Informática
Red VPN (Virtual Private Network)
ALUMNO :
PROFESOR :
CARRERA :
COMPUTACIÓN E INFORMÁTICA
INDICE
INTRODUCCION………………………………………..…………………….5
OBJETIVOS…………………………………………………………………….7
ANTECEDENTES……………………………………………………………..8
QUE ES VPN?.....................................................................................................9
DESCRIPCION………………………………………………….……..11
POR QUE UNA VPN?.......................................................................................13
QUIEN LO SOPORTA?.....................................................................................13
REQUISITOS PARA ESTABLECER UNA VPN………………….…………13
REQUERIMIENTOS BASICOS DE LAS VPN……………………………....14
AUTENTICACION DE USUARIO………………………………...…14
ADMINISTRACION DE DIRECCION………………………….……14
ENCRIPTACION DE DATOS………………………………….……..15
ADMINISTRACION DE LLAVES…………………………..……….15
SOPORTE DE PROTOCOLO MULTILPE………………………...…15
COMPONENTES QUE CONFORMAN UNA VPN……………………….…15
DISPONIBILIDAD………………………………………………...…..15
CONTROL………………………………………………………..……15
COMPATIBILIDAD……………………………………………..…….15
SEGURIDAD…………………………………………………….…….16
CONFIABILIDAD……………………………………………….…….16
AUTENTICACION DE DATOS Y USUARIOS……………….……..16
SOBRECARGA DE TRAFICO………………………………….…….16
SIN REPUDIO…………………………………………………………16
HERRAMIENTA DE UNA VPN………………………………………..…….17
TECNOLOGIA TUNEL……………………………………………………….17
COMO FUNFIONA?..............................................................................18
ASPECTOS BASICOS………………………………………………...19
PROTOCOLOS DE TUNELES………………………………………..20
LOS PROTOCOLOS Y REQUERIMIENTOS BASICOS DE TUNELES…...20
AUTENTICACION DE DATOS……………………………………....20
SOPORTE DE TARJETA DE SEÑALES………………………….….20
ASIGNACION DE DIRECCION DINAMICA…………………….….21
COMPRESION DE DATOS……………………………………….…..21
ENCRIPTACION DE DATOS………………………………………...21
ADMINISTRACION DE LLAVES……………………………………21
SOPORTE DE PROTOCOLO MULTIPLE……………………….…..21
PROTOCOLOS DE PUNTO A PUNTO………………………………………22
FASE 1: ESTABLECER EL ENLACE DEL PPP……………………..22
FASE 2: AUTENTICAR AL USUARIO………………………………22
PROTOCOLO DE AUTENTICACION DE CONTRASEÑA...23
PROTOCOLO DE AUTENTICACION DE SALUDO CHALLENGE (CHAP)………………………………………..23
MICROSOFT CHALLENGEHANDSHAKE AUT 1 IDENTICATION PROTOCOL (MSCHAP)………………….23
FASE 3: CONTROL DE INTERACCION DEL PPP………………....24
FASE 4: INVOCAR LOS PROTOCOLOS A NIVEL DE RED………24
FASE DE TRANFERENCIA DE DATOS…………………………….25
MODO DEL TUNEL DE SEGURIDAD DE PROTOCOLOS PARA INTERNET…………………………………………………………………….25
PROTOCOLO DE TUNEL DE PUNTO A PUNTO…………………………..26
REENVIO DE NIVEL 2 (L2F)…………………………………….......26
PROTOCOLO DE TUNEL DE NIVEL 2 (L2TP)……………………..26
PPTP COMPARADO CON EL L2TP…………………………………27
TIPOS DE TUNEL……………………………………………………………..27
TUNELES VOLUNTARIOS…………………………………………..28
TUNELES OBLIGATORIOS………………………………………….28
TIPOS DE REDES VIRTUALES PRIVADAS………………………………..29
VPN DE ACCESO REMOTO………………………………………....29
VPN DE INTRANET…………………………………………………..30
VPN DE EXTRANET………………………………………………….30
TECNOLOGIA DE LAS REDES PRIVADAS VIRTUALES………………...31
SEGURIDAD…………………………………………………………..31
CALIDAD DE SERVICIO…………………………………………….31
GESTION……………………………………………............................31
SEGURIDAD DE LAS VPNs…………………………………….....................31
CLASIFICACION DE PAQUETES…………………………...............32
IMPLEMENTACION………………………………………………….............32
TIPOS DE CONEXIÓN…………………………………………......................33
CONEXIÓN DE ACCESO REMOTO…………………………….......33
CONEXIÓN VPN ROUTER-TO-ROUTER…………………………..34
PROPIEDADES DE LA CONEXIÓN…………………………34
CONEXIONES VPN BASADAS EN INTERNET E INTRANET……………35
CONEXIONES VPN BASADAS EN INTERNET……………………35
ACCESO REMOTO SOBRE INTERNET…………………….36
CONECTANDO REDES SOBRE INTERNET………………..36
CONECTANDO REDES USANDO ENLACES WAN DEDICADOS………………………………………..................36
CONECTANDO REDES USANDO ENLACES WAN ACCESO TELEFONICO………………………………………………….37
CONEXIONES VPN BASADAS EN INTRANET…………................37
ACCESO REMOTO SOBRE INTRANET…………………….37
CONECTANDO REDES SOBRE INTRANET……………….38
CONEXIÓN COMBINADA VPN INTERNET E INTRANET……….38
INSTALACION Y CONFIGURACION DEL SERVIDOR VPN……………..39
