VPN (Virtual Private

Network)
y Otros Medios de
Comunicacin
1

Araujo Camino Fernando

Camino Reinoso Diego
Daza Gonzalez Yolanda
Navarro Pacheco Michelle
Tapia Ore Willy
Tejada Ortega Lushianna

Agenda
1. Definicin de Red Privada Virtual
2. Componentes
3. Tipos de Arquitectura VPN
4. Topologas
5. Requerimientos
6. Ventajas y Desventajas de la Implementacin de
una VPN
7. Tecnologas Anteriores a las VPN
8. Casos de Estudio
2

1. Definicin de Red
Privada Virtual (VPN)

Qu es una Red Privada Virtual (VPN)?

Una Red Privada Virtual es una red privada que utiliza la infraestructura
de una red pblica (Internet) para poder transmitir informacin.
Permite que la computadora en la
red enve y reciba datos sobre redes
compartidas o pblicas como si
fuera una red privada con toda la
funcionalidad, seguridad y polticas
de gestin de una red privada.

Una Red Privada Virtual (VPN) bsicamente es una red privada dentro
de una red pblica, la cual permite conectar diferentes sedes o
sucursales, usuarios mviles y oficinas remotas.
En vez de usar una conexin dedicada, tal como lnea arrendada, un
VPN utiliza las conexiones virtuales ruteadas a travs de Internet de
la red privada de la compaa al sitio remoto o al empleado.

Tunneling
Una VPN funciona basndose en una tecnologa llamada tunneling, la
cual es una tcnica que consiste en encapsular un protocolo de red
sobre otro permitiendo as que los paquetes vayan encriptados de
manera que los datos enviados sean ilegibles para extraos.
Las VPN utilizan el tunneling para poder ofrecer mecanismos seguros
de transporte de datos. Dentro del contexto de las VPN, el tunneling
involucra tres tareas principales:
Encapsulacin
Proteccin de direcciones privadas
Integridad de los datos y confidencialidad de stos
6

2. Componentes de una
VPN
7

Cules son los componentes bsicos de

una VPN?
Los componentes bsicos de una VPN son:
Servidor VPN
Tnel
Conexin VPN
Red Pblica de Trnsito
Cliente VPN

 Servidor VPN
Un equipo que acepta conexiones VPN de clientes VPN.
Cliente VPN
Un equipo que inicia una conexin VPN a un servidor VPN. Un
cliente VPN puede ser un equipo individual o un enrutador.
Tnel
La parte de la conexin en la que se encapsulan los datos.
Conexin VPN
La parte de la conexin en la que se cifran los datos. En las
conexiones VPN, los datos se cifran y encapsulan en la misma
parte de la conexin.
9

3. Tipos de Arquitectura
de una VPN

10

Cules son los tipos de arquitectura de

una Red Privada Virtual?
Existen bsicamente dos tipos de arquitectura para una VPN. Estos son:
1. VPN de acceso remoto
2. VPN de sitio a sitio

VPN Extranet
VPN Intranet

11

1. VPN de Acceso Remoto

Esta VPN proporciona acceso remoto a una intranet o
extranet corporativa.
Una VPN de acceso remoto
permite a los usuarios acceder a los recursos de la
compaa siempre que lo requieran. Con el cliente VPN
instalado en un dispositivo, el usuario es capaz de
conectarse a la red corporativa, no importa donde se
encuentre.
Las VPN de acceso remoto ahorran costos a las empresas
ya que los usuarios slo necesitan establecer una
conexin con un ISP local, pagndose solamente la
llamada local y olvidndose de realizar llamadas de
larga distancia.

12

VPN de Acceso Remoto

13

2. VPN de Sitio a Sitio

Las VPN de sitio a sitio son utilizadas para conectar sitios
geogrficamente separados de una corporacin.
Con una VPN, es posible conectar las LAN corporativas
utilizando Internet. El envo de informacin se realiza a
travs de una conexin VPN. De esta forma, se puede
crear una WAN utilizando una VPN. Una empresa puede
hacer que sus redes se conecten utilizando un ISP local
y establezcan una conexin de sitio a sitio a travs de
Internet

14

En base a los problemas comerciales que

resuelven, las VPN de sitio a sitio pueden
subdividirse en:
VPN intranet
Las VPN intranet se utilizan para la comunicacin interna de
una compaa. Enlazan una oficina central con todas sus
sucursales. Se disfrutan de las mismas normas que en
cualquier red privada.
Un enrutador realiza una conexin VPN de sitio a sitio que
conecta dos partes de una red privada. El servidor VPN
proporciona una conexin enrutada a la red a la que est
conectado el servidor VPN.

