modo Tunneling o en modo Transport. El modo Transport, se utiliza cuando la comunicacin se produce entre dos hosts. En este modo el encabezado de seguridad se encontrara despues del encabezado

IP con sus opciones (con algunas diferencias entre paquetes IPv4 e IPv6), y antes de cualquier encabezado de capas superiores. De esta manera, no da garantias de seguridad en cuanto al encabezado del paquete. El modo Tunneling se utiliza cuando la comunicacin se produce cuando hay que asegurar un tunel IP. Cada vez que uno de los equipos comunicantes sea un gateway se deber usar el modo de Tunneling, entendiendo como gateway un equipo que esta "transportando" paquetes (es decir, que puede ser un host, siempre que el paquete no vaya destinado a el). En este modo los paquetes tienen 2 direcciones IP, una "externa" que lleva la direccion del nodo que procesara el paquete IPSec, y la "interna" la cual lleva la "verdadera" direccion destino del paquete original.
http://ldc.usb.ve/~poc/RedesII/Grupos/G7/#1
El objetivo principal de IPSec es proporcionar proteccin a los paquetes IP. IPSec est basado en un modelo de seguridad de extremo a extremo, lo que significa que los nicos hosts que tienen que conocer la proteccin de IPSec son el que enva y el que recibe. Cada equipo controla la seguridad por s mismo en su extremo, bajo la hiptesis de que el medio por el que se establece la comunicacin no es seguro.

VENTAJAS Y DESVENTAJAS DE IPSec

Compatibilidad con la infraestructura de claves pblicas. Tambin acepta el uso de certificados de claves pblicas para la autenticacin, con el fin de permitir relaciones de confianza y proteger la comunicacin con hosts que no pertenezcan a un dominio Windows 2000 en el que se confa.

Compatibilidad con claves compartidas. Si la autenticacin mediante Kerberos V5 o certificados de claves pblicas no es posible, se puede configurar una clave compartida (una contrasea secreta compartida) para proporcionar autenticacin y confianza entre equipos.

Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactan con IPSec Administracin centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesin en el dominio, el equipo recibe automticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local.

Estndar abierto del sector. IPSec proporciona una alternativa de estndar industrial abierto ante las tecnologas de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante. [www.011]

La nica desventaja que se le ve a IPSec por el momento, es la dificultad de configuracin con sistemas Windows. Windows 2000 y Windows XP proveen herramientas para configurar tneles con IPSec, pero su configuracin es bastante difcil (Microsoft nombra a todas las cosas en forma diferente de lo estndar).

3.8.2 Limitaciones de IPSec IPSec no es seguro si el sistema no lo es: Los gateways de seguridad deben estar en perfectas condiciones para poder confiar en el buen funcionamiento de IPSec. IPSec no provee seguridad de usuario a usuario: IPSec no provee la misma clase de seguridad que otros sistemas de niveles superiores. Por ejemplo, el GPG que se utiliza para cifrar mensajes de correo electrnico, si lo que se necesita es que los datos de un usuario los pueda leer otro usuario, IPSec no asegura esto y se tendr que utilizar otro mtodo. IPSec autentica mquinas, no usuarios: el concepto de identificacin y contrasea de usuarios no es entendido por IPSec, si lo que se necesita es limitar el acceso a recursos dependiendo del usuario que quiere ingresar, entonces habr que utilizar otros mecanismos de autenticacin en combinacin con IPSec. IPSec no evita los ataques DoS: estos ataques se basan en sobrecargar la mquina atacada de tal modo de que sus usuarios no puedan utilizar los servicios que dicha mquina les provee. 3.8.3 CARACTERISTICAS DE SEGURIDAD DE IPSec

Las siguientes caractersticas de IPSec afrontan todos estos mtodos de ataque:

Protocolo Carga de seguridad de encapsulacin (ESP, Encapsulating Security Payload). ESP proporciona privacidad a los datos mediante el cifrado de los paquetes IP.

Claves basadas en criptografa. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobacin digital para cada paquete IP. Cualquier modificacin del paquete altera la suma de comprobacin, mostrando al destinatario que el paquete ha sido cambiado en su trnsito. Se utiliza material de claves diferente para cada segmento del esquema

de proteccin global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec. Administracin automtica de claves. La claves largas y el cambio dinmico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociacin de seguridad en Internet y administracin de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinmicamente claves cifradas entre los equipos que se comunican. Negociacin de seguridad automtica. IPSec usa ISAKMP para negociar de forma dinmica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idnticas, slo una directiva configurada con las opciones de negociacin necesarias para establecer un conjunto de requisitos con otro equipo. Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automtica a todas las aplicaciones. Autenticacin mutua. IPSec permite el intercambio y la comprobacin de identidades sin exponer la informacin a la interpretacin de un atacante. La comprobacin mutua (autenticacin) se utiliza para establecer la confianza entre los sistemas que se comunican. Slo los sistemas de confianza se pueden comunicar entre s. Los usuarios no tienen que estar en el mismo dominio para comunicar con la proteccin de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicacin se cifra, lo que dificulta la identificacin e interpretacin de la informacin. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones segn sea necesario mediante la especificacin de intervalos de direcciones, protocolos o, incluso, puertos de protocolo especficos.