CONFIGURACION COMUN DEL SERVIDOR VPN…….................39
CONFIGURACION DE RED DEL SERVIDOR……………………...40
CONFIGURACION DEL DOMINIO…………………..……………...42
CONFIGURACION DE LA SEGURIDAD…………………………...43
EL SERVIDOR VPN QUE PROPORCIONA CONEXIONES VPN DE ACCESO REMOTO…………………………………………………...43
CONFIGURACION DE LA DIRECTIVA DE ACCESO REMOTO...43
CONFIGURACION DE CLIENTES DE ACCESO REMOTO EN L2TP…………………………………………………………………...44
EQUIPOS PARA REDES PRIVADAS VIRTUALES……………….……….45
PROTOCOLOS VPN………………………………………………….………46
POINT-TO-POINT-TUNNELING PROTOCOL (PPTP)…….……….47
LAYER TWO TUNNELING PROTOCOL (L2TP)…………………...48
INTERNET PROTOCOL SECURITY (IPSec)………………………..49
MICROSOFT POINT-TO-POINT ENCRYPTION (mppe)…………...51
Mschap……………………………………………………………….…51
IPIP……………………………………………………………………..51
IP-GRE…………………………………………………………………51
SOCKS NETWORK SECURITY PROTOCOL……………………….51
VPN DINAMICAS……………………………………………………………..51
VENTAJAS E INCONVENIENTES DE LA VPN……………………………53
POR QUE ES IMPORTANTE LA SEGURIDAD CUANDO SE IMPLEMENTA UNA VPN?...............................................................................55
CONCLUSIONES...............................................................................................56
Sin duda alguna, una red es una colección de estándares, basada en dispositivos que encadenan todo lo referente a la compañía, como computadoras de escritorio, anfitriones y recursos, sin sacrificar velocidad, costo o maniobrabilidad. La tecnología en nuestros días avanza muy rápidamente y con ello la inseguridad en las redes, por ello surge la tecnología en software y hardware que nos proporcionan ayuda en cuanto a velocidad y seguridad de la información.
Una RED se extiende sobre un área geográfica amplia, a veces un país o un continente; contiene una colección de máquinas dedicadas a ejecutar programas de usuario (aplicaciones). En los últimos años las redes se han convertido en un factor crítico para cualquier organización. Cada vez en mayor medida, las redes transmiten información vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad, alcance geográfico y efectividad en costos. Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentan con oficinas remotas a varios kilómetros de distancia, pero también es cierto que estas redes remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para obtener información confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN
Ante la necesidad de comunicar puntos remotos, y lo costoso que significaría tener una WAN (Wide Area Network) que significaría tirar líneas entre cada sucursal de una empresa “X” se ideo la forma de utilizar redes publicas para comunicar estas sucursales.
Para poder habilitar redes privadas distribuidas para comunicar de forma segura cada uno de los nodos de una red pública hay una necesidad de aplicar algún sistema de seguridad, debido a que los datos de la empresa son valiosos, y no deben ser interceptados.
Con una Red Privada Virtual (VPN), los usuarios remotos, que pertenecen a una red privada, pueden comunicarse de forma libre y segura entre redes remotas a través de redes públicas.
Una VPN normalmente usa la red Internet como transporte para establecer enlaces seguros, extendiendo las comunicaciones a oficinas aisladas.
Significativamente, decrece el coste de las comunicaciones porque el acceso a Internet es generalmente local y mucho más barato que las conexiones mediante Acceso Remoto a Servidores.
Una Red Privada Virtual (VPN) transporta de manera segura por Internet por un túnel establecido entre dos puntos que negocian un esquema de encriptación y autentificación para el transporte. Una VPN permite el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, routers para lograr esa encriptación y autentificación.
2. OBJETIVOS
1º. Proporcionar movilidad a los empleados.
2º. Acceso a la base de datos central sin utilización de operadores telefónicos.
3º. Interconexión total a la red de todos los comerciales (empleados), de forma segura a través de una infraestructura pública.
