Documente Academic
Documente Profesional
Documente Cultură
Ubuntu
Sábado 9, Febrero 2008
La instalación y configuración del acceso VPN (Red Privada Virtual) por PPTP, no es
complicada en Ubuntu, como siempre. Hay dos métodos, uno a través del interfaz
gráfico y otro a través de la consola, utilizando comandos. Voy a describir el que utiliza
el interfaz gráfico, para aquellos que cominezan en debian y están más familiarizados
con los GUI (Graphic User Interface):
Debemos pulsar con el botón derecho sobre el icono que identifica al Network Manager
en la barra de tareas. Si no hemos variado la posición de la barra desde la instalación
inicial de Ubuntu, el icono aparecerá típicamente en la parte superior derecha de la
pantalla, y mostrará información acerca de nuestra conexión de red.
Al pulsar sobre este icono, se desplegará un menú que nos dejará seleccionar la opción
Conexiones VPN -> Configurar VPN. En el cuadro de diálogo que nos acaba de
aparecer, pulsamos el botón “Añadir” y se iniciará un asistente que nos guiará durante el
proceso. En el primer paso seleccionamos “PPTP Tunel”. En el segundo paso, hay
varias solapas. En la primera ponemos el nombre al nuestra conexión, el que queramos.
Debajo, indicamos que es tipo Windows VPN (PPP) y ponemos la pasarela que será la
IP del servidor VPN.
Una vez guardada la configuración al pulsar otra vez sobre el icono de la barra de tareas
de Network Manager, y seleccionar Conexiones VPN, aparecerá la conexión que
acabamos de crear y bastará con pulsar en ella para que nos pida usuario y contraseña.
Si la conexión no aparece, pero ya la hemos configurado, (la vemos en la lista del
cuadro de dialogo “Configurar VPN”), reinicia el sistema y aparecerá.
El mundo ha cambiado últimamente y ya no sólo nos interesa tratar con asuntos locales
o regionales, ahora muchas empresas tienen que lidiar con mercados y logística
globales. Algunas empresas deciden hacerlo mediante presencia en todo su país, su
continente, o incluso en todo el mundo; pero siempre hay algo que necesitan:
comunicación segura, confiable y rápida, sin importar donde estén sus oficinas.
Hasta hace poco, comunicación confiable significaba tener enlaces dedicados para
mantener redes WAN, que podían ir desde una línea ISDN (144Kbps) hasta un OC3
(Optical Carrier-3 a 155Mbp o también llamado STM1). Obviamente una red WAN
tiene ventajas sobre una red pública, como Internet, en cuanto a confiabilidad,
disponibilidad, performance, latencia, seguridad, etc.; pero mantener una red WAN,
particularmente usando enlaces dedicados, se puede volver demasiado costoso, y
dependiendo del tipo de servicio, puede que la distacia incremente ese costo aún más.
Adicionalmente, las redes privadas no son la solución para una empresa que tiene
usuarios con alta movilidad (como puede ser el personal de mercadeo), y que requiere
conectarse a recursos corporativos para acceder a datos sensiblemente importantes o
confidenciales.
Mientras crece la popularidad del internet, las empresas lo han utilizado como un medio
para extender sus propias redes. Primero llegaron las intranets, sitios diseñados para el
uso de los empleados únicamente. Ahora, muchas compañías tienen sus propias VPNs
para dar solución a las necesidades de sus empleados y oficinas remotos.
Una red típica de VPN puede tener una red local (LAN) principal en el edificio
corporativo, otras LANs en oficinas remotas y usuarios individuales que se conectan
desde campo.
Una VPN es una red privada que usa una red pública (usualmente el internet) para
conectar sitios remotos o usuarios. Y en lugar de usar enlaces dedicados, tales como una
línea privada, usa conexiones “virtuales” enrutadas a través de internet desde la red
privada de la compañía hasta el sitio remoto.
Entre las ventajas de una Red Privada Virtual bien diseñada tenemos:
¿Qué características tiene una Red Privada Virtual bien diseñada? Debe incorporar al
menos:
• Seguridad (security)
• Confiabilidad (reliability)
• Escalabilidad (scalability)
• Manejo de Red (network management)
• Manejo de Políticas (policy management)
Imagina que vive en una isla dentro de un enorme oceáno. Hay miles de islas alrededor,
algunas muy cerca, otras muy lejos. La manera normal de viajar a ellas es tomar un
ferry, y por tanto, significaría no tener casi ninguna privacidad; todo lo que haga puede
ser visto por otros.
Pensemos en que cada isla es una LAN y el oceáno es la Internet. Cuando te conectas a
un servidor web es similar a cuando viajas por ferry. No tienes control sobre los cables
o routers que componen la internet, así como no tienes control de la gente en el ferry. Es
así como tienes los detalles de seguridad por usar un medio público para conectar dos
redes privadas.
Así que decides construir un puente entre tu isla y otra, para tener un medio más seguro
y directo de viajar entre ellas. Claro que será más caro construir y mantener el puente,
aún cuando sea un destino cercano; pero la necesidad de un medio confiable y seguro es
grande, así que lo construyes. Quizás si quieres comunicarte a una isla más lejana será
demasiado caro.
La situación es parecida a tener una línea privada. Los puentes (esas líneas privadas)
están separadas del oceáno (Internet), aún pueden conectar las islas (LANs). Muchas
compañiás han escogido esta ruta por la gran necesidad de seguridad y confiabilidad.
Aún así, la gran distancia podría hacer prohibitivos los costos.
Así que, ¿cómo encaja una VPN en esta analogía?, le podríamos dar a cada habitante de
nuestra isla un pequeño submarino con las siguientes propiedades:
• Rápido
• Fácil de llevar
• Se puede esconder completamente de otros submarinos y barcos
• Se puede depender de él
• Es barato agregar submarinos a la flota que ya tienes
Aunque está viajando en el oceáno junto con otro tráfico, los habitantes de nuestras islas
pueden viajar cuando quieran, con seguridad y privacía. Así funciona una VPN en
esencia; cada miembro remoto de tu red puede comunicarse de manera segura a través
de Internet hacia una LAN privada. Además, puede crecer la VPN para acomodar más
usuarios o localidades de manera más sencilla que con enlaces dedicados. De hecho, la
escalabilidad es una de las mayores ventajas de las VPNs sobre las líneas dedicadas, ya
que la distancia geográfica no influye en los costos de la VPN.
Tecnologías VPN
Una VPN bien diseñada usa varios métodos para mantener el orden de la conexión y los
datos seguros.
1. IPsec- Internet Protocol security que nos da una seguridad mejorada con
características tales como algoritmos de encriptación más fuertes y autenticación
más comprensiva. IPsec tiene dos modos de encripción, túnel y transporte. El
modo de túnel encripta el encabezado y la carga de cada paquete, mientras que
el método de transporte sólo encripta la carga o contenido de los paquetes. Sólo
sistemas que son compatibles con IPsec pueden usar este protocolo. También,
todos los dispositivos deben usar una clave común o certificado y deben tener
implementadas políticas de seguridad similares.
Para usuarios de acceso remoto de VPN hay paquetes de software que proveen
encriptación y conexión en una PC. IPsec soporta encriptación de 56 bits
(single DES) o 168 bits (triple-DES).
2. PPTP/MPPE- PPTP fue creado en el foro PPTP, un consorcio que incluye a US
Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP soporta VPNs
multiprotocolo, con encriptación de 40 y 128 bits usando un protocolo llamado
Microsoft Point-to-Point Encryption (MPPE). Es importante notar que PPTP por
si mismos no provee encriptación.
3. L2TP/IPsec- conocido como L2TP sobre IPsec, provee la seguridad del
protocolo de IPsec sobre la solución de túnel de Layer 2 Tunneling Protocol.
L2TP es el producto de la alianza entre miembros del foro PPTP, Cisco y la
Internet Engineering Task Force (IETF). Usado principalmente para VPNs de
acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000
trae incorporado un cliente nativo de IPsec y L2TP. Los ISP (proveedores de
servicio de Internet) también pueden ofrecer conexiones L2TP para usuarios de
dial-up (conexión por módem analógico) y encriptar el tráfico con IPsec entre
sus puntos de acceso y los servidores de red de las oficinas remotas.
• Integridad de los datos- es imporante que tus datos estén encriptados sobre una
red pública, y es igual de importante que no sean cambiados durante su tránsito.
Por ejemplo, IPsec tiene un mecanismo para asegurar que la parte encriptada del
paquete o el encabezado completo y los datos del paquete, no han sido alterados.
Si se detecta alguna alteración, el paquete se descarta. La integridad de los datos
también involucra autenticar el par remoto (remote peer).
• Autenticación del origen de los datos- es extremadamente importante verificar
la identidad de la fuente de los datos que se están enviando. Esto es para
protegernos de una variedad de ataques que dependen de suplantar la identidad
del transmisor (spoofing).
Anti Replay- Es la habilidad de detectar y rechazar paquetes que son
reproducidos o copiados, y sirve para evitar el spoofing.
• Data Tunneling/Traffic Flow Confidentiality- Tunneling es el proceso de
encapsular un paquete completo dentro de otro paquete y enviarlo sobre una red.
El tuneleo de datos es útil en casos donde es deseable esconder la identidad del
dispositivo que origina el tráfico. Por ejemplo, un dispositivo único que
encapsula tráfico que pertenece a un número de hosts detrás de él, y agrega su
propio encabezado sobre los paquetes existentes. Encriptando el paquete original
y su encabezado ( y ruteando el paquete basado en el encabezado capa 3 que se
agregó encima), el dispositivo de tuneleo esconde efectivamente la fuente
original del paquete. Sólo un par (peer) confiable es capaz de determinar la
verdadera fuente, después desecha el encabezado adicional y desencripta el
encabezado original. Como puede verse en el RFC 2401:
Todos los protocolos de encriptación listados aquí también usan tuneleo como un medio
para transferir los datos encriptados a través de la red pública. Es importante notar que
el tuneleo, por si mismo, no provee seguridad a los datos. El paquete original es
encapsulado únicamente dentro de otro protocolo y podría aún ser visible con un
dispositivo de captura de paquetes si no es encriptado. Sin embargo se menciona aquí
porque es una parte integral de cómo funciona una VPN.
Hay varios protocolos que se pueden usar para contruir una solución deVPN y cada uno
de ellos provee parte de los servicios que se listan en el documento. La elección de
algún protocolo depende del juego de características deseado. Por ejemplo, una
organización puede estar cómoda con la información transmitida en texto simple, pero
extremadamente preocupada con la integridad de los datos, mientras que otra empresa
podría encontrar que su confidencialidad es extremadamente esencial. Obviamente la
elección de protocolos sería diferente. Para más información de los protocolos
disponibles y sus fortalezas relativas puedes leer el documento de cisco: ¿Cuál solución
de VPN es la correcta para ti? (inglés).
Productos de VPN (Cisco)
Muchas compañías han desarrollado soluciones llave en mano debido a que no hay un
estándar ampliamente aceptado para implementar VPNs, por ejemplo, Cisco ofrece:
Ads by Google