RESUMEN

El siguiente trabajo nos explica que es una VPN y cules son las ventajas de implementarlas, tambin veremos la tecnologa de tnel, es decir cmo se crea un conducto para transferir datos; adems nos dice cuales son las herramientas de una VPN as como sus ventajas.

Explicaremos en un capitulo cual es la implementacin de diferentes niveles: enlace, red, aplicacin, as como la implementacin OpenVPN y veremos la seguridad en VPN. Explicaremos cuales son los protocolos de VPN y detallaremos los protocolos L2TP e Ipsec.

Dentro de la descripcin del protocolo IPSec veremos cul es su arquitectura de seguridad y el propsito de su diseo y los modos bsicos de operacin, modo transporte y modo tnel. Veremos los detalles tcnicos, es decir aquellos protocolos que han sido desarrollados para proporcionar seguridad en IPsec; AH (Authentication Header) y ESP (Encapsulating Security Payload) y con los conocimientos adquiridos podremos ser capaces de habilitar la encriptacin y la autentificacin para construir una VPN real siguiendo los parmetros especificados por la SA (Security Association) para realizar la conexin, cubriendo por ltimo la administracin de claves, en donde IPsec nos muestra las facilidades criptogrficas de autenticacin y encriptacin.

En el Capitulo 4 abarcaremos una explicacin detallada del protocolo L2TP (Layer 2 Tunneling Protocol), donde veremos que es un protocolo que facilita el tunelizado de paquetes PPP, donde el encapsulado de los mismos puede proveer de multiplexado de diferentes protocolos de nivel de red. Mostraremos en un diagrama la topologa de una conexin L2TP y la visin general del protocolo, es decir los mensajes de control que utiliza para el establecimiento, mantenimiento y despeje de tneles y llamadas. Se describe el encabezado L2TP, mensajes de control y la operacin del protocolo L2TP, el establecimiento de la conexin de control.

PROTOCOLOS DE VPN, L2TP E IPSEC

INDICE CAPITULO 1. INTRODUCCION A LAS VPN. 1.1 Por qu una vpn? 1.1.1 Lineas dedicadas 1.1.2 Acceso mediante internet y vpns 1.2. Que es una vpn? 1.2.1 Usos de las vpns 1.3. Tecnologa de tnel 1.4. Requerimientos bsicos de una vpn 1.5. Herramientas de una vpn 1.6. Ventajas de una vpn 1.7. Protocolos de una vpn CAPITULO 2. PROTOCOLOS DE VPN 2.1. Implementaciones de capa 2. Enlace. 2.2. Implementaciones de capa 3. Red. 2.3. Implementaciones de capa 7. Aplicacin. 2.4. Implementacion openvpn. 2.5. Seguridad en vpn. 2.5.1. Cifrado simetrico y claves precompartidas 2.5.2. Cifrado asimetrico con ssl/tls. 2.5.3. Seguridad ssl/tls. 2.5.4. Ventajas y desventajas de openvpn. 2.5.5. Comparacion entre openvpn e ipsec. CAPITULO 3. PROTOCOLO IPSEC. 3.1. Arquitectura de seguridad 3.2. Estado actual del estndar 3.3. Propsito de diseo 3.4. Modos 3.4.1. Modo transporte 3.4.2. Modo tnel 3.5. Detalles tcnicos 5 5 6 6 7 8 8 9 10 10 11 12 12 12 13 13 13 14 14 15 15 17 19 19 20 20 21 21 21 22
1

PROTOCOLOS DE VPN, L2TP E IPSEC

3.5.1. Authentication header (ah). 3.5.1.1. Ah en modo transporte. 3.5.1.2. Ah en modo tunel. 3.5.2. Encapsulating security payload (esp). 3.5.2.1. Esp en modo transporte 3.5.2.2. Esp en modo tunel. 3.6. Construyendo una vpn real. 3.7. Transporte o tunel. 3.8. Algoritmos de autentificacion. 3.9. Nat y ah. 3.10. Security asocciation y spi. 3.11. Administracion de claves secretas. CAPITULO 4. L2TP. LAYER 2 TUNNELING PROTOCOL. 4.1. Encapsulado. 4.2. Protocolo de control de enlace (lcp). 4.3. Protocolos de control de red (ncp). 4.4. Introduccion a l2tp. 4.5. Topologia de una conexin l2tp. 4.6. Vision general del protocolo. 4.7. Encabezado l2tp. 4.8. Mensajes de control. 4.8.1. Gestion de control de conexin. 4.8.2. Gestion de llamada. 4.8.3. Reporte de error. 4.8.4. Control de sesion ppp. 4.9. Pares atributo valor (avp). 4.10. Operacin del protocolo l2tp. 4.11. Establecimiento de la conexin de control. 4.12. Establecimiento de una sesion. 4.13. Incoming call. 4.14. Out going call 22 26 27 28 31 32 33 35 36 37 38 39 41 41 41 41 41 42 43 43 44 44 44 45 45 45 45 46 46 47 47
2

PROTOCOLOS DE VPN, L2TP E IPSEC

4.15. Envo de tramas ppp 4.16. Keepalive (hello). 4.17. Cierre de sesin. 4.18. Cierre de la conexin de control. 4.19. Transporte de los mensajes de control. Conclusin. Bibliografa 47 48 48 48 49 50 51

PROTOCOLOS DE VPN, L2TP E IPSEC

CAPITULO 1. INTRODUCCION A LAS VPN. Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un continente; contiene una coleccin de mquinas dedicadas a ejecutar programas de usuario (aplicaciones). En los ltimos aos las redes se han convertido en un factor crtico para cualquier organizacin. Cada vez en mayor medida, las redes transmiten informacin vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad, alcance geogrfico y efectividad en costos. Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas con oficinas remotas a varios kilmetros de distancia, pero tambin es cierto que estas redes remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para obtener informacin confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN 1.1. POR QU UNA VPN? Lo ejemplificaremos para que sea ms entendible, supongamos que cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo tres opciones: Modem: Las desventajas es el costo de la llamada, ya que el costo de esta llamada sera por minuto conectado, adems sera una llamada de larga distancia, a parte no contara con la calidad y velocidad adecuadas. Lnea Privada: Tendra que tender mi cable ya sea de cobre o fibra ptica de un punto a otro, en esta opcin el costo es muy elevado porque si por ejemplo necesito enlazar mi oficina central con una sucursal que se encuentra a 200 Kilmetros de distancia el costo sera por la renta mensual por Kilmetro. Sin importar el uso. VPN: Los costos son bajos porque solo realizo llamadas locales, adems de tener la posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y velocidad. En el pasado las comunicaciones se realizaban por correo, telfono o fax. Hoy en da hay factores que hacen necesaria la implementacin de soluciones ms sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo. Dichos factores son: La aceleracin de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rpido de informacin. Muchas organizaciones tienen varias sucursales en diferentes ubicaciones as como tambin tele trabajadores remotos desde sus casas, quienes necesitan intercambiar informacin sin ninguna demora, como si estuvieran fsicamente juntos. La necesidad de las redes de computacin de cumplir altos estndares de seguridad que aseguren la autenticidad, integridad y disponibilidad.

PROTOCOLOS DE VPN, L2TP E IPSEC

1.1.1 Lneas dedicadas. Las necesidades antes mencionadas se satisfacan en principio colocando lneas dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de simple acceso a Internet. Se necesitaban conexiones fsicas reales necesitando de un proveedor en cada sitio resultando en una solo lnea de comunicacin entre dos partes. Por ejemplo, para una red de 4 nodos en la cual se buscase comunicacin de todos con todos, habra que tender 6 lneas de comunicacin. Adems, para dar conectividad a trabajadores domsticos o viajeros se implementaban servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante conexiones de mdem o lneas ISDN2 donde la organizacin se comportaba como un proveedor de Internet (ISP).

1.1.2. Acceso mediante Internet y VPNs. Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologas. Surgi entonces la idea de utilizar a Internet como medio de comunicacin entre los diferentes sitios de la organizacin. Surge as la idea de las VPN's que son Virtuales y Privadas. Virtuales porque no son redes directas reales entre partes, sino solo conexiones virtuales provistas mediante software sobre la red Internet. Adems son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilizacin de modernos mecanismos de criptografa. Retomando el ejemplo anterior de una organizacin con cuatro sitios, ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis dedicadas de antes. Adems los que se conectan temporalmente, tambin lo hacen mediante una conexin a Internet, mucho ms barata y accesible desde muchos lugares, como por ejemplo de cybers cafs.

PROTOCOLOS DE VPN, L2TP E IPSEC

1.2. QUE ES UNA VPN? Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en la red pblica. (Ver figura siguiente)

Fig. 1.2.1

Fig. 1.2.2 En la figura anterior (figura 1.2.2) se muestra como viajan los datos a travs de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la funcin de una pared para engaar a los intrusos a la red, despus los datos llegan a nube de internet donde se genera un tnel dedicado nicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambin garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto. Las VPN pueden enlazar mis
6

PROTOCOLOS DE VPN, L2TP E IPSEC

oficinas corporativas con los socios, con usuarios mviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente (1.2.3).

Figura 1.2.3 1.2.1. Usos de las VPNS. Las VPN's se usan generalmente para: Conexin entre diversos puntos de una organizacin a travs de Internet Conexiones de trabajadores domsticos o de campo con IP's dinmicas Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacin en forma privada pero no se les debe dar acceso al resto de la red interna. Adems brinda una excelente fiabilidad en la comunicacin de usuarios mviles as como tambin al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada.

1.3. TECNOLOGA DE TNEL Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulacin adems los paquetes van encriptados de forma que los datos son ilegibles para los extraos.

Figura 1.3.1 El servidor busca mediante un ruteador la direccin IP del cliente VPN y en la red de transito se envan los datos sin problemas.
7

PROTOCOLOS DE VPN, L2TP E IPSEC

1.4. REQUERIMIENTOS BSICOS DE UNA VPN. Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: Identificacin de usuario Administracin de direcciones Codificacin de datos Administracin de claves Soporte a protocolos mltiples Identificacin de usuario

Supongamos que se tienen dos sitios de una organizacin conectados a Internet. En ambos se contar con un equipo de conexin a la red de redes que cumplir la funcin de ruteo hacia y desde Internet as como firewall para protegerse de accesos no autorizados. El software VPN debe estar instalado en ese firewall o algn dispositivo protegido por l. Uno de los sitios ser el servidor y ser el sitio que contiene la informacin y sistemas que queremos compartir, mientras que al otro lo llamaremos cliente. El servidor ser entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero an no es una VPN dado que falta implementar la privacidad, pues cualquier nodo intermedio de Internet puede leer la informacin que viaja sin proteccin. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas dueos de esas claves puedan acceder a los datos enviados por la VPN. Todos los datos enviados del punto A al B debern ser cifrados antes de ser enviados y descifrados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final. Uno de los factores que diferencian a una implementacin de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red.

PROTOCOLOS DE VPN, L2TP E IPSEC

La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estn autorizados. As mismo, debe proporcionar registros estadsticos que muestren quien acceso, que informacin y cuando. Administracin de direcciones. La VPN debe establecer una direccin del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven as. Codificacin de datos. Los datos que se van a transmitir a travs de la red pblica deben ser previamente encriptados para que no puedan ser ledos por clientes no autorizados de la red. Administracin de claves. La VPN debe generar y renovar las claves de codificacin para el cliente y el servidor. Soporte a protocolos mltiples. La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pblica. Estos incluyen el protocolo de internet (IP), el intercambio de paquete de internet (IPX) entre otros.

1.5. HERRAMIENTAS DE UNA VPN VPN Gateway Software Firewall Router VPN Gateway. Dispositivos con un software y hardware especial para proveer de capacidad a la VPN. Software. Esta sobre una plataforma PC o Workstation, el software desempea todas las funciones de la VPN. 1.6. VENTAJAS DE UNA VPN Dentro de las ventajas ms significativas podremos mencionar: La integridad, confidencialidad y seguridad de los datos. Reduccin de costos. Sencilla de usar. Sencilla instalacin del cliente en cualquier PC Windows. Control de Acceso basado en polticas de la organizacin Herramientas de diagnostico remoto. Los algoritmos de compresin optimizan el trfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PCs remotas.

PROTOCOLOS DE VPN, L2TP E IPSEC

1.7. PROTOCOLOS DE VPN Los protocolos de VPN ms populares son : PPTP L2TP IPSec

La mayora de los fabricantes utilizan IPSec (entre ellos Zyxel). Esto asegura la posibilidad de mezclar equipos de distintos fabricantes sin problemas de compatibilidad. Si se desea una VPN basada en el servidor de VPN de Microsoft (utiliza protocolos PPTP o L2TP y viene incluido en el Windows 2000 y Windows XP) el hardware ms recomendado es el Symantec Pro 800 Turbo. 1.7.1. PPTP El PPTP es un protocolo de tnel VPN definido por el foro PPTP y en l los paquetes PPP se encapsulan en los paquetes IP. Todas las versiones de Windows incluyen el software necesario para acceder a una VPN basada PPTP. 1.7.2. L2TP. Es una extensin del protocolo PPTP utilizado generalmente por proveedores de servicios de Internet (ISP) para creacin de tneles seguros en su red IP (por ejemplo entre usuarios). 1.7.3. IPSec. El IPSec es una extensin del protocolo IP ideado y administrado por la IETF (Internet Engineering Task Force) y que aporta seguridad al actual estndar universal IP (tanto v4 como v6). IPSec puede proteger cualquier protocolo que se ejecute sobre IP, por ejemplo TCO, UDP e ICMP. IPSec proporciona servicios criptogrficos para autentificacin, seguridad, control de acceso y de confidencialidad.

10

PROTOCOLOS DE VPN, L2TP E IPSEC

CAPITULO 2. PROTOCOLOS, IMPLEMENTACION. Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red. 2.1. IMPLEMENTACIONES DE CAPA 2 - ENLACE El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-IP, como por ejemplo IPX4 de NetWare Systems. Tericamente, las tecnologas implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayora de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexin con el otro lado del tnel. Algunos ejemplos de estas tecnologas: PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensin de PPP. Su principal desventaja es que solo puede establecer un tnel por vez entre pares. L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultneas. L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otras fabricantes, se ha convertido en estndar de la industria y combina las ventajas de PPTP y L2F y adems eliminando las desventajas. Dado que esta solucin no ofrece mecanismos de seguridad, para su uso deber ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI. L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solucin con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicacin para lograrlo.

2.2. IMPLEMENTACIONES DE CAPA 3 - RED IPsec es la tecnologa ms aceptada en este punto y fue desarrollada como un estndar de seguridad de Internet en capa 3. IPsec se pude utilizar para encapsular cualquier trfico de capa 3 pero no el trfico de capas inferiores, por lo que no se podr utilizar para protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede ser usado prcticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware. Existen dos mtodos principales usados por IPsec: Modo Tunnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a travs del tnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su
11

PROTOCOLOS DE VPN, L2TP E IPSEC

destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor as como el resto de los metadatos de los paquetes. Modo Transporte. Solo la carga til (payload) de la seccin de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrn ver quien se est comunicando con quien. 2.3. IMPLEMENTACIONES DE CAPA 7 - APLICACIN Tambin es posible establecer tneles en la capa de aplicacin y de hecho son ampliamente utilizados hoy en da siendo algunas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organizacin a travs de un browser iniciando la conexin en un sitio web seguro (HTTPS-Secured website). Adems, existen otros productos como SSL-Explorer y otros que ofrecen una combinacin de gran flexibilidad, seguridad fuerte y facilidad de configuracin. La seguridad es lograda mediante cifrado del trfico usando mecanismos SSL/TLS, los cuales han probado ser muy seguros y estn siendo constantemente sometidos a mejoras y pruebas. 2.4. IMPLEMENTACIN OPENVPN OpenVPN es una excelente nueva solucin para VPN que implementa conexiones de capa 2 o 3, usa los estndares de la industria SSL/TLS para cifrar y combina todos las caractersticas mencionadas anteriormente en las otras soluciones VPN. Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones. De todos modos no hay que preocuparse siempre que contemos con un Linux en el cual podremos implementarlo sin ningn problema mediante software. 2.5. SEGURIDAD EN VPN Para cifrar datos se usan Passwords o claves de cifrado. OpenVPN tiene dos modos considerados seguros, uno basado en claves estticas precompartidas y otro en SSL/TLS usando certificados y claves RSA. Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando el mecanismo conocido como clave simtrica y dicha clave debe ser instalada en todas las mquinas que tomarn parte en la conexin VPN. Si bien SSL/TLS + claves RSA es por lejos la opcin ms segura, las claves estticas cuentan con la ventaja de la simplicidad. Veremos a continuacin ese mtodo y otros que aportan mayor seguridad y facilidad de distribucin.
12

PROTOCOLOS DE VPN, L2TP E IPSEC

2.5.1. Cifrado simtrico y claves pre-compartidas Cualquiera que posea la clave podr descifrar el trfico, por lo que si un atacante la obtuviese comprometera el trfico completo de la organizacin ya que tomara parte como un integrante ms de la VPN.

Es por ello que mecanismos como IPsec cambian las claves cada cierto perodo, asociando a las mismas ciertos perodos de validez, llamados tiempo de vida o lifetime. Una buena combinacin de tiempo de vida y largo de la clave asegurarn que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo har), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y an no ha sido terminado. 2.5.2. Cifrado asimtrico con SSL/TLS SSL/TLS usa una de las mejores tecnologas de cifrado para asegurar la identidad de los integrantes de la VPN. Cada integrante tiene dos claves, una pblica y otra privada. La pblica es distribuida y usada por cualquiera para cifrar los datos que sern enviados a la contraparte quien conoce la clave privada que es la nica que sirve para descifrar los datos. El par de clave pblica/privada es generado a partir de algoritmos matemticos que aseguran que solo con la clave privada es posible leer los datos originales. El da que alguien encuentre algn defecto a ese algoritmo, todos aquellos conectados a Internet estarn comprometidos en forma instantnea.

13

PROTOCOLOS DE VPN, L2TP E IPSEC

Es de destacar que la clave privada debe permanecer secreta mientras que la clave pblica debe ser intercambiada para que nos puedan enviar mensajes. 2.5.3. Seguridad SSL/TLS Las bibliotecas SSL/TLS son parte del software OpenSSL que vienen instaladas en cualquier sistema moderno e implementan mecanismos de cifrado y autenticacin basadas en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque tambin podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN. Con un certificado firmado, el dueo del mismo es capaz de demostrar su identidad a todos aquellos que confen en la autoridad certificadora que lo emiti. 2.5.4. Ventajas y Desventajas de OpenVPN. Ventajas: OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec. Adems ofrece ventajas que van ms all que cualquier otra solucin como ser: Posibilidad de implementar dos modos bsicos, en capa 2 o capa 3, con lo que se logran tneles capaces de enviar informacin en otros protocolos no-IP como IPX o broadcast (NETBIOS). Proteccin de los usuarios remotos. Una vez que OpenVPN ha establecido un tnel el firewall de la organizacin proteger el laptop remoto aun cuando no es un equipo de la red local. Por otra parte, solo un puerto de red podr ser abierto hacia la red local por el remoto asegurando proteccin en ambos sentidos. Conexiones OpenVPN pueden ser realizadas a travs de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un tnel OpenVPN debera funcionar sin ningn problema.
14

PROTOCOLOS DE VPN, L2TP E IPSEC

Soporte para proxy. Funciona a travs de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y adems como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones). Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten mltiples conexiones en el mismo puerto TCP o UDP. Las interfaces virtuales (tun0, tun1, etc.) permiten la implementacin de reglas de firewall muy especficas. Todos los conceptos de reglas, restricciones, reenvo y NAT10 pueden ser usados en tneles OpenVPN. Alta flexibilidad y posibilidades de extensin mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque. Soporte transparente para IPs dinmicas. Se elimina la necesidad de usar direcciones IP estticas en ambos lados del tnel. Ningn problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas. Instalacin sencilla en cualquier plataforma. Tanto la instalacin como su uso son increblemente simples. Diseo modular. Se basa en un excelente diseo modular con un alto grado de simplicidad tanto en seguridad como red.

Desventajas No tiene compatibilidad con IPsec que justamente es el estndar actual para soluciones VPN. Falta de masa crtica. Todava existe poca gente que conoce cmo usar OpenVPN. Al da de hoy slo se puede conectar a otras computadoras. Pero esto est cambiando, dado que ya existen compaas desarrollando dispositivos con clientes OpenVPN integrados.

15

PROTOCOLOS DE VPN, L2TP E IPSEC

2.5.5. Comparacin entre OpenVPN e IPsec VPN IPsec Estndar de la tecnologa VPN OpenVPN

No compatible con IPsec Solo en computadoras, pero en todos los sistemas operativos disponibles, ya comienzan a encontrarse dispositivos que cuentan con Openvpn Probada y sigue en crecimiento Sin interfaces grficas profesionales, aunque ya existen algunos proyectos prometedores Tecnologa sencilla

Plataformas de hardware (dispositivos, aparatos)

Tecnologa conocida y probada Muchas interfaces grficas disponibles Modificacin compleja del stack IP Necesidad de modificaciones crticas al kernel Necesidad de permisos de administrador Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre si Configuracin compleja y

Interfaces de red y paquetes estandarizados Ejecuta en el espacio del usuario y puede ser chroot-ed

Tecnologas de cifrado estandarizadas

Facilidad, buena estructuracin, tecnologa modular y facilidad de

16

PROTOCOLOS DE VPN, L2TP E IPSEC

tecnologa compleja Curva de aprendizaje muy pronunciada Necesidad de uso de muchos puertos y protocolos en el firewall configuracin Fcil de aprender y xito rpido para principiantes

Utiliza solo un puerto del firewall

Trabaja con servidores de nombres Problemas con direcciones dinmicos como DynDNS o No-IP dinmicas en ambas puntas con reconexiones rpidas y transparentes Problemas de seguridad de las tecnologas IPsec SSL/TLS como estndar de criptografa Control de trfico (Traffic shaping) Velocidad (ms de 20 Mbps en mquinas de 1Ghz) Compatibilidad con firewall y proxies Ningn problema con NAT (ambos lados puede ser redes NATeadas) Posibilidades para road warriors

17

PROTOCOLOS DE VPN, L2TP E IPSEC

CAPITULO 3. PROTOCOLO IPSEC. IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte ms usados. IPsec tiene una ventaja sobre SSL y otros mtodos que operan en capas superiores. Para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo. 3.1. ARQUITECTURA DE SEGURIDAD IPsec est implementado por un conjunto de protocolos criptogrficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticacin mutua y (3) establecer parmetros criptogrficos. La arquitectura de seguridad IP utiliza el concepto de asociacin de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociacin de seguridad es simplemente el paquete de algoritmos y parmetros (tales como las claves) que se est usando para cifrar y autenticar un flujo particular en una direccin. Por lo tanto, en el trfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisin final de los algoritmos de cifrado y autenticacin (de una lista definida) le corresponde al administrador de IPsec. Para decidir qu proteccin se va a proporcionar a un paquete saliente, IPsec utiliza el ndice de parmetro de seguridad (SPI), un ndice a la base de datos de asociaciones de seguridad (SADB), junto con la direccin de destino de la cabecera del paquete, que juntos identifican de forma nica una asociacin de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificacin y descifrado de la base de datos de asociaciones de seguridad. En el caso de multicast, se proporciona una asociacin de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber ms de una asociacin de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo mltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener mltiples asociaciones de seguridad, permitiendo autenticacin, ya que un receptor slo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estndar pertinente no describe cmo se elige y duplica la asociacin a travs del grupo; se asume que un interesado responsable habr hecho la eleccin.

18

PROTOCOLOS DE VPN, L2TP E IPSEC

3.2. ESTADO ACTUAL DEL ESTNDAR IPsec es una parte obligatoria de IPv6, y su uso es opcional con IPv4. Aunque el estndar est diseado para ser indiferente a las versiones de IP, el despliegue y experiencia hasta 2007 atae a las implementaciones de IPv4. Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829, publicadas en 1995. En 1998 estos documentos fueron sustituidos por las RFCs 2401 y 2412, que no son compatibles con la 1825 y 1829, aunque son conceptualmente idnticas. En diciembre de 2005 se produjo la tercera generacin de documentos, RFCs 4301 y 4309. Son en gran parte un superconjunto de la 2401 y 2412, pero proporcionan un segundo estndar de Internet Key Exchange. Esta tercera generacin de documentos estandariz la abreviatura de IPsec como "IP" en maysculas y "sec" en minsculas. Es raro ver un producto que ofrezca soporte de RFC1825 y 1829. "ESP" se refiere generalmente a 2406, mientras que ESPbis se refiere a 4303. 3.3. PROPSITO DE DISEO IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del trfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo tnel (puerta a puerta) en el que la seguridad del trfico de paquetes es proporcionada a varias mquinas (incluso a toda la red de rea local) por un nico nodo. IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operacin. La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado ms lentamente de lo esperado. Parte de la razn a esto es que no ha surgido infraestructura de clave pblica universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusin en los productos de los vendedores. Como el Protocolo de Internet no provee intrnsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como: 1. Cifrar el trfico (de forma que no pueda ser ledo por nadie ms que las partes a las que est dirigido) 2. Validacin de integridad (asegurar que el trfico no ha sido modificado a lo largo de su trayecto) 3. Autenticar a los extremos (asegurar que el trfico proviene de un extremo de confianza) 4. Anti-repeticin (proteger contra la repeticin de la sesin segura).
19

PROTOCOLOS DE VPN, L2TP E IPSEC

3.4. MODOS As pues y dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. 3.4.1. Modo transporte. En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs que describen el mecanismo de NAT transversal. El propsito de este modo es establecer una comunicacin segura punto a punto, entre dos host y sobre un canal inseguro. Este ejemplo ilustra esto:

Fig. 3.4.1.1. Modo transporte 3.4.2. Modo tnel. En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. El propsito de este modo de establecer una comunicacin segura entre dos redes remotas sobre un canal inseguro. La siguiente imagen (Fig. 3.4.2.1) ilustra esto:

Fig. 3.4.2.1. Modo tnel

20

PROTOCOLOS DE VPN, L2TP E IPSEC

3.5. DETALLES TCNICOS. IPsec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6:

Authentication Header (AH) proporciona integridad, autenticacin y no repudio si se eligen los algoritmos criptogrficos apropiados. Encapsulating Security Payload (ESP) proporciona confidencialidad y la opcin altamente recomendable- de autenticacin y proteccin de integridad.

Los algoritmos criptogrficos definidos para usar con IPsec incluyen HMAC- SHA-1 para proteccin de integridad, y Triple DES-CBC y AES-CBC para confidencialidad. Ms detalles en la RFC 4305. 3.5.1. Authentication header (AH). AH est dirigido a garantizar integridad sin conexin y autenticacin de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificacin de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP nmero 51. Una cabecera AH mide 32 bits, he aqu un diagrama de cmo se organizan:

0 - 7 bit

8 - 15 bit

16 - 23 bit

24 - 31 bit

Next header

Payload length

RESERVED

Security parameters index (SPI)

Sequence number Hash Message Authentication Code (variable)

21

PROTOCOLOS DE VPN, L2TP E IPSEC

Significado de los campos: Next header. Identifica el protocolo de los datos transferidos. Payload length. Tamao del paquete AH. RESERVED. Reservado para uso futuro (hasta entonces todo ceros). Security parameters index (SPI). Indica los parmetros de seguridad que, en combinacin con la direccin IP, identifican la asociacin de seguridad implementada con este paquete. Sequence number. Un nmero siempre creciente, utilizado para evitar ataques de repeticin. HMAC. Contiene el valor de verificacin de integridad (ICV) necesario para autenticar el paquete; puede contener relleno.

La cabecera del paquete IP es la siguiente:

22

PROTOCOLOS DE VPN, L2TP E IPSEC

Donde:

Ver. Es la versin del protocolo IP. IPsec se monta sobre IPv4. Hlen. Longitud de la cabecera, en palabras de 32 bits. Su valor mnimo es de 5 para una cabecera correcta, y el mximo de 15. El tamao de la cabecera nunca incluye el tamao del payload o de la cabecera siguiente. TOS. Indica una serie de parmetros sobre la calidad de servicio deseada durante el trnsito por una red. Algunas redes ofrecen prioridades de servicios, considerando determinado tipo de paquetes ms importantes que otros (en particular estas redes solo admiten los paquetes con prioridad alta en momentos de sobrecarga). pkt len. Es el tamao total, en octetos, del datagrama, incluyendo el tamao de la cabecera y el de los datos. El tamao mximo de los datagramas usados normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una mquina no debera enviar datagramas mayores a no ser que tenga la certeza de que van a ser aceptados por la mquina destino. En caso de fragmentacin este campo contendr el tamao del fragmento, no el del datagrama original.

ID. Indica el identificador del fragmento actual en caso de que el paquete estuviera fragmentado Fgls. Actualmente utilizado slo para especificar valores relativos a la fragmentacin de paquetes: Bit 0: Reservado; debe ser 0 Bit 1: 0 = Divisible, 1 = No Divisible (DF) Bit 2: 0 = ltimo Fragmento, 1 = Fragmento Intermedio (le siguen ms fragmentos) (MF) La indicacin de que un paquete es indivisible debe ser tenida en cuenta bajo cualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviar.

frag offset En paquetes fragmentados indica la posicin, en unidades de 64 bits, que ocupa el paquete actual dentro del datagrama original. El primer paquete de una serie de fragmentos contendr en este campo el valor 0. TTL. Indica el mximo nmero de enrutadores que un paquete puede atravesar. Cada vez que algn nodo procesa este paquete disminuye su valor en uno por cada router que pase. Cuando llegue a ser 0, el paquete no ser reenviado. Pronto. Indica el protocolo de siguiente nivel utilizado en la parte de datos del datagrama. Los ms utilizados son: Cdigo 1 Descripcin ICMP Internet Control Message Protocol

23

PROTOCOLOS DE VPN, L2TP E IPSEC

2 4 6 17 41 47 50 51 IGMP Internet Group Management Protocol IP en IP (una encapsulacin IP) TCP Transmission Control Protocol UDP User Datagram Protocol IPv6 next-generation TCP/IP GRE Generic Router Encapsulation (usado por PPTP) IPsec: ESP Encapsulating Security Payload IPsec: AH Authentication Header

next hdr. Identifica cul es el siguiente protocolo, es decir, cual es el protocolo que ser autentificado, cul es el payload.

AH len. El tamao del paquete AH. RESERVED. Reservado para futuras aplicaciones. Debe estar a 0 Security parameters index (SPI). Indica los parmetros de seguridad, que en combinacin con los parmetros IP, identifican la asociacin de seguridad del paquete Sequence Number. Es un nmero creciente usado para prevenir ataques por repeticin. El nmero est incluido en los datos encriptados, as que cualquier alteracin ser detectada Authentication Data. Contiene el valor de identificacin de integridad. Puede contener relleno. Se calcula sobre el paquete entero, incluidas la mayora de las cabeceras. El que recibe calcula otra vez el hash, y si este no coincide, el paquete se tira.

24

PROTOCOLOS DE VPN, L2TP E IPSEC

3.5.1.1. AH en modo transporte La manera ms fcil de entender el modo transporte es que protege el intercambio de informacin entre dos usuarios finales. La proteccin puede ser autentificacin o encriptacin (o las dos), pero no se hace usando un tnel (para eso est el modo tnel). No es una vpn, es una simple conexin segura entre dos usuarios finales.

En AH en Modo Transporte, el paquete IP es modificado ligeramente para incluir una nueva cabecera AH entre la cabecera IP y la informacin transmitida (TCP, UDP, etc) y despus se requiere un proceso de arrastre que interconecta las distintas cabeceras entre ellas.

25

PROTOCOLOS DE VPN, L2TP E IPSEC

Este proceso de arrastre se necesita para que el paquete original IP sea reconstituido cuando llegue a su destino; cuando las cabeceras IPsec han sido validadas en el receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP, UDP, etc.) es guardada nuevamente en la cabecera IP. Cuando el paquete llega a su siguiente destino y pasa el test de autenticidad, la cabecera AH es quitada y el campo proto=AH es reemplazado con el siguiente protocolo de la carga transmitida (TCP, UDP, etc.). Esto pone al datagrama es su estado original, y puede ser enviado al proceso original. 3.5.1.2.AH en modo tnel. El modo tnel es el ms comn para dar una funcionalidad de VPN, donde un paquete IP es encapsulado dentro de otro y enviado a su destino.

26

PROTOCOLOS DE VPN, L2TP E IPSEC

Igual que en el modo transporte, el paquete es sellado con un ICV para autentificar al que enva la informacin para prevenir modificaciones durante el trnsito. Pero a diferencia del modo de transporte, el modo tnel encapsula todo el paquete IP, no slo la carga til (TCP, UDP, etc.). Esto hace que el destinatario del paquete sea uno diferente al destinatario original. Esto ayuda a la formacin de un tnel. Cuando un paquete en modo tnel llega a su destino, pasa el mismo proceso de autentificacin igual que cualquier paquete AH-IPsec. Este proceso hace que se despoje de sus cabeceras IP y AH, luego nos queda el datagrama original, que es enrutado mediante un proceso normal. La mayora de las implementaciones tratan el final del tnel como una interfaz de red virtual -exactamente igual que una Ethernet o localhost - y el trfico entrante y saliente de l est sujeto a todas las decisiones normales de enrutamiento. El paquete reconstituido puede ser entregado a la mquina local o enrutado donde sea (dependiendo de la direccin IP encontrada en el paquete encapsulado), pero de ninguna manera vuelve a estar sujeto a las proteccin de IPsec. Esta finaliza al final del tnel. A partir de all es tratado como un datagrama IP normal. Tal como el modo de transporte es usado estrictamente para asegurar conexiones de extremo a extremo entre dos ordenadores, el modo tnel es usado normalmente entre pasarelas (routers, firewalls o dispositivos VPN) para proveer una Red Privada Virtual (VPN) 3.5.2. ESP (Encapsulating Security Payload) El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP tambin soporta configuraciones de slo cifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente desaconsejado porque es inseguro1 2 .3 Al contrario que con AH, la cabecera del paquete IP no est protegida por ESP (aunque en ESP en modo tnel, la proteccin es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP nmero 50. Aadir encriptacin hace que ESP sea un poco ms complicado, ya que la encapsulacin rodea a la carga til es algo ms que precederla con AH: ESP incluye cabecera y campos para dar soporte a la encriptacin y a una autentificacin opcional. Adems, provee los modos de transporte y tnel, los cuales nos son ya familiares.

27

PROTOCOLOS DE VPN, L2TP E IPSEC

Las RFCs de IPsec no insisten demasiado en un sistema particular de encriptacin, pero normalmente se utiliza DES, triple-DES, AES o Blowfish para asegurar la carga til de ojos indiscretos. El algoritmo usado para una conexin en particular es definido por la Security Association (SA), y esta SA incluye no slo la el algoritmo, tambin la llave usada. A diferencia de AH, que da una pequea cabecera antes de la carga til, ESP rodea la carga til con su proteccin. Los parmetros de seguridad Index y Sequence Number tienen el mismo propsito que en AH, pero nos encontramos como relleno en la cola del paquete el campo siguiente campo y el opcional Authentication data. Es posible usar ESP sin ninguna encriptacin (usar el algoritmo NULL), sin embargo estructura el paquete de la misma forma. No nos da ninguna confidencialidad a los datos que estamos transmitiendo, y slo tiene sentido usarlo con una la autentificacin ESP. No tiene sentido usar ESP sin encriptacin o autentificacin (a no ser que estemos simplemente probando el protocolo). El relleno sirve para poder usar algoritmos de encriptacin orientados a bloques, dado que tenemos que crear una carga a encriptar que tenga un tamao mltiplo de su tamao de bloque. El tamao del relleno viene dado por el campo pad len. El campo next hdr nos da el tipo (IP, TCP, UDP, etc.) de la carga til, aunque esto sea usado como un punto para volver hacia atrs en el paquete para ver que hay en el AH. Adems de la encriptacin, ESP puede proveer autentificacin con la misma HMAC de AH. A diferencia de AH, esta autentifica slo la cabecera ESP y la carca til encriptada, no todo el paquete IP. Sorprendentemente, esto no hace que la seguridad de la autentificacin ms dbil, pero nos da algunos beneficios importantes.

28

PROTOCOLOS DE VPN, L2TP E IPSEC

Cuando un forastero examina un paquete IP que contiene datos ESP, es prcticamente imposible adivinar que es lo que tiene dentro, excepto por los datos encontrados en la cabecera IP (siendo interesantes las direcciones IP de origen y destino). El atacante va a saber casi seguro que son datos ESP (est en la cabecera que son datos ESP), pero no va a saber de qu tipo es la carga til. Incluso la presencia de Authentication Data no puede ser determina solamente con mirar al paquete. Esta resolucin est hecha por la Security Parameters Index, que hace referencia al conjunto de parmetros precompartidos para esta conexin.

29

PROTOCOLOS DE VPN, L2TP E IPSEC

3.5.2.1. ESP en modo transporte Al igual que en AH, el modo transporte encapsula justamente la carga la carga til del datagraya y est diseado justamente para comunicaciones extremo-a-extremo. La cabecera IP original se deja (excepto por el campo cambiado Protocol), y esto hace - adems de otras cosas - que las direcciones IP de origen y destino se quedan como estn.

30

PROTOCOLOS DE VPN, L2TP E IPSEC

3.5.2.2. ESP en modo tnel El ESP en modo Tnel encapsula el datagrama IP entero y lo encripta:

Proveer una conexin encriptada en modo tnel es dar una forma muy cercana a como se crea una VPN, y es lo que se nos viene a la cabeza a la mayora cuando pensamos acerca de IPsec. Adems de esto, tenemos que aadir autentificacin. Esta parte se trata en la siguiente seccin. A diferencia de AH, donde un forastero puede ver fcilmente que es lo que se transmite en modo Tnel o Transporte, usando ESP eso no ocurre; esa informacin no est disponible para el forastero. El caso es que en el modo tnel (poniendo next=IP), el datagrama IP
31

PROTOCOLOS DE VPN, L2TP E IPSEC

entero original es parte de la carga til encriptada, y no ser visible para nadie que no pueda desencriptar el paquete. 3.6. CONSTRUYENDO UNA VPN REAL Con la explicacin de AH y ESP ahora somos capaces de habilitar la encriptacin y la autentificacin para construir una VPN real. El objetivo de la VPN es juntar dos redes seguras a travs de una red insegura, tal como sera tirar un cable Ethernet muy grande entre las dos redes seguras. Es una tecnologa muy usada para juntar por ejemplo filiales de compaas con la sede central de la compaa, dando a los usuarios acceso a recursos que no pueden caer en manos indebidas, tales como documentos secretos.

32

PROTOCOLOS DE VPN, L2TP E IPSEC

Claramente, una red VPN segura requiere las dos cosas: autentificacin y encriptacin. Sabemos que la nica manera de conseguir encriptacin es ESP, pero ESP y AH pueden proveer autentificaciN: cul de las dos usar?

33

PROTOCOLOS DE VPN, L2TP E IPSEC

La solucin obvia de envolver ESP dentro de AH es tcnicamente posible, pero en la prctica no es muy usada por las limitaciones de AH respecto al NAT. Usar AH+ESP puede hacer que no podamos atravesar el dispositivo NAT. En cambio, ESP+Auth es usado en modo Tnel para encapsular completamente el trfico a travs de una red no segura, protegiendo este trfico con encriptacin y autentificacin. El trfico protegido de esta manera produce informacin intil para un intruso, ya que los dos hosts que se comunican estn conectados a travs de una VPN. Esta informacin puede ayudar al atacante a entender que los dos hosts se comunican por un canal seguro, pero nunca revela el contenido del trfico. Incluso el tipo de trfico encapsulado en el protocolo (TCP, UDP o ICMP) est oculto para las personas de fuera. Lo particularmente bonito de este modo de operacin es que los usuarios finales no saben nada de la VPN o las medidas de seguridad tomadas. Desde que una VPN est implementada por una pasarela, este trata la VPN como otra interfaz, y en ruta el trfico que va a otra parte como normalmente lo hara. Este paquete-en-paquete puede ser anidado a ms niveles: Host A y Host B pueden establecer su propia conexin autenticada (va AH) y comunicarse sobre una VPN. Esto pondra un paquete AH dentro de un paquete con una cobertura ESP+Auth.

3.7. TRANSPORTE O TNEL? Curiosamente, no hay un campo explcito Modo en IPsec que distinga entre el modo de transporte y el modo tnel. Lo que los distingue es el campo *siguiente cabecera (next head)* en la cabecera AH. Cuando el valor de siguiente cabecera es IP, significa que este paquete encapsula un datagrama IP entero (incluyendo los campos de destino y origen IP que nos permiten saber dnde va el paquete que va encapsulado despus de la desencapsulacin. As se comporta el modo tnel. Otro valor cualquiera (TCP, UDP, ICMP, etc.) significa que estamos usando el modo transporte y se trata de una conexin segura extremo a extremo. El nivel superior de un datagrama IP es estructurado de la misma manera, sin tener en cuenta el modo, y los routers inmediatos tratan todo tipo de trfico IPsec/AH de la misma manera que el trfico normal, sin una inspeccin ms profunda. Hay que darse cuenta que un host - en contraposicin a una pasarela - es necesario que soporte los dos modos, de transporte y tnel, pero en una conexin host-to-host parece superfluo usar el modo tnel.

34

PROTOCOLOS DE VPN, L2TP E IPSEC

Adems, una pasarela (router, firewall, etc.) tiene que tener soporte nicamente para modo tnel, sin embargo tener soporte para el modo transporte es til slo cuando la pasarela se considera como destino ella misma, como en caso de funciones de administracin de red. 3.8. ALGORITMOS DE AUTENTIFICACIN AH lleva un campo (Integrity Check Value) para comprobar la integridad del paquete y que nadie lo ha manipulado durante el trayecto. El valor de ese campo est dado por algoritmos de encriptacin tales como MD5 o SHA-1. Ms que usar un checksum convencional, el cual podra no proveer una seguridad real contra una manipulacin intencional, este usa una Hashed Message Authentication Code (HMAC), que incorpora una clave secreta mientras se crea el hash. Aunque un atacante puede re-calcular un hash fcilmente, sin la clave secreta no sera capaz de crear el ICV apropiado. HMAC esta descrito por el RCF 2104 y se ilustra en la siguiente imagen:

Conviene decir que IPsec no define ni obliga como debe hacerse la autentificacin, simplemente ofrece un marco de seguridad en la que los dos hosts que realizan la comunicacin se ponen de acuerdo sobre qu sistema usar. Pueden usarse firmas digitales o
35

PROTOCOLOS DE VPN, L2TP E IPSEC

funciones de encriptacin, pero es obligatorio que ambos los conozcan y sepan cmo usarlos 3.9. NAT Y AH AH da una proteccin muy fuerte a los paquetes porque cubre todas las partes que se consideran inmutables. Pero esta proteccin tiene un coste: AH es incompatible con NAT (Network Address Translation). NAT se usa para trazar un rango de direcciones privadas (192.168.1.X) de un conjunto (normalmente ms pequeo) de direcciones pblicas, para reducir la demanda de direcciones IP pblicas. En este proceso, la cabecera IP se modifica al vuelo por el dispositivo NAT para cambiar las direcciones IP de origen y destino.

36

PROTOCOLOS DE VPN, L2TP E IPSEC

Cuando es cambiada la direccin de origen de la cabecera IP, se fuerza a recalcular el checksum de la cabecera. Esto se tiene que hacer a parte, porque el dispositivo NAT es como un agujero en el camino del origen al destino, y esta situacin requiere decrementar el campo TTL(Time to Live). Dado que el campo TTL y el checksum de la cabecera siempre son modificados al vuelo, AH sabe que tiene que excluirlos de su proteccin, pero no tiene que excluir a las direcciones IP. Estas estn incluidas en el control de integridad, y cualquier cambio en las direcciones ip de origen y destino va a hacer que el control de integridad falle cuando llegue al destinatario. Dado que el valor del control de integridad contiene una llave secreta que slo la saben el host origen y el host destino, el dispositivo NAT no puede recalcular el ICV. Las mismas se aplican tambin al PAT(Port Address Translation), el cual traza mltiples direcciones IP en una en una sola direccin IP externa. No solo se modifican las direcciones IP al vuelo, sino adems los nmeros de los puertos UDP y TCP (a veces hasta la carga til que se transfiere. Esto requiere un sistema ms sofisticado por parte del dispositivo NAT, y unas modificaciones ms extensas en todo el datagrama IP. Por esta razn, AH - en el modo Tnel o Transporte - es totalmente incompatible con NAT y slo se puede emplear AH cuando las redes de origen y destino son alcanzables sin traduccin. Hay que decir que esta dificultad no se aplica al ESP, ya que su autentificacin y encriptacin no incorpora la cabecera IP modificada por NAT. An as, NAT tambin impone algunos desafos incluso en ESP (explicado ms adelante). NAT traduce las direcciones IP al vuelo, pero tambin guarda un registro de que conexiones siguen el camino traducido y as poder enviar las respuestas al origen de manera correcta. Cuando se usa TCP o UDP, esto se hace mediante los nmeros de los puertos (que pueden ser reescritos al vuelo o no), pero IPsec no da ninguna interfaz para hacer esto. 3.10. SECURITY ASSOCIATION Y SPI Es obvio que si los dos hosts o pasarelas van a establecer una conexin segura, se requiere algn tipo de clave secreta compartida para llevar a cabo la funcin de autentificacin o la y/o la clave del algoritmo de encriptacin. La cuestin es como esos secretos son establecidos a para poder ser dirigidos desde cualquier sitio, y para los propsitos de esta gua vamos a suponer que han llegado mgicamente a su lugar. Cuando un datagrama IPsec - AH o ESP - llega a una interfaz, cmo sabe la interfaz que conjunto de parmetros usar (clave, algoritmo y polticas)? Un host puede tener varias conversaciones simultneas, cada una con un diferente conjunto de claves y algoritmos, y tenemos que tener un gobernador que lleve todo este proceso.
37

PROTOCOLOS DE VPN, L2TP E IPSEC

Estos parmetros son especificados por la Security Association (SA), una coleccin de parmetros especficos de conexin, y cada pareja pueden tener uno o ms colecciones de parmetros especficos de conexin. Cuando llega el datagrama son usadas tres piezas de los datos para localizar dentro de la base de datos o Security Associations Database (SADB) la SA correcta.

Direccin IP de la pareja (el usuario con el que nos estamos comunicando) Protocolo IPsec (AH o ESP) Security Parameter Index

Hay muchas maneras para asociar este triplete a un socket IP, el cual est denotado de forma nica por la direccin IP, protocolo y el nmero del puerto Una SA es de sentido nico, as que una conexin en los dos sentidos (el caso tpico) requiere al menos dos. Adems, cada protocolo (ESP/AH) tiene su propia SA en cada direccin, por tanto una conexin completa AH+ESP VPN requiere 4 SAs. Todas ellas estn en la Security Associations Database. En la SADB tenemos una cantidad ingente de informacin, pero slo podemos tocar una parte de esta:

AH: algoritmo de autenticacin AH: secreto de autenticacin ESP: algoritmo de encriptacin ESP: clave secreta de encriptacin ESP: autenticacin activada si/no Algunos parmetros de intercambio de llaves Restricciones de enrutamiento Poltica de filtracin de IPs

Algunas implementaciones mantienen la SPD (Security Policy Database) con herramientas de tipo consola, otras con GUIs y otras proveen una interfaz basada en web sobre la red. El grado de detalle mantenido por cualquier implementacin en particular depende de las facilidades ofrecidas, as como si est en modo Host o modo Pasarela (Gateway). 3.11. ADMINISTRACIN DE CLAVES SECRETAS Finalmente, vamos a cubrir brevemente el asunto de la administracin de claves. Esta rea incluye varios protocolos y muchas opciones, IPsec sera casi intil sin las facilidades criptogrficas de autenticacin y encriptacin, y este hecho requiere que las llaves que se usan slo las sepan los participantes en la comunicacin y nadie ms. La forma ms obvia y sencilla de establecer las directivas de seguridad es de forma manual: un grupo genera ese conjunto de directivas de seguridad y las hace llegar a los otros
38

PROTOCOLOS DE VPN, L2TP E IPSEC

compaeros. Todas las personas implicadas en la comunicacin segura instalan esas directivas como Security Association en la SPD. Este proceso no es muy recomendado, ya que no es del todo seguro: el mero hecho de hacer llegar las directivas de seguridad a otro lado, a su SPD puede exponer esas directivas a personas ajenas a la comunicacin en el trnsito. In instalaciones ms grandes con ms dispositivos usando una clave precompartidas, esas claves pueden transigir un despliegue perjudicial para las nuevas claves. IKE - Internet Key Exchange - existe para que los puntos terminales del tnel puedan montar de manera apropiada sus Security Associations, incluyendo las directivas de seguridad que van a usar. IKE usa el ISAKMP (Internet Security Association Key Management Protocol) como un framework para dar soporte al establecimiento de una SA compatible con los dos extremos Existe un soporte para mltiples protocolos de intercambio de claves, siendo Oakley el ms usado. Huelga decir que el intercambio de claves de IPSec tiene lugar normalmente en el puerto 500 de UDP

39

PROTOCOLOS DE VPN, L2TP E IPSEC

CAPTULO 4. L2TP LAYER 2 TUNNELING PROTOCOL Protocolo que facilita el "tunelizado" de paquetes PPP a travs de una red interviniente, en forma lo ms transparente posible a aplicaciones y usuarios finales. A su vez, el protocolo PPP, (Point t Point Protocol), provee un mtodo estndar el transporte de datagramas multiprotocolo sobre enlaces punto a punto. PPP est comprendido por tres conceptos principales: 1. Un mtodo para el encapsulado de datagramas multiprotocolo 2. Un Protocolo de control de enlace (LCP), usado para establecer, configurar y testear la conexin a nivel del enlace de datos. 3. Una familia de protocolos de control a nivel de red, (NCP), para establecer y configurar diferentes protocolos de nivel de red. PPP est diseado para enlaces simples que transportan paquetes entre dos puertos. Estos enlaces proveen operacin "Full Duplex" bidireccional simultnea, y se supone que transportan los paquetes en orden. PPP provee una solucin comn para hosts, bridges y routers. 4.1. ENCAPSULADO: El encapsulado PPP provee multiplexado de diferentes protocolos de nivel de red en forma simultnea sobre el mismo enlace. Es compatible con la mayora del hardware comnmente usado. 4.2. PROTOCOLO DE CONTROL DE ENLACE, (LCP): Para ser tan verstil como para ser portable a variados ambientes, PPP provee un protocolo de control de enlace. Es usado para automticamente establecer las opciones de formato de encapsulado, manejar el lmite de tamao de paquetes, detectar enlaces en estado de "loopback" y otras tareas de este tipo. Opcionalmente provee autenticacin de identidad del puerto local, y determinacin del estado de funcionamiento del enlace. 4.3. PROTOCOLOS DE CONTROL DE RED, (NCP): Cada protocolo de este tipo maneja las necesidades de su respectivo protocolo de nivel de red. As se evitan dificultades respecto de enlaces punto a punto sobre circuitos conmutados, (Ej. Dial Up Modem Servers). 4.4. INTRODUCCIN A L2TP: Definido como Estndar en la RFC 1661, PPP encapsula paquetes de Nivel 2 en enlaces punto a punto. Los usuarios se conectan a las redes accediendo a un Network Access Server, (NAS), utilizando tcnicas de Dial Up como Telefona convencional o DSL. PPP
40

PROTOCOLOS DE VPN, L2TP E IPSEC

corre sobre esta conexin. El extremo de la conexin PPP y la terminacin L2 residen en el NAS. L2TP extiende el modelo PPP permitiendo que los extremos L2 y PPP residan en diferentes dispositivos interconectados por una red de conmutacin de paquetes. Con L2TP, un usuario tiene una conexin L2 a un concentrador de acceso, (Banco de Modems, ADSL, etc.). El concentrador, tuneliza tramas PPP hacia el NAS. Esto permite que el procesamiento actual de Paquetes PPP sea independiente de la terminacin del circuito L2. La ventaja es que en lugar de terminar la conexin L2 en el NAS, lo cual puede requerir costos de llamada de larga distancia, la conexin termina en un circuito concentrador local, el que extiende la sesin PPP sobre una infraestructura compartida, tal como un circuito Frame Relay , ATM, o la Internet. Todo esto ocurre sin cambios visibles para el usuario. L2TP permite la operacin Multienlaces. En este caso Multilink PPP, (mltiples canales o sesiones PPP) requieren terminar en un mismo NAS. Con L2TP se pueden agrupar Sesiones PPP provenientes de distintos NAS pues proyecta la sesin PPP. 4.5. TOPOLOGA DE UNA CONEXIN L2TP: [LAN Local]
Cliente LAC

[Host] Internet [LNS]

[LAC] Nube

[Acceso Remoto]

PSTN Frame Relay o ATM

[LAN Local] [Host]

[LAC]

[LNS]

Cualquier sistema remoto puede iniciar su conexin PPP usando la red PSTN hacia el Concentrador de Acceso L2TP, (LAC). EL LAC a partir de all, tuneliza la conexin PPP a travs de Internet o de una nube Frame Relay o ATM hasta el L2TP Network Server , (LNS), donde se obtiene el acceso a la red local. De esta manera, el Acceso Remoto recibe direcciones del mapa de la red Local basado en la negociacin hecha por PPP NCP . Un host que corre en forma nativa L2TP es llamado Cliente LAC. El mismo poseer un Software con el Cliente L2TP, pudiendo participar de un tnel hacia la LAN Local sin el uso de un LAC. En este caso el Cliente LAC debe poseer una conexin a Internet. Se crea entonces una "conexin virtual PPP", y el software de Cliente LAC L2TP crea un tnel hacia el LNS.
41

PROTOCOLOS DE VPN, L2TP E IPSEC

4.6. VISIN GENERAL DEL PROTOCOLO: L2TP Utiliza 2 tipos de Mensajes:

Mensajes de Control Mensajes de Datos

Los mensajes de Control se utilizan para el establecimiento, mantenimiento, y despeje de tneles y llamadas. Los mensajes de datos son utilizados para encapsular las tramas PPP siendo transportadas en el tnel. Los Mensajes de Control utilizan un "Canal de Control Confiable" dentro de L2TP a fin de garantizar el transporte. Por su parte los Mensajes de Datos no son retransmitidos cuando hay prdida de Paquetes.
PPP Frames L2TP Data Messages L2TP Data Channel (unreliable) L2TP Control Messages L2TP Control Channel (reliable)

Packet Transport (UDP, FR, ATM, etc.)

Fig. 4.6.1. Estructura del Protocolo L2TP La figura 4.6.1 muestra la relacin entre Tramas PPP y los mensajes de Control, sobre los canales de datos y de Control de L2TP respectivamente. Las Tramas PPP son pasados sobre un "canal de datos L2TP no confiable" encapsuladas primero por un encabezado L2TP, y luego sobre un servicio de transporte de paquetes tal como UDP, Frame Relay, ATM, Etc. Por su parte, Los mensajes de Control son enviados sobre un "canal de control L2TP confiable" el cual transmite en banda los paquetes sobre el mismo servicio de transporte de paquetes. Se requiere el uso de nmeros de secuencia en todos los mensajes de control y se usan para proveer transporte confiable sobre el canal de control. A su vez no siendo mandatorio, los mensajes de datos pueden usar nmeros de secuencia para reordenar paquetes y detectar paquetes perdidos. Estos valores son ubicados en sendos campos y enviados en orden de red (octetos de orden alto primero). 4.7. ENCABEZADO L2TP: En L2TP, tanto los paquetes del Canal de control cono los del canal de datos comparten un formato comn de encabezado. Como en casi todo protocolo, marca con bits la presencia/ausencia de campos en avance. Desde el header se maneja la secuencia de tramas, ID de Tnel e ID de sesin, Longitud, etc.

42

PROTOCOLOS DE VPN, L2TP E IPSEC

Algunos campos opcionales son mandatorios en mensajes de control, (secuencia, longitud).
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

T| L| x | x | S| x |O | P | x| x | x | x | x| Tunnel ID Ns (opt)

Ver

| | | |

Length (opt) Session ID

Nr (opt) Offset pad. . . (opt)

Offset Size (opt)

Encabezado de Mensaje L2TP 4.8. MENSAJES DE CONTROL Los mensajes de Control definidos son bsicamente los siguientes: 4.8.1. Gestin de Control de Conexin 0 (reservado) 1 (SCCRQ) Start-Control-Connection-Request 2 (SCCRP) Start-Control-Connection-Reply 3 (SCCCN) Start-Control-Connection-Connected 4 (StopCCN) Stop-Control-Connection-Notification 5 (reserved) 6 (HELLO) Hello 4.8.2. Gestin de Llamada 7 (OCRQ) Outgoing-Call-Request 8 (OCRP) Outgoing-Call-Reply 9 (OCCN) Outgoing-Call-Connected 10 (ICRQ) Incoming-Call-Request 11 (ICRP) Incoming-Call-Reply
43

PROTOCOLOS DE VPN, L2TP E IPSEC

12 (ICCN) Incoming-Call-Connected 13 (reserved) 14 (CDN) Call-Disconnect-Notify 4.8.3. Reporte de Error 15 (WEN) WAN-Error-Notify 4.8.4. Control de session PPP 16 (SLI) Set-Link-Info

4.9. PARES ATRIBUTO VALOR, (AVP): El mtodo elegido para hacer extensible e interoperable este protocolo en lo referente a mensajes de control es la codificacin de cuerpos y tipos de mensajes en Pares Atributo Valor. Los mismos son incorporados en el cuerpo del Mensaje de control L2TP.

0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

T| L| x | x | S| x |O | P | x| x | x | x | x| Tunnel ID Ns (opt)

Ver

| | | |

Length (opt) Session ID

Nr (opt) Offset pad. . . (opt)

Offset Size (opt)

Codificacin de Pares Atributo - Valor 4.10. OPERACIN DEL PROTOCOLO L2TP: Entre un LAC y un LNS pueden existir mltiples tneles. A su vez, dentro de un tnel pueden coexistir mltiples sesiones. A partir de estos conceptos, se presenta la operacin del protocolo. Son necesarios dos pasos para "tunelizar" una sesin PPP con L2TP: 1. Establecer la conexin de control (Connection Control) para armar el Tnel 2. Establecer una sesin la cual ser iniciada por un "call request" entrante o saliente.
44

PROTOCOLOS DE VPN, L2TP E IPSEC

Es importante recalcar, que el tnel y su correspondiente conexin de control debe estar establecido antes de que una Llamada, (Call) entrante o saliente sea iniciada. De la misma forma, una Sesin debe estar establecida antes de que L2TP comience a "tunelizar" las tramas PPP.

LAC

LNS L2TP Tunnel Control Connection

[Remote] [System] PPP [Remote] [System] PPP

Call

L2TP Session

Call

L2TP Session

Fig.4.10.1. Tunelizacin de PPP en L2TP

4.11. ESTABLECIMIENTO DE LA CONEXIN DE CONTROL: La primera conexin que se establece entre un LAC y un LNS es la conexin de control, llamada "Control Connect". A travs de la misma se asegura la identidad del puerto, se identifica su versin de L2TP, y los atributos de la conexin. Un intercambio de 3 mensajes establece la conexin de control, lo que tpicamente se realiza de la siguiente manera: LAC or LNS SCCRQ SCCCN ZLB ACK LAC or LNS SCCRP

El mensaje ZLB ACK se enva siempre que no haya ms mensajes encolados en espera para ese puerto. Mediante una opcin de los mensajes SCCRQ y SCCRP, se puede autenticar la identidad de los puertos durante el establecimiento de la conexin. 4.12. ESTABLECIMIENTO DE UNA SESIN: Aqu partimos de tener una conexin establecida. Se pueden crear sesiones mltiples individuales, las cuales se corresponde con flujos de tramas PPP individuales entre el LAC y el LNS. A diferencia de la conexin de control, el establecimiento de una sesin es
45

PROTOCOLOS DE VPN, L2TP E IPSEC

direccional respecto del LAC y del LNS. El pedido de sesin de un LAC a un LNS se denomina "Incomming Call", mientras que el de un LNS a un LAC es llamado "Outgoing Call". 4.13. INCOMING CALL: Se establece la sesin mediante un intercambio de tres mensajes. A partir de la deteccin de una llamada en el lac se inicia la siguiente secuencia: LAC or LNS (Call Detected) ICRQ ICCN ZLB ACK LAC or LNS

ICRP

4.14. OUTGOING CALL: Tambin aqu, la sesin se establece mediante un intercambio de tres mensajes. En este caso, desde el LAC se hace la llamada hacia el Cliente PPP, y tras el establecimiento de la misma se cierra el esquema de tres mensajes. LAC or LNS OCRP (Llamada generada) OCNN ZLB ACK LAC or LNS OCRQ

4.15. ENVO DE TRAMAS PPP: Una vez establecido el tnel y la correspondiente sesin, el LAC recibe desde el sistema remoto las tramas PPP. Extrae el CRC, el "link framing" y los bytes de transparencia, para luego encapsular en L2TP el contenido de la trama restante y enviarlo por el tnel. El paquete recibido por el LNS es desempaquetado y procesado como lo hubiese sido una trama PPP entrante por la interfaz local. Cada puerto, mantendr nmeros de secuencia individuales para la conexin de control y para cada sesin individual.

46

PROTOCOLOS DE VPN, L2TP E IPSEC

4.16. KEEPALIVE (HELLO): Este es un mecanismo empleado por L2TP para diferenciar problemas en un tnel respecto de sin actividad de control ni de datos. Se implementa por la inyeccin de mensajes "Hello" (son mensajes de control), pasado un determinado tiempo sin actividad de control o de datos en el tnel. Si no llega al otro extremo en modo confiable, el tnel se declara como cado y es reiniciado. Este mecanismo garantiza que la prdida de conectividad LAC LNS ser detectada en ambos extremos del tnel 4.17. CIERRE DE SESIN: Cualquiera de los dos extremos puede iniciar el cierre de una sesin, (LAC o LNS). Se ejecuta mediante el mensaje de control CDN. Se presenta a continuacin una secuencia tpica: LAC or LNS CND (Clean up) LAC or LNS

ZLB ACK (Clean up) Recin cuando la ltima sesin haya sido cerrada se podr cerrar la conexin de control correspondiente. 4.18. CIERRE DE LA CONEXIN DE CONTROL: El cierre de una conexin de control puede ser ejecutado por cualquiera de los dos extremos, (LAC o LNS). A continuacin se presenta la secuencia tpica:

LAC or LNS StopCCN (Clean up)

LAC or LNS

ZLB ACK (Espera) (Clean up)

El cierre se inicia con el envi de un mensaje del tipo StopCCN. Quien lo recibe, debe enviar un ZLB ACK , para reconocer adecuadamente el envo de cierre, pero debe mantener el estado de control de conexin al menos por la duracin de una retransmisin completa del StopCCN. El tiempo de retransmisin completa recomendado es de 31 seg. Una implementacin podr cerrar un tnel y todas las sesiones en el mediante el envo del

47

PROTOCOLOS DE VPN, L2TP E IPSEC

comando StopCCN. Por lo tanto no es necesario cerrar individualmente cada sesin cuando de cierra un tnel completo. 4.19. TRANSPORTE DE LOS MENSAJES DE CONTROL: Los campos llamados Ns y Nr del encabezado L2TP se utilizan para manejar un servicio de transporte confiable de bajo nivel para los mensajes de control. La base del mismo es un sistema de ventanas deslizantes.

48

PROTOCOLOS DE VPN, L2TP E IPSEC

CONCLUSIN

Las VPN representan una gran solucin para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prcticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el nico inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las polticas de seguridad y de acceso porque si esto no est bien definido pueden existir consecuencias serias.

49

PROTOCOLOS DE VPN, L2TP E IPSEC

BIBLIOGRAFIA

Bellovin, Steven M. (1996). Problem Areas for the IP Security Protocols. : 1-16. Consultado el 13-11-2007. K.G. Paterson y A. Yau (2006). Cryptography in theory and practice: The case of encryption in IPsec. : 12-29. Consultado el 13-11-2007. J.P. Degabriele y K.G. Paterson (2007). Attacking the IPsec Standards in Encryption-only Configurations. : 335-349. Consultado el 13-11-2007. OpenVPN: Building and Integrating Virtual Private Networks Markus Feilner ISBN 1-904811-85 Sito web de OpenVPN. http://openvpn.net/howto.html Sitio web de Ubuntu. http://www.ubuntu-es.org/node/5290 http://laurel.datsi.fi.upm.es/~rpons/openvpn_como/

En Linux:

/usr/share/doc/openvpn man openvpn

50