4º. Intercambio de información en tiempo real.
5º.Correo electrónico corporativo
6º.Acceso remoto a la información corporativa
7º. Teletrabajo.
8º. Flexibilidad y facilidad de uso.
9º. Obtención de la máxima velocidad de transferencia de datos usando con eficiencia los recursos empleados.
10º. Fácil adaptación a las nuevas tecnologías.
3. ANTECEDENTES
Inicialmente los viajantes empleados de la empresa accedían a los datos que necesitaban de la central mediante llamadas telefónicas, en ella se encontraban varias operadoras que se encargaban de acceder a los datos y comunicárselos a los empleados.
Ante el gran desarrollo de las tecnologías de telecomunicaciones se pensó en una reestructuración total en el modo de acceder a los datos por parte de los viajantes, creando una red que interconectara a éstos con la central y posibilitando que tuvieran acceso total a todos los equipos conectados a la red con independencia del tiempo o del lugar donde se encontraran.
La empresa deseaba también una garantía de seguridad en las transferencias de información que evitara que sus datos fuesen interceptados por personas ajenas a la empresa.
4. QUE ES VPN
Es una Red Privada Virtual que se extiende, mediante un proceso de encapsulación, y en su caso, de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública.
En el caso de acceso remoto, la VPN permite al usuario acceder a su red corporativa, asignándole a su ordenador remoto las direcciones y privilegios de la misma, aunque la conexión la haya realizado por medio de un acceso a Internet publico.
En ocasiones puede ser interesante que la comunicación que viaja por el túnel establecido en la red pública vaya encriptada para permitir una mayor confidencialidad. La forma más avanzada, más utilizada de encriptación es el IPSec
En una red privada virtual todos los usuarios parecen estar en el mismo segmento de LAN, pero en realidad están a varias redes (generalmente públicas) de distancia.
Para lograr esta funcionalidad, la tecnología de redes seguras, privadas y virtuales debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP a través de un túnel en la red pública, de manera que dos segmentos de LAN remotos no parezcan estar separados por una red pública; la solución debe agregar encriptación, de manera que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o modificado; y por último, la solución debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicación, de modo que un adversario no pueda acceder a los recursos del sistema.
Una definición simple es que se trata de una red de comunicaciones privada implementada sobre una infraestructura pública.
Las razones que impulsan al mercado en ese sentido son, fundamentalmente, de costos: es mucho más barato interconectar filiales utilizando una infraestructura pública que despliega una red físicamente privada. Por otro lado, como es lógico, es necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al uso de la criptografía.
Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN logran esto al permitir que el usuario haga un túnel a través de Internet u otra red pública, de manera que permita a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red pública (como Internet).
Desde la perspectiva del usuario, la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece enviando como si los datos se estuvieran enviando sobre un enlace privado dedicado.
La tecnología VPN también permite que una compañía se conecte a las sucursales o a otras compañías (extranets) sobre una red pública (como Internet), manteniendo al mismo tiempo comunicaciones seguras.
La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí.
Para proporcionar a los empleados la capacidad de conectarse a recursos de cómputo corporativos sin importar su ubicación, una compañía debe instalar una
solución de acceso remoto que sea confiable y escalable. Por lo común, las compañías eligen una solución basada en un departamento de sistemas que está encargado de adquirir, instalar y mantener los conjuntos de módems corporativos y la infraestructura de red privada; también eligen una solución de Red de Valor Agregado (VAN), donde contratan a una compañía externa para adquirir, instalar y mantener los conjuntos de módems y una infraestructura de telecomunicaciones.
Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en términos de costo, la flexibilidad de la administración y gestión, así como la demanda de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la organización complemente sus inversiones actuales en conjuntos de módems y su infraestructura de red privada, con una solución menos costosa basada en tecnología de Internet. De esta manera, las empresas se pueden enfocar a su negocio principal con la garantía de que nunca se comprometerá su accesibilidad y que se instalen las soluciones más económicas.
La disponibilidad de una solución de Internet permite pocas conexiones a Internet (a través de Proveedores Independientes de Servicio, PSI) y la implementación de varias computadoras de servidor VPN en el borde de la red, a fin de dar servicio a las necesidades remotas de red de cientos o miles de clientes y sucursales remotas.
a. Descripción de VPN
Una Red Privada Virtual (VPN) consiste en dos máquinas (una en cada "extremo" de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point Protocol, también conocido como PPP, un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa (también remota, LAN o WAN) por un dispositivo PPTP.
Una Red Privada Virtual es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas. Es una red de datos de gran seguridad que permite la transmisión de información confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisión. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a
través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos.