OpenVPN una solucin de cdigo abierto, robusta y altamente flexible. Soporta mltiples tipos de cifrado, autenticacin y certificacin a travs de la librera OpenSSL, as como compresin mediante la librera LZO. Permite realizar un tnel IP tanto sobre un TCP como UDP .
OpenVPN es una completa herramienta de cdigo abierto de SSL VPN solucin que se adapta a una amplia gama de configuraciones, incluyendo acceso remoto, sitio a sitio VPN, seguridad de Wi-Fi, y la empresa a escala de soluciones de acceso remoto con balanceo de carga y failover. Partiendo de la premisa fundamental

de que la complejidad es el enemigo de la seguridad, OpenVPN ofrece una solucin rentable y ligera alternativa a otras tecnologas de VPN que est bien orientada para las empresas.

Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec. Adems ofrece ventajas que van ms all que cualquier otra solucin como ser: * Posibilidad de implementar dos modos bsicos, en capa 2 o capa 3, con lo que se logran tneles capaces de enviar informacin en otros protocolos no-IP como IPX o broadcast (NETBIOS). * Proteccin de los usuarios remotos. Una vez que OpenVPN ha establecido un tnel el firewall de la organizacin proteger el laptop remoto aun cuando no es un equipo de la red local. Por otra parte, solo un puerto de red podr ser abierto hacia la red local por el remoto asegurando proteccin en ambos sentidos. * Conexiones OpenVPN pueden ser realizadas a travs de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un tnelOpenVPN debera funcionar sin ningn problema. * Soporte para proxy. Funciona a travs de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y adems como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones). * Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten mltiples conexiones en el mismo puerto TCP o UDP. * Las interfaces virtuales (tun0, tun1, etc.) permiten la implementacin de reglas de firewall muy especficas. * Todos los conceptos de reglas, restricciones, reenvo y NAT10 pueden ser usados en tneles OpenVPN. * Alta flexibilidad y posibilidades de extensin mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque. * Soporte transparente para IPs dinmicas. Se elimina la necesidad de usar direcciones IP estticas en ambos lados del tnel. * Ningn problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas. * Instalacin sencilla en cualquier plataforma. Tanto la instalacin como su uso son increblemente simples. * Diseo modular. Se basa en un excelente diseo modular con un alto grado de simplicidad tanto en seguridad como red. Desventajas * No tiene compatibilidad con IPsec que justamente es el estndar actual para soluciones VPN. * Falta de masa crtica. * Todava existe poca gente que conoce como usar OpenVPN. * Al da de hoy slo se puede conectar a otras computadoras. Pero esto est cambiando, dado que ya existen compaas desarrollando dispositivos con clientesOpenVPN integrados.

http://servidomul.blogspot.mx/2011/06/multitronorg-ventajas-y-desventajas-de.html http://www.ecured.cu/index.php/OpenVPN

Caracteristicas de OpenVPN
OpenVPN es un software para la creacin de VPNs basadas en SSL, la cual le permitir conectar sus oficinas remotas de forma segura, adems podr otorgar acceso remoto seguro a usuarios moviles a los servicios en su red privada LAN. Basada en estandares abiertos SSL/TLS y en software libre OpenVPN ofrece las siguientes caracteristicas:

Solucin VPN de clase empresarial basada en Software libre y GNU/Linux Creacin de tuneles VPN para conexiones Punto a Punto, Sitio a Sitio y usuarios mviles (Road Warriors) Utiliza como medio de transporte los protocolos TCP UDP Permite multiples conexiones a a una misma instancia sobre un unico puerto TCP UDP Los tuneles VPN funcionan sobre conexines NAT (Network Address Translation) y direcciones IP dinamicas Basada en los estandares de la industria SSL/TLS para comunicacines seguras y autenticacin, usa todas las caracteristicas de OpenSSL para el cifrado, autenticacin y certificacin para proteger el trfico privado de su red mientras transita por el Internet Usa cualquier cifrado, tamao de llave, o digest HMAC (para el chequeo de la integridad de los datagramas) soportados por la biblioteca OpenSSL. Cifrado flexible permitiendo elejir entre: o Cifrado convencional basado en llaves estticas pre compartidas o Cifrado asimetrico usando llaves pblicas basada en certificados x509 Permite usar llaves estaticas, pre compartidas o llaves dinamicas basadas en TLS para el intercambio de llaves Permite usar compresin del enlace en tiempo real y traffic-shapping para administrar el uso de ancho de banda Permite el uso de plugins para extender los mecanismos de autenticacin, actualmente incluye un plugin para PAM y LDAP El servidor DHCP integrado en OpenVPN puede entregar la siguiente informacin de red a los clientes VPN: o Direccin IP Virtual dinamica esttica o Direccin de servidores DNS o Sufijo DNS o Direccin de ruta del gateway predeterminado o Servidor WINS

Integracin con Firewall (netfilter/iptables) para filtrar trfico de VPN>LAN Soporte nativo de cliente para los siguientes sistemas operativos: o GNU/Linux o Solaris o OpenBSD o NetBSD o FreeBSD o MS Windows XP, Vista y 7 o Mac OSX

http://tuxjm.net/docs/Creacion_de_Redes_Privadas_Virtuales_en_GNU_Linux_con_OpenVPN/ht ml-multiples/introduccion-a-openvpn.html