15

VPN Intranet

16

VPN extranet
Estas VPN enlazan clientes, proveedores, socios o comunidades de
inters con una intranet corporativa. Se puede implementar una VPN
extranet
mediante
acuerdo
entre
miembros
de
distintas
organizaciones. Las empresas disfrutan de las mismas normas que las
de una red privada.
Sin embargo, las amenazas a la seguridad en una extranet son mayores
que en una intranet, por lo que una VPN extranet debe ser
cuidadosamente diseada con muchas plizas de control de acceso y
acuerdos de seguridad entre los miembros de la extranet

17

VPN Extranet

18

4. Topologas VPN

19

Topologas de VPN
La topologa VPN que necesita una organizacin debe decidirse
en funcin de los problemas que va a resolver. Una misma
topologa puede ofrecer distintas soluciones en diferentes
compaas u organizaciones. En una VPN podemos encontrar
las siguientes topologas:
Para las VPN de sitio a sitio:
Topologa radial
Topologa de malla completa o parcial
Topologa hbrida
Para las VPN de acceso remoto:
Topologa de acceso remoto
20

- Topologa Radial
En una VPN de sitio a sitio, sta es la
topologa ms comn. Aqu, las
sucursales remotas se conectan a
un sitio central.
Las sucursales podran intercambiar
datos entre ellas, sin embargo, este
tipo de datos resulta ser muy
insignificante.
La mayor parte del intercambio de
datos se da con las oficinas
centrales de la compaa. Los datos
intercambiados entre las sucursales
21
siempre viajan a travs del sitio

- Topologa de Malla Completa o Parcial

Esta topologa es implementada en corporaciones que no tienen
una estructura demasiado jerrquica. Aqu, las diversas LAN
de la compaa pueden realizar un intercambio constante de
datos entre ellas.
Dependiendo de sus necesidades, una empresa puede utilizar
una topologa de malla completa si todas las LAN se
comunican entre s o una topologa de malla parcial, si slo
algunas LAN mantienen intercambio de datos. En la gran
mayora de los casos se utiliza slo malla parcial.

22

a) Topologa de Malla Completa

b) Topologa de Malla Parcial

23

- Topologa Hibrida
Las redes VPN grandes combinan la topologa radial con la
topologa de malla parcial.
Como ejemplo, una empresa multinacional podra tener
acceso a redes implementadas en cada pas con una
topologa radial, mientras que la red principal internacional
estara implementada con una tecnologa de malla parcial.

24

- Topologa de Acceso Remoto

Esta topologa consiste en un enlace punto a punto entre el
usuario remoto y la oficina central utilizando tramas
tunneling PPP intercambiadas entre el usuario remoto y el
servidor VPN.
El usuario y el servidor establecen conectividad usando un
protocolo de capa 3, siendo el ms comn IP, sobre el enlace
PPP entunelado e intercambian paquetes de datos sobre l.

25

5. Requerimientos de
una VPN
26

Con qu requerimientos debe contar una

VPN?

Una VPN debe de contar con ciertos requerimientos que permitan

que valga la pena el uso de esta tecnologa. Sin estos
requerimientos, las VPN no podrn ofrecer la calidad necesaria
que requieren las organizaciones para un desempeo ptimo.
Una solucin VPN debe ofrecer los siguientes requerimientos:
Autenticacin de usuarios
Control de acceso
Administracin de direcciones
Cifrado de datos
Administracin de claves
Ancho de banda
27

Autenticacin de Usuarios
La autenticacin es uno de los requerimientos ms importantes en una
VPN. Cada entidad participante en una VPN debe de identificarse a s
misma ante otros y viceversa. La autenticacin es el proceso que
permite a los diversos integrantes de la VPN verificar las identidades
de todos.
Existen muchos mecanismos de
autenticacin pero el ms
popular de todos ellos es la
Infraestructura de Claves
Pblicas
(PKI,
Public
Key
Infraestructure), el cual es un
sistema
basado
en
la
autenticacin por medio de
28
certificados.

Control de Acceso
El control de acceso en una red est definido como el conjunto de
plizas y tcnicas que rigen el acceso a los recursos privados
de una red por parte de usuarios autorizados. Una vez que un
usuario ha sido autenticado, se debe definir a qu recursos de
la red puede tener acceso dicho usuario.
La VPN debe administrar el inicio de una sesin, permitir el
acceso a ciertos recursos, continuar una sesin, impedir el
acceso de recursos y terminar una sesin.

29

Administracin de Direcciones
Un servidor VPN debe de asignar
una direccin IP al cliente VPN
y asegurarse de que dicha
direccin permanezca privada.
Las
direcciones
deben
ser
protegidas
con
fuertes
mecanismos
de
seguridad
(tunneling), esto es, deben
usarse tcnicas que permitan
la ocultacin de la direccin
privada dentro de una red
pblica.

30

Cifrado de Datos
Cifrar o encriptar los datos es una tarea esencial de una VPN. Aunque se
puedan encapsular los datos dentro de un tnel, estos todava
pueden ser ledos si no se implementan fuertes mecanismos de
cifrado de la informacin.
El cifrado es un conjunto de tcnicas que
intentan hacer inaccesible la informacin a
personas no autorizadas.
Antes de enviar la informacin, el servidor VPN
cifra la informacin convirtindolo en texto
cifrado.
El receptor de la informacin descifra la
informacin y la convierte en texto nativo.
31

Administracin de Claves
En una VPN, es importante la administracin de claves. Para
asegurar la integridad de una clave pblica, sta es publicada
junto con un certificado.
Un certificado es una estructura de datos firmada digitalmente
por una organizacin conocida como autoridad de certificacin
(CA) en la cual todos confan.
Una CA firma su certificado con su clave privada. Un usuario que
utiliza la clave pblica de la CA podr comprobar que el
certificado le pertenece a dicha CA y por lo tanto, la clave
pblica es vlida y confiable.
32

Ancho de Banda
El

ancho de banda es tambin un requerimiento

importante en una VPN. En el mundo de las redes existe
un concepto que define la forma de administrar el
ancho de banda con el fin de que el trfico de una red
fluya de forma eficiente. Dicho concepto es la Calidad
de Servicio (QoS, Quality of Service).

La QoS es una caracterstica muy importante de una VPN.

La calidad del servicio tambin se refiere al nmero de
conexiones simultneas (la cantidad de tneles que
pueden ser establecidos entre un sitio remoto y el sitio
central) que puede soportar una VPN y la forma cmo
sta afecta al rendimiento de la VPN.

33

6. Ventajas y
Desventajas de la
Implementacin de una
VPN

34

Ventajas:
Nos

permiten

reducir

los

costos

de

interconexin

de

redes

geogrficamente distantes.
Ofrecen seguridad de acceso para los usuarios que se conectan va
WiFi.
Nos permiten crear una capa extra de seguridad dentro de una red
corporativa para proteger recursos informticos sensibles.
Nos permiten acceder a los recursos de la red a la cual nos
conectamos. Puede ser la red de nuestra empresa o la red de nuestra
casa.
Nos permiten acceder a sitios web con contenido especfico para cada
pas.
Nos permiten sobrepasar las restricciones de acceso a internet.

35

Desventajas:
La velocidad de acceso generalmente es menor al de una conexin
tradicional.
Es necesario contar con ciertos conocimientos tcnicos para
implementar una conexin VPN.
La conectividad no es muy estable, por lo que suele ser necesario
conectarse nuevamente cada vez que se necesite.
No todos los equipos de red son compatibles entre s al utilizar las
tecnologas VPN.
Una brecha en la seguridad del equipo remoto puede poner en riesgo

36

7. Tecnologas
Anteriores a las VPN
37

38

ENLACES DEDICADOS
Fueron la primera tecnologa WAN que
se adopt usando la infraestructura de
voz de los distintos operadores de
telefona. Se necesitaban conexiones
fsicas reales necesitando de un
proveedor en cada sitio resultando en
una solo lnea de comunicacin entre
dos partes.

39

FRAME RELAY
Mtodo de comunicacin orientado a paquetes para la
conexin de sistemas informticos.
Frame Relay es un protocolo WAN de alto rendimiento que
trabaja en la capa fsica y de enlace de datos del modelo de
referencia OSI.
Permite compartir dinmicamente el medio y por ende el
ancho de banda disponible.
Ofrece un alto desempeo y una gran eficiencia de
transmisin.

40

ATM
ATM (Asynchronous Transfer Mode / Modo de
Transferencia Asncrono) es un protocolo de
transporte de alta velocidad.
Actualmente tiene mucho uso como red troncal
(Backbone).

41

ACCESO REMOTO A REDES (RAS)

En este tipo de arquitecturas existe un RAS (Remote Access
Server) que acta como una puerta de enlace entre el cliente
remoto y la red.
Despus de que un usuario haya establecido la conexin por
medio de una llamada, la lnea telefnica es transparente
para el usuario, y este puede tener acceso a todos los
recursos de la red como si estuviera ante un equipo
directamente conectado a ella.
Este tipo de implementacin fue el antecesor ms prximo de
las VPN-IP, sus deficiencias radican en los costos de las
llamadas que se deben efectuar, principalmente las de larga
distancias y la falta de confidencialidad en la transmisin de

42

43

8. Casos de Estudio

44

Layconsa nace en Per hace ms de 46

aos y es reconocida en el mercado
escolar por sus productos de gran
calidad, orientados a satisfacer las
necesidades del sector y al pblico en
general.

45

46

Layconsa contaba con una situacin antigua que protega sus

sistemas, redes, aplicaciones y datos de diferentes amenazas con
diferentes soluciones; entre ellas con un firewall Juniper, un
cortafuegos de Cisco y una solucin VPN de Cisco. Con algunos
equipos antiguos que estaban por quedarse sin soporte por lo cual
se replanteo la configuracin.
Se propuso una configuracin en cluster con dos appliancce Fortigate
para conseguir redundancia y eliminar puntos nicos de fallo.
Se quera poder tener la capacidad de autogestionar todos los
servicios de seguridad con recursos internos de su departamento
de TI.
Despus de un amplio anlisis se escogi Fortinet por ser una opcin
que proporcionaba ms servicios consolidados y con mejor
rendimiento, para el intercambio de informacin continua de sus
productos y clientes respaldando las transacciones de Lima a
Arequipa.

47

FORTINET
Proveedores de dispositivos de seguridad perimetral. Que les brinda
ventajas como:
Aumentar la visibilidad de la red gracias a su capacidad de
inspeccin profunda de todos los paquetes de datos que circulan
por la red, evitando la propagacin de infecciones y permitiendo
priorizar el uso de ancho de banda para aplicaciones como la
videoconferencia o la telefona IP.

Disponer del sistema operativo de seguridad ms avanzado y

flexible del mercado, FortiOS, que cuenta con mltiples capas de
proteccin contra amenazas y habilitar entornos BYOD ms
seguros.
48

Es una empresa moderna y eficiente perteneciente al GRUPO

ROMERO, creada con la conviccin de promover el desarrollo
econmico en la Regin Sur a travs del desarrollo de la
actividad portuaria de la provincia de Islay.
Personal calificado y especializado, infraestructura, y
equipos; que permiten manejar grandes y variados
volmenes de carga; aliado estratgico para proyectos de
gran envergadura; opera con todo tipo de carga con
eficiencia y seguridad, alcanzando altos rendimientos.

49

50

TISUR cuenta con una red fsica y una VPN

Cuenta con direcciones IP pblicas - IP privadas
La VPN trabaja en base al IPSec funciona por el uso de dispositivos de
red para proporcionarles la plataforma ideal para garantizar la
seguridad de las comunicaciones de Internet e intranet.

Cuenta con un tnel que cifra datos y descifra datos que sin
duda dar lugar a una desaceleracin del enrutador ,
degradan el rendimiento de los compaeros y, por
consiguiente desaceleracin por la actividad predominante en
el router en s.
VPN tiene una topologa de acceso remoto.

51

VPN se implementa en un servidor tanto interno para la comunicacin de

las diferentes reas de la empresa y tambin externo para acceso de
fuera de los trabajadores.
La empresa cuenta con una VPN por:
1.- Seguridad: Ya que la informacin que se intercambia es importante
para la empresa.
2.- Facilidad: De modo que los usuarios pueden acceder desde cualquier
parte con acceso a internet.
3.- Administracin de Usuarios: Ya que tienen trabajadores a nivel
operativo y administrativo, que trabajan en diferentes horarios como fines
de semana u horarios nocturnos.
Por ejemplo hay casos en que los trabajadores de Contabilidad tienen que
hacer alguna parte de trabajo por la cual se les comunica que tienen que
conectarse a travs de la VPN con una cuenta de usuario y es como si
estuviese trabajando desde el puerto, evitando hacer viajes.
Tiene un uso continuo por lo cual se cuenta asegurada la conexin las 24
horas del da.
52

TISUR trabaja con directorio activo de Microsoft con cualquier versin de

Windows, con lo cual se gestiona las restricciones de la VPN.
Crean usuarios para la VPN de acuerdo a polticas de la empresa.
Por ejemplo se agregan usuarios de todo un rea que necesiten acceso
como los de Contabilidad son agregados al directorio activo, pero para
ello deben estar primero dentro de la base de datos de la empresa y
constatar que son trabajadores activos para obtener una cuenta de
usuario.
El jefe de redes y comunicaciones administra los permisos dando accesos
a los usuarios para ciertos accesos a las aplicaciones.
En la empresa JMoran de acuerdo a sus polticas se agregan cuentas de
usuario por persona, en este caso un contador por ser externo tiene una
cuenta de acceso pero con mayores restricciones y accesos denegados en
cuanto a la manipulacin de ciertas aplicaciones.
53