Un escenario típico de uso de VPN es una compañía que tiene una serie de trabajadores remotos a los que quiere permitir el acceso a sus servicios. Si esto es lo único que se desea hacer, no hace falta una VPN: basta con utilizar tecnologías como Firewalls o proxys. Ahora bien, una VPN permite, además que la comunicación se realice por un canal seguro.
Existen varias formas de garantizar la existencia de un canal seguro entre emisor y receptor. Algunas de ellas pueden ser el uso de extranets, o bien proteger los servidores propios mediante passwords utilizando mecanismos de autentificación de terceras partes, o incluso utilizar líneas privadas para todas las comunicaciones que requieran un canal seguro.
Así, las VPN constituyen una estupenda combinación entre la seguridad y garantía que ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del acceso a través de Internet. Esta combinación hace de las Redes Privadas Virtuales o VPNs una infraestructura confiable y de bajo costo que satisface las necesidades de comunicación de cualquier organización.
Las VPNs permiten:
-
La administración y ampliación de la red corporativa al mejor costo-beneficio.
-
La facilidad y seguridad para los usuarios remotos de conectarse a las redes corporativas.
Los requisitos indispensables para esta interconectividad son:
-
Políticas de seguridad.
-
Requerimiento de aplicaciones en tiempo real.
-
Compartir datos, aplicaciones y recursos.
-
Servidor de acceso y autentificación.
-
Aplicación de autentificación.
4. ¿Por qué una VPN?
Cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo tres opciones:
Modem: Las desventajas es el costo de la llamada, ya que el costo de esta llamada sería por minuto conectado, ademas sería una llamada de larga distancia, a parte no contaría con la calidad y velocidad adecuadas.
Línea Privada: Tendría que tender mi cable ya sea de cobre o fibra óptica de un punto a otro, en esta opción el costo es muy elevado porque si por ejemplo necesito enlazar mi oficina central con una sucursal que se encuentra a 200 Kilómetros de distancia el costo sería por la renta mensual por Kilómetro. Sin importar el uso.
VPN: Los costos son bajos porque solo realizo llamadas locales, ademas de tener la posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y velocidad.
Las redes privadas virtuales surgen como una alternativa a los servicios de comunicaciones tradicionales de red amplia (WAN) de enlaces dedicados.
5. ¿QUIEN SOPORTA LAS VPN?
Los PSI experimentan con los túneles de las redes privadas mas recientes y con los protocolos de seguridad que se usaran en un futuro en Internet. Los tres principales protocolos de seguridad que existen actualmente son el Protocolo de Reenvío de nivel 2 (L2F), el Protocolo para establecimiento de túneles punto a punto (PPTP) y el Protocolo de seguridad en Internet (IPSec). Lo más probable es que uno o dos de estos prevalecerá o posiblemente se combinarán de hecho el Protocolo de Reenvío de Nivel 2 Y el Protocolo para establecimientos punto a punto se han combinado en lo que se conocen como el Protocolo para establecimiento de túneles del nivel 2 (L2TP).
6. Requisitos para establecer una VPN
Para poder establecer una VPN, ya sea entre varias subnets o entre una LAN y un host "móvil", son necesarios algunos requisitos:
Requisitos Hardware: Es necesario tener un encaminador o router a internet, que va a ser la pieza clave de la VPN. Cualquier tipo de encaminador, en principio, sería suficiente. Por supuesto, también es necesario el soporte físico para la comunicación entre las dos subnets o entre la LAN y el host "móvil".
Requisitos Software: Se debe tener un sistema de transporte 'opaco' entre los dos puntos a unir por la VPN. Esto es, que debe actuar sólo como transporte, sin `mirar' dentro de los datos que va a transportar. El transporte debe asegurar una cierta calidad de servicio, si esto es posible, y debe proporcionar seguridad (encriptación) a los datos. Además será necesario que junto con los encaminadores (ya comentados en los requisitos hardware) se disponga de algún tipo de encapsulamiento disponible para que la red de transporte intermedio (ya sea dialup, Internet u otro tipo de red) sea capaz de entregar los paquetes entre los desencaminadores de la VPN, sin tener que 'mirar' dentro de los datos de la transmisión que, además, podrían estar encriptados. Otro de los requisitos más importantes a la hora de construir una VPN es el hecho de que las aplicaciones deberían seguir funcionando perfectamente como hasta ahora habían funcionado. Es decir, la creación de la VPN debería ser transparente a las aplicaciones que se estén usando o se puedan usar en cualquiera de las redes que forman la VPN.
7. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. La solución deberá permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN) así como las oficinas remotas se conecten entre si para compartir recursos e información (conexiones de N). Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan a través de una red corporativa. Por lo tanto, como mínimo, una solución de VPN debe proporcionar lo siguiente:
a. Autenticación de usuario. La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando.
b. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así.
c. Encriptación de datos. Los datos que se van a transmitir a traves de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red.
d. Administración de llaves. La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor.
e. Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen Protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP) o un Protocolo de túnel de nivel 2 (L2TP) cumple con todos estos requerimientos básicos, y aprovecha la amplia disponibilidad de Internet a nivel mundial.
8. COMPONENTES QUE CONFORMAN UNA VPN
Las VPN consisten hardware y software, y además requieren otro conjunto de componentes. Estos componentes son simples requisitos que garantizan que la red sea segura, esté disponible y sea fácil de mantener. Son necesarios ya sea que un PSI proporcione la VPN o que usted halla decidido instalar una por si mismo.
a. Disponibilidad
Se aplica tanto al tiempo de actualización como al de acceso.
b. Control
Suministra capacitación, experiencia, supervisión meticulosa y funciones de alerta que ofrece algunos proveedores de servicios administrados. Una consideración significativa es que sin importar que tan grande sea la organización, es probable que solo cuente con una VPN; puede tener otros puntos de acceso pero seguirá siendo una VPN corporativa.
c. Compatibilidad
Para utilizar tecnología VPN e Internet como medio de transporte, la arquitectura interna del protocolo de red de una compañía debe ser compatible con el IP nativo de Internet.
d. Seguridad
Lo es todo en una VPN, desde el proceso de cifrado que implementa y los servicios de autenticación que usted elige hasta las firmas digitales y las autoridades emisoras de certificados que utilizan. Abarca el software que implementa los algoritmos de cifrado en el dispositivo de la VPN.
e. Confiabilidad
Cuando una compañía decide instalar el producto VPN de un PSI, está a merced de este.
f. Autenticación de Datos y Usuarios
Datos: Reafirma que el mensaje a sido enviado completamente y que no ha sido alterado de ninguna forma.
Usuarios: Es el proceso que permite que el usuario acceda a la red.
g. Sobrecarga de Tráfico
En todo tipo de tecnologías existen sacrificios: velocidad contra desempeño, seguridad contra flexibilidad. Las VPN caben en la misma categoría cuando se hablan de tamaño de paquetes cifrados las sobre carga esta en juego, ya que si mandamos varios paquetes se incrementa el tamaño de estos y por lo tanto se afecta la utilización del ancho de banda.
h. Sin Repudio
Es el proceso de identificar positivamente al emisor de tal manera que no pueda negarlo.
9. Herramientas de una VPN
VPN Gateway
Software
Firewall
Router
VPN Gateway
Dispositivos con un software y hardware especial para proveer de capacidad a la VPN
Software
Esta sobre una plataforma PC o Workstation, el software desempeña todas las funciones de la VPN.
10. TECNOLOGÍA DE TÚNEL
Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños.
El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de transito se envían los datos sin problemas.
a. ¿Cómo funciona………….?
En la figura anterior se muestra como viajan los datos a través de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, después los datos llegan a nube de Internet donde se genera un túnel dedicado únicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda también garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.
b. Aspectos básicos de túneles
Trabajar en un sistema de túnel es un método de utilizar una infraestructura de la red para transferir datos de una red sobre otra; los datos que serán transferidos (o carga útil) pueden ser las tramas (o paquetes) de otro protocolo.
En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo de túnel la encapsula en un encabezado adicional. Éste proporciona información de entubamiento de manera que la carga útil encapsulada pueda viajar a través de la red intermedia.
De esta manera, se pueden enrutar los paquetes encapsulados entre los puntos finales del túnel sobre la red (la trayectoria lógica a través de la que viajan los paquetes encapsulados en la red se denomina túnel). Cuando las tramas encapsuladas llegan a su destino sobre la red se desencapsulan y se envían a su destino final; nótese que este sistema de túnel incluye todo este proceso (encapsulamiento, transmisión y desencapsulamiento de paquetes).
Existen muchos otros ejemplos de túneles que pueden realizarse sobre intranets corporativas. Y aunque la Red de redes proporciona una de las intranets más penetrantes y económicas, las referencias a Internet en este artículo se pueden reemplazar por cualquier otra intranet pública o privada que actúe como de tránsito. Las tecnologías de túnel existen desde hace tiempo.
Algunos ejemplos de tecnologías maduras incluyen:
Túneles SNA sobre intranets IP. Cuando se envía tráfico de la Arquitectura de la red del sistema (SNA) a través de una intranet IP corporativa, la trama SNA se encapsula en un encabezado UPN e IP. Túneles IPX para Novell NetWare, sobre intranets IP. Cuando un paquete IPX se envía a un servidor NetWare o ruteador IPX, el servidor o ruteador envuelve el paquete IPX en un encabezado UDP e IP y luego lo envía a través de una intranet IP.
Modo de túnel de seguridad IP (IPSec). Deja que se encripten las cargas útiles IP y luego se encapsulen en un encabezado IP, para enviarse a través de una red corporativa IP o una red pública IP como Internes
c. Protocolo de túneles
Para que se establezca un túnel, tanto el cliente de éste como el servidor deberán utilizar el mismo protocolo de túnel.
La tecnología de túnel se puede basar en el protocolo del túnel de Nivel 2 o Nivel 3; estos niveles corresponden al Modelo de referencia de interconexión de sistemas abiertos (OSI).
Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de intercambio. PPTP y L2TP y el envío de nivel 2 (L2F) son protocolos de túnel de Nivel 2, ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se enviará a través de la red.
Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de los protocolos de túnel de Nivel 3; éstos encapsulan los paquetes IP en un encabezado adicional antes de enviarlos a través de una red IP.
11. Los protocolos y los requerimientos básicos del túnel
Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP v L2TP) heredan un conjunto de funciones útiles. Como se señala adelante, estas funciones y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN
a. Autenticación de usuario. Los protocolos de túnel Nivel 2 hereda los esquemas de autenticación del usuario de PPP.
Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es la negociación IPSec ISAKMP que proporciona una autenticación mutua de los puntos Finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec dan soporte sólo a certificados basados en equipo, más que en certificados de usuarios; como resultado, cualquier usuario con acceso a uno de los equipos de punto final puede utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se conjunta el IPSec con un protocolo de Nivel 2, como el L2TP.)
b. Soporte de tarjeta de señales. Al utilizar el Protocolo de autenticación ampliable (EAP), los protocolos de túnel Nivel 2 pueden ofrecer soporte a una amplia variedad de métodos de autenticación, incluidas contraseñas de una sola vez, calculadores criptográficos y tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas en su negociación ISAKMP/Oakley.
c. Asignación de dirección dinámica. El túnel de Nivel 2 da soporte a la asignación dinámica de direcciones de clientes basadas en un mecanismo de negociación de protocolos de control de la red en general los esquemas del túnel de nivel 3 suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Cabe mencionar que los esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente en desarrollo, por lo que aún no están disponibles.
d. Compresión de datos. Los protocolos de túnel Nivel 2 proporcionan soporte a esquemas de compresión basados en PPP Por ejemplo, las implementaciones de Microsoft tanto de PPTP como L2TP utilizan Microsoft Point to Point Compression (MPPC). La IETF está investigando mecanismos similares (como la compresión IP) para los protocolos de túnel Nivel 3.
e. Encriptación de datos. Los protocolos de túnel Nivel 2 dan soporte a mecanismos de encriptación de datos basados en PPP. Por su parte, la implementación de Microsoft de PPTP da soporte al uso opcional de Microsoft Point to Point Encription (MPPE), basado en el algoritmo RSA/RC4. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define varios métodos de Encriptación opcional de datos que se negocian durante el intercambio ISAKMP/Oaklev.
La implementación de Microsoft del protocolo L2TP utiliza la encriptación IPSec para proteger el flujo de datos del cliente al servidor del túnel.
f. Administración de llaves. MPPE, un protocolo de Nivel 2, se basa en las claves iniciales generadas durante la Autenticación del usuario y luego las renueva en forma periódica. IPSec negocia explícitamente una llave común durante el intercambio ISAKMP y también las renueva de manera periódica.
g. Soporte de protocolo múltiple. El sistema de túnel de Nivel 2 da soporte a protocolos múltiples de carga útil, lo que facilita a los clientes de túnel tener acceso a sus redes corporativas utilizando IP, IPX, NetBEUI, etc.
En contraste, los protocolos de túnel Nivel 3, como el modo de túnel IPSec, por lo común dan soporte sólo a redes objetivo que utilizan el protocolo IP.
12. PROTOCOLOS DE PUNTO A PUNTO
Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadas para PPP, vale la pena examinar este protocolo más de cerca.
PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. Es utilizado entre un cliente de marcación y un NAS.
Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP, cada una de las cuales debe completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir los datos del usuario. Estas fases se explican posteriormente.
a. Fase 1: Establecer el enlace del PPP
PPP utiliza el Protocolo de Control de Enlace (LCP) para establecer, mantener y concluir la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación.
Nótese que durante la fase de establecimiento de enlace (Fase i), se seleccionan los protocolos de Autenticación, peto no se implementan efectivamente hasta la fase de Autenticación de conexión (Fase 2). De manera similar, durante el LCP se toma una decisión respecto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y los otros detalles.
b. Fase 2: Autenticar al usuario
En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso remoto. Por su parte, un esquema seguro de Autenticación proporciona protección contra ataques de reproducción y personificación de clientes remotos. (Un ataque de reproducción ocurre cuando un tercero monitoriza una conexión exitosa y utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de manera que pueda lograr una conexión autenticada.
La personificación del cliente remoto ocurre cuando un tercero se apropia de una conexión autenticada.
La gran parte de la implementaciones del PPP proporcionan métodos limitado, de Autenticación, típicamente el Protocolo de autenticación de contraseña (PAP), el
Protocolo de autenticación de saludo Challenge (CHAP) Y Microsoft Challenge Handshake Authentication Protocol (MSCHAP).
i. Protocolo de autenticación de contraseña (PAP). El PAP es un esquema simple y claro de autenticación de texto: el NAS solicita al usuario el nombre y la contraseña y el PAP le contesta el texto claro (no encriptado).
Obviamente, este esquema de autenticación no es seguro ya que un tercero podría capturar el nombre y la contraseña para tener seña del usuario Y útil os un acceso subsecuente al NAS y todos los recursos que proporciona el mismo cuando se ha escrito la contraseña del usuario, PAP no proporciona protección contra ataques de reproducción o personificación de cliente remoto.
ii. Protocolo de autenticación de saludo Challenge (CHAP). El CHAP es un mecanismo encriptado que evita la transmisión de contraseñas reales en la conexión. El NAS envía un Challenge, que consiste de una identificación de sesión y una extensión arbitraria al cliente remoto. Por su parte, el cliente remoto deberá utilizar el algoritmo de control unidireccional MD5 para devolver el nombre i del usuario y una encriptación del challenge, la identificación de la sesión y la contraseña del cliente.
El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto transparente sobre el enlace. En su lugar, se utiliza la contraseña a fin de crear una verificación encriptada del challenge original. El servidor conoce la contraseña del texto transparente del cliente y, por tanto, puede duplicar la operación y comparar el resultado con la contraseña enviada en la respuesta del cliente.
El CHAP protege contra ataques de reproducción al utilizar una extensión challenge arbitraria para cada intento de autenticación. Asimismo, protege contra la personificación de un cliente remoto al enviar de manera impredecible challenges repetidos al cliente remoto, a todo lo largo de la duración de la conexión.
iii. Microsoft ChallengeHandshake Aut 1 identicatíon Protocol (MSCHAP). Es un mecanismo de autenticación encriptado muy similar al CHAP. Al igual que en este último, el NAS envía un challenge, que consiste en una identificación de sesión y una extensión challenge arbitraria, al cliente remoto. El cliente remoto debe devolver el nombre del usuario y una verificación MD4 de la extensión challenge, el identificador de sesión y la contraseña MD4 verificada.
Este diseño, que manipula una verificación del MD4 de la contraseña, proporciona un nivel adicional de seguridad, debido a que permite que el servidor almacene las contraseñas verificadas en lugar de contraseñas con texto transparente.
MSCHAP también proporciona códigos adicionales de error, incluido un código de Contraseña ya expirado, así como mensajes adicionales cliente-servidor encriptado que permite a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del MSCHAP, tanto el Cliente como el NAS, de manera independiente, una llave inicial para encriptaciones posteriores de datos por el MPPE.
El último punto es muy importante, ya que explica la forma en que se te quiere la autenticación del MSCHAP, a fin de permitir la encriptación de datos con base en MPPE.
Durante la fase 2 de la configuración del enlace del PPP, el NAS recopila los datos de autenticación y luego valida los datos contra su propia base de datos del usuario o contra un servidor central para la autenticación de base de datos, como el que mantiene un Controlador del dominio primario Windows NT, un servidor de Servicio remoto de usuario con marcación de autenticación (RA, DIUS).
c. Fase 3:
Control de interacción del PPP
La implementación de Microsoft del PPP incluye una Fase opcional de control de interacción. Esta fase utiliza el protocolo de control de iteración (CBCP) inmediatamente después de la fase de autenticación.
Si se configura para iteración, después de la autenticación, le desconectan tanto el cliente remoto como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado, lo que proporciona un nivel adicional de seguridad a las redes de marcación.
El NAS permitirá conexiones partir de los clientes remotos que físicamente residan sólo en números telefónicos específicos.
d. Fase 4: Invocar los Protocolos a nivel de Red
Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red (NCP), que se seleccionaron durante la fase de establecimiento de enlace (fase i) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación.
En la implementación del PPP de Microsoft, el protocolo de control de compresión se utiliza para negociar tanto la compresión de datos (utilizando MPPC)
como la encriptación de éstos (utilizando MPPE), por la simple razón de que ambos se implementan en la misma rutina.
e. Fase de transferencia de datos
Una vez que hayan concluido las cuatro fases de negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado del PPP, que elimina el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la transmisión.
Pero si se seleccionó y se negoció de manera similar la encriptación de datos, éstos (comprimidos opcionalmente) se encriptarán antes de la transmisión.
13. MODO DEL TUNEL DE SEGURIDAD DE PROTOCOLOS PARA INTERNET
El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida de información a través de una red IR En su conjunto se describe con mayor detalle en la sección de Seguridad avanzada.
Hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de túnel: además de su definición de mecanismos de encriptación para tráfico IP, IPSec define el 1 formato de paquete para un modo de túnel IP sobre IP, generalmente referido como un modo de túnel IPSec.
Un túnel IPSec consiste en un cliente de túnel v un servidor de túnel, ambos configurados para utilizar los túneles IPSec y un mecanismo negociado de encriptación. El modo del túnel del IPSec utiliza el método de seguridad negociada (de existir) para encapsular y encriptar todos los paquetes IP, para una transferencia segura a través de una red privada o pública IP. Así, se vuelven a encapsular la carga útil encriptada con un encabeza do IP de texto Y se envía en la red para su entrega a un servidor de túnel. Al recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y luego desencripta su contenido, a fin de recuperar el paquete original IP de carga útil. En seguida, se procesa el paquete IP de carga útil de manera normal y se en ruta su destino en la red objetivo.
El modo de túnel IP tiene las siguientes funciones y limitaciones:
-
Solo da soporte a tráfico IP
-
Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles más altos hereda su comportamiento.
-
Está controlado por una Política de seguridad (un conjunto de reglas que se cumplen a través de filtros). Esta política de seguridad establece los mecanismos de encriptación y de túnel disponibles en orden de preferencia, así como los métodos de autenticación disponibles, también en orden de preferencia. Tan pronto como existe tráfico, ambos equipos realizan una autenticación mutua, y luego negocian los métodos de encriptación que se utilizarán. Posteriormente, se encripta todo el tráfico de encriptación, y luego se envuelve en un encabezado de túnel.
14. PROTOCOLO DE TUNEL DE PUNTO A PUNTO
El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP para transmisión sobre una red IP, como la de Internet. También se puede utilizar en una red privada de LAN a LAN.
El Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP, para mantenimiento del túnel y tramas encapsuladas del PPP de Encapsulamiento de entubamiento genérico (GRE) para datos de túnel. Se pueden encriptar y/o comprimir las cargas útiles de las i tramas del PPP encapsulado.
La forma en que se ensambla el paquete del PPTP antes de la transmisión (el dibujo exhibe un cliente de marcación que crea un túnel a través de una red). El diseño de la trama final muestra la encapsulamiento para un cliente de marcación (controlador de dispositivo PPP).
a. Reenvío de nivel 2 (L2F)
Una tecnología propuesta por cisco, es un protocolo de transmisión que permite que los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP, y lo transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido. Nótese que L2F funciona sólo en túneles obligatorios (para un análisis detallado de los túneles voluntarios y obligatorios, véase la sección "Tipos de túnel", más adelante en este artículo).
b. Protocolo de túnel de nivel 2 (L2TP)
Es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente las mejores funciones del PPTP y L2E, L2TP es un protocolo de red
cápsula las tramas de] PPP que viajan sobre redes IP, x.25, Frame Relay, o modo de transferencia ATM.
Cuando está configurado para utilizar al IP como su transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre Internet. También se Puede utilizar directamente sobre varios medios WAN (como Frame Relay), sin nivel de transporte IP.
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes para el mantenimiento de túnel. Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel; se pueden encriptar Y/O comprimir las cargas útiles de las tramas PPP encapsuladas.
c. PPTP comparado con el L2TP
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los datos, y luego incluir encabezados adicionales a fin de transportarlos a través de la red. Aunque ambos protocolos son muy similares, existen diferencias entre ellos:
El PPTP requiere que la red sea de tipo IP, y el L2TP requiere sólo que los medios del túnel proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVC), circuitos virtuales X25 (VC) o VC ATM.
El PPTP sólo puede soportar un túnel único entre puntos terminales, y el L2TP permite el uso de varios túneles entre puntos terminales. Con el L2TP es posible crear diferentes túneles para diferentes calidades de servicio.
L2TP proporciona la compresión de encabezados. Cuando se activa la compresión de encabezado, el L2TP opera sólo con 4 bytes adicionales, comparado con los 6 bytes para el PPTP.
L2TP proporciona la autenticación de túnel, no así el PPTP. Sin embargo, cuando se utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticación de túnel por el IPSec, de manera que no sea necesaria la autenticación del túnel Nivel 2.
15. TIPOS DE TUNEL
Se pueden crear túneles en diferentes formas.
Túneles voluntarios: Una computadora de usuario o de cliente puede emitir una solicitud VPN para configurar y crear un túnel voluntario. En este caso, la
computadora del usuario es un punto terminal del túnel y actúa como un cliente de éste.
Túneles obligatorios: Un servidor de acceso de marcación capaz de soportar una VPