UNIVERSIDAD JUAREZ

AUTONOMA DE TABASCO
DIVISION ACADEMICA DE
INFORMATICA Y SISTEMAS
VPN
ALUMNOS: RUBEN GIL FLORES
EDUARDO PARAMO ORDAZ

INTRODUCCION
La tecnologa VPN permite que las organizaciones creen redes privadas en
la infraestructura de internet publica que mantienen la confidencialidad y
seguridad.

Las organizaciones usan las redes VPN para proporcionar una

infraestructura WAN virtual que conecta sucursales, oficinas domesticas,
oficinas de socios comerciales y trabajadores a distancia a toda la red
corporativa o a parte de ella. Para que permanezca privado, el trafico esta
encriptado, la VPN usa conexiones virtuales que se enrutan a travs de
internet

LAS LINEAS AZULES

REPRESENTAN
CONEXI0NES VPN

BENEFICIOS DE LAS REDES VPN

Las organizaciones que utilizan VPN se benefician por el aumento en la
flexibilidad y la productividad. Los sitios remotos y los trabajadores a
distancia pueden conectarse de manera segura a la red corporativa desde
casi cualquier lugar.
Los datos de la VPN estn encriptados y ninguna persona que no este
autorizada pueda descifrarlos. Tenga en cuenta estos beneficios al usar las
VPN

ECONOMICOS: Las organizaciones pueden usar transporte de internet de

terceros y econmico para conectar oficinas y usuarios remotos al sitio
corporativo principal. Mediante el uso de banda ancha, las VPN reducen los
costos
SEGURIDAD: Los protocolos de autenticacin, y encriptacin avanzados
protegen los datos contra acceso no autorizado
ESCALABILIDAD: Las VPN usan la infraestructura de red dentro los ISP y
las empresas de telecomunicaciones y es mas fcil para las organizaciones
agregar mas usuarios.

TIPOS DE VPN

VPN DE SITIO A SITIO

Una VPN de sitio a sitio es una extensin de networking WAN. Las VPN de
sitio a sitio conectan redes enteras entre ellas.
En una VPN de sitio a sitio, los host envan y reciben trafico TCP/IP a travs
de un Gateway VPN, el cual podr ser un router, una aplicacin firewall PIX o
una aplicacin de seguridad adaptable (ASA). El Gateway VPN es el
responsable de la encapsulacin y la encriptacin de trafico saliente para
todo el trafico desde un sitio en particular y de su envi a travs de tneles
VPN a un Gateway VPN par del sitio objetivo.

VPN DE ACCESO REMOTO

En una VPN de acceso remoto, cada host en general tiene software cliente
de VPN. Cuando el host intenta enviar trfico, el software cliente de VPN
encapsula y encripta ese trfico antes del envo a travs de Internet hacia el
gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN
maneja los datos de la misma manera en que lo hara con los datos de una
VPN de sitio a sitio.
Las VPN de acceso remoto pueden admitir las necesidades de los
trabajadores a distancia, los usuarios mviles, adems de las extranets de
consumidores a empresas.

COMPONENTES DE UNA VPN

La VPN crea una red privada a travs de una infraestructura de red pblica,
mientras mantiene la confidencialidad y la seguridad. Las VPN usan
protocolos de tunneling criptogrficos para brindar proteccin contra
detectores de paquetes, autenticacin de emisores e integracin de
mensajes. La figura muestra una topologa de VPN tpica. Los componentes
necesarios para establecer esta VPN incluyen lo siguiente:

La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los

datos mediante encapsulacin o encriptacin. La mayora de las VPN puede
hacer las dos cosas.
La encapsulacin tambin se denomina tunneling, porque transmite datos
de manera transparente de red a red a travs de una infraestructura de red
compartida.
La encriptacin codifica los datos en un formato diferente mediante una
clave secreta. La decodificacin vuelve los datos encriptados al formato
original sin encriptar.

CARACTERISTICAS DE LAS VPN SEGURAS

Las VPN utilizan tcnicas de encriptacin avanzada y tunneling para permitir
que las conexiones de red privadas de extremo a extremo que establezcan
las organizaciones a travs de Internet sean seguras.

Las bases de una VPN segura son la confidencialidad, la integridad de datos

y la autenticacin:

Confidencialidad de datos: La confidencialidad de datos, que es una

funcin de diseo, tiene el objetivo de proteger los contenidos de los
mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas.
Las VPN logran esta confidencialidad mediante mecanismos de
encapsulacin y encriptacin.

Integridad de datos: La integridad de datos garantiza que no se realicen

cambios indebidos ni alteraciones en los datos mientras viajan desde el
origen al destino. Generalmente, las VPN utilizan hashes para garantizar la
integridad de los datos. El hash es como una checksum o un sello (pero ms
robusto) que garantiza que nadie haya ledo el contenido. En el prximo
tema se incluye la explicacin de los hashes.

Autenticacin: la autenticacin garantiza que el mensaje provenga de un

origen autntico y se dirija a un destino autntico. La identificacin de
usuarios brinda al usuario la seguridad de que la persona con quien se
comunica es quien cree que es. Las VPN pueden utilizar contraseas,
certificados digitales, tarjetas inteligentes y biomtricas para establecer la
identidad de las partes ubicadas en el otro extremo de la red.

TUNNELING DE VPN
El tunneling permite el uso de redes pblicas como Internet para transportar
datos para usuarios, siempre que los usuarios tengan acceso a una red
privada. El tunneling encapsula un paquete entero dentro de otro paquete y
enva por una red el nuevo paquete compuesto. Esta figura contiene una lista
de las tres clases de protocolos que utiliza el tunneling.

Esta figura muestra un mensaje de correo electrnico que viaja por Internet a
travs de una conexin VPN. PPP transmite el mensaje al dispositivo VPN,
donde el mensaje se encapsula dentro de un paquete de Encapsulamiento
de enrutamiento genrico (GRE).
El GRE es un protocolo de tunneling desarrollado por Cisco Systems que
puede encapsular una amplia variedad de tipos de paquetes de protocolo
dentro de tneles IP, lo que crea un enlace virtual punto a punto con los
routers Cisco en puntos remotos, a travs de una internetwork IP.

En la figura, el direccionamiento del paquete de origen y de destino externo

se asigna a "interfaces del tnel" y se hace enrutable a travs de la red. Una
vez que el paquete compuesto llega a la interfaz del tnel de destino, se
extrae el paquete interno.

INTEGRIDAD DE DATOS DE LAS VPN

El grado de seguridad que proporciona un algoritmo de encriptacin depende
de la longitud de la clave. Para cualquier longitud de clave, el tiempo que
lleva el procesamiento de todas las posibilidades de descifrar texto cifrado es
una funcin de la potencia de cmputo del equipo. Por lo tanto, cuanto ms
corta sea la clave, ms fcil ser romperla; pero, a su vez, ms fcil pasar el
mensaje.

Las VPN utilizan un cdigo de autenticacin de mensajes para verificar la integridad

y la autenticidad de un mensaje, sin utilizar mecanismos adicionales.
Un cdigo de autenticacin de mensajes de hash (HMAC) en clave es un algoritmo
de integridad de datos que garantiza la integridad del mensaje.
El HMAC tiene dos parmetros: un mensaje de entrada y una clave secreta que
slo conocen el creador del mensaje y los receptores adecuados. El emisor del
mensaje utiliza una funcin HMAC para producir un valor (el cdigo de
autenticacin del mensaje) que se forma al condensar la clave secreta y el mensaje
de entrada. El cdigo de autenticacin del mensaje se enva junto con el mensaje.

El receptor calcula el cdigo de autenticacin del mensaje en el mensaje

recibido con la misma clave y la misma funcin HMAC que utiliz el emisor y
compara los resultados calculados con el cdigo de autenticacin del
mensaje. Si los dos valores coinciden, el mensaje se ha recibido
correctamente y el receptor est seguro de que el emisor es un miembro de
la comunidad de usuarios que comparten la clave.

AUTENTICACION DE VPN
Se debe autenticar el dispositivo ubicado en el otro extremo del tnel de la
VPN antes de que la ruta de comunicacin se considere segura. Hay dos
mtodos pares de autenticacin:
Clave compartida previamente (PSK): una clave secreta compartida entre
dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las
PSK utilizan algoritmos criptogrficos de clave simtrica. Una PSK se
especifica en cada par manualmente y se utiliza para autenticar al par. En
cada extremo, la PSK se combina con otra informacin para formar la clave
de autenticacin.

Firma RSA: utiliza el intercambio de certificados digitales para autenticar

los pares. El dispositivo local deriva un hash y lo encripta con su clave
privada. El hash encriptado (firma digital) se adjunta al mensaje y se enva al
extremo remoto. En el extremo remoto, el hash encriptado se descifra
mediante la clave pblica del extremo local. Si el hash descifrado coincide
con el hash recalculado, la firma es verdadera.

PROTOCOLOS DE SEGURIDAD IPsec

El IPsec es un conjunto de protocolos para la seguridad de las
comunicaciones IP que proporciona encriptacin, integridad y autenticacin.
IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN.

Existen dos protocolos en la estructura IPsec:

Encabezado de autenticacin (AH)
Contenido de seguridad encapsulado (ESP)

Encabezado de autenticacin (AH):

se utiliza cuando no se requiere o no se permite la confidencialidad. AH
proporciona la autenticacin y la integridad de datos para paquetes IP
intercambiados entre dos sistemas. Verifica que cualquier mensaje
intercambiado de R1 a R3 no haya sido modificado en el camino. Tambin
verifica que el origen de los datos sea R1 o R2. AH no proporciona la
confidencialidad de datos (encriptacin) de los paquetes.
IPsec se basa en algoritmos existentes para implementar la encriptacin, la
autenticacin y el intercambio de claves. Algunos de los algoritmos estndar
que utiliza IPsec son:

DES: encripta y descifra los datos del paquete.

3DES: proporciona una fuerza de encriptacin importante superior al DES de
56 bits.

AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte

segn la longitud de la clave utilizada.
MD5: autentica datos de paquetes con una clave secreta compartida de 128
bits.
SHA-1: autentica datos de paquetes con una clave secreta compartida de
160 bits.

DH; permite que dos partes establezcan una clave secreta compartida
mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre
un canal de comunicaciones no seguro.

Cuando configura un gateway de IPsec para proporcionar servicios de

seguridad, primero elija un protocolo IPsec. Las opciones son ESP o ESP
con AH.

El segundo apartado es un algoritmo de encriptacin si IPsec se implementa

con ESP. Seleccione el algoritmo de encriptacin adecuado para el nivel de
seguridad deseado: DES, 3DES o AES.
El tercer apartado es la autenticacin. Seleccione un algoritmo de
autenticacin para proporcionar la integridad de los datos: MD5 o SHA.
SHA.

El ltimo apartado es el grupo de algoritmos Diffie-Hellman (DH). Establece

que los pares compartan la informacin de clave. Seleccione el grupo que
desea utilizar: DH1 o DH2.

CONFIGURACION DE VPN EN UN
ROUTER
CONCEPTOS PREVIOS
IKE, Internet Key Exchange es un protocolo que define el mtodo de intercambio
de claves sobre IP en una primera fase de negociacin segura. Est formado por una
cabecera de autenticacin, AH o Authentication Header, que en nuestro caso no

utilizaremos, o una cabecera de autenticacin ms encriptacin que se conoce como

Encapsulating Security Payload o ESP)
Es importante entender que IPSec ofrece dos modos de operacin segn utilice AH

ESP para proteger los datos sobre IP. Se conocen como modo de transporte (se
emplea AH) o modo tnel (se utiliza ESP).

Pasos para la configuracin:

1. Preparar la red para IPSEC e IKE (este paso es previo a la configuracin)

a. En esta tarea hay que configurar una conexin bsica entre los dos
routers, y verificar que hay conectividad entre los extremos de la red. En

este caso concreto el enlace entre los routers es frame relay con las
siguientes configuraciones:

Router 1720
interface Serial0
ip address 192.168.137.2 255.255.255.0
encapsulation frame-relay IETF
bandwidth 64
frame-relay lmi-type ansi
frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.1 25 broadcast IETF
frame-relay switching
frame-relay intf-type dce
clockrate 2000000

Router 2514
interface Serial1

ip address 192.168.137.1 255.255.255.0

encapsulation frame-relay IETF
bandwidth 64

frame-relay lmi-type ansi

frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.2 25 broadcast IETF

Definir cules son los algoritmos de encriptacin y autenticacin (en este

caso se van a utilizar DES y SHA respectivamente tanto en el router

como en el PC)
c. Definir ACLS, comprobar que son adecuadas (en este caso se va a
permitr todo el trfico IP entre servidor W2000 y destino XP y se va a

denegar el trfico IP con origen en el servidor W2000 y cualquier otro

destino)

Crear listas de acceso en router 1720

Las listas de acceso se emplean para filtrar el trafico entrante o saliente
basndose en algunos criterios. Slo se permiten aquellos paquetes que
encajan en las reglas especficas.
Comando:
Router (config)# access-list access-list-number{deny | permit} protocol
sourceaddress
source-wildcard destination-address destination-wildcard [eq portnumber]
[log]

En nuestro ejemplo se configuran las siguientes listas de acceso (en

router(config)# )

Router (config)# access-list 110 permit ip 192.168.138.0 0.0.0.255

192.168.136.0
0.0.0.255

Router (config)# access-list 110 deny ip 192.168.138.0 0.0.0.255 any

Configurar el Transform Set

El transform set define las polticas de seguridad que sern aplicadas al
trfico que entra o sale de la interfaz. El estndar IPSec especifica el uso de
Security Asociations para determinar qu polticas de seguridad se aplican al
trfico deseado. Los transform-set se definen a travs de crypto-maps.

Definicin del protocolo de transform-set

Este commando selecciona si se utiliza AH o ESP

Comando
Router (config)# crypto ipsec transform-set transform-set-name transform1
[transform2 [transform3]]
Nuestro ejemplo (en este caso se escoge como protocolo de encriptacin
esp el algoritmo des y como protocolo de autentificacin la variante may del
algoritmo sha. Es importante que este protocolo coincida con el que se
configura en el extremo XP del tunel para que haya conectividad)
Router (config)# crypto ipsec transform-set rtpset esp-des esp-sha-hmac

Especificar el Modo del transform-set

Este comando especifica el modo en el que opera IPSec (modo transporte o
modo tunel)
Comando:
Router (cfg-crypto-tran)# mode [tunnel | transport]

Nuestro ejemplo:
Router (cfg-crypto-tran)# mode tunnel

Configurar el crypto-map con IKE

4.1 Crear el crypto-map con IKE
Un crypto-map se crea especificando el nombre del mapa, el nmero de secuencia

del mapa y el tipo de gestin de clave que se va a emplear entre los dos extremos.
Comando:
Router (config)# crypto map map-name seq-num ipsec-isakmp

Nuestro ejemplo:
Router (config)# crypto map rtp 1 ipsec-isakmp
4.2 Especificar el trfico de datos

Se especifica el trfico que se quiere encriptar. Es aquel trfico que ha sido definido
en las listas de acceso
Comando:

Router (config-crypto-map)# match address access-list-number

Nuestro ejemplo:
Router (config-crypto-map)# match address 110

4.3 Especificar el extremo destino del tunel VPN

Se da la direccin IP del host destino (en nuestro caso el PC XP)
Comando:
Router (config-crypto-map)# set peer {host name | ip-address}

Nuestro ejemplo:
Router (config-crypto-map)# set peer 192.168.136.11
4.4 Especificar el transform-set a utilizar

De los transform-set que se hayan definido se especifica cual se aplica en

este tnel
Comando:

Router (config-crypto-map)# set transform-set transform-set-name

Nuestro ejemplo:
Router (config-crypto-map)# set transform-set rtpset

Activar PFS (Perfect Forward Security)

Por defecto es un comando que est desactivado. Como se va a utilizar en el

extremo XP es necesario activarlo.

Comando:
Router (config-crypto-map)# set pfs {group 1 | group2}

Nuestro ejemplo:
Router (config-crypto-map)# set pfs

4.6 Configurar IKE

Esto supone tres pasos:

4.6.1 Habilitar IKE
Comando:

Router (config)# crypto isakmp enable

4.6.2 Crear una IKE policy (poltica de encriptacin de IKE)
4.6.2.1 Definir la prioridad
Esta prioridad se utiliza para ordenar la aplicacin de las polticas de
encriptacin cuando existen varias

Comando:
Router (config)# crypto isakmp policy priority
Nuestro ejemplo:
Router (config)# crypto isakmp policy 1

Especificar el algoritmo de encriptacin que se utiliza en IKE

Comando:
Router (config-isakmp)# encryption {des|3des}
Nuestro ejemplo:
DES por defecto y no se configura
4.6.2.3 Especificar el algoritmo hash
Cisco permite utilizar SHA o MD5
Comando:

Router (config-isakmp)# hash {sha|md5}

Nuestro ejemplo:
SHA por defecto y no se configura

Especificar el mtodo de autenticacin

Mtodo de autenticacin para el intercambio de claves. Puede ser RSA, RSA
encriptado y claves pre-configuradas (las dos primeras necesitan un servidor
de autoridad)
Comando:
Router (config-isakmp)# authentication {rsa-sig | rsa-encr | pre-share}
Nuestro ejemplo:
Router (config-isakmp)# authentication pre-share
4.6.2.5 Especificar el identificador de grupo del algoritmo de Diffie Hellman
Comando:
Router (config-isakmp)# group {1|2}
Nuestro ejemplo:
No se usa

Especificar el tiempo de seguridad asociado

Tiempo mximo en el que una poltica de seguridad se utiliza sin necesidad

de negociarla de nuevo
Comando:
Router (config-isakmp)# lifetime seconds

Nuestro ejemplo:
Router (config-isakmp)# lifetime 28800

Definir una clave (key)

Como hemos escogido utilizar claves pre-configuradas que se intercambien
en la negociacin inicial es necesario configurarla en cada extremo
Comando:
Router (config)# crypto isakmp key clave address peer-address

Nuestro ejemplo:
Router (config)# crypto isakmp key cisco123 address 192.168.136.11

Aplicar el crypto-map al interface extremo del tnel VPN

En nuestro caso hay que aplicar el crypto-map definido al puerto serie del
router
1720.
Comando:

Router (config-if)# crypto map map-name

Nuestro ejemplo:
Router (config-if)# crypto map rtp

Configurar la conexin VPN en el PC con

windows XP

EXTREMO DE WIN XP A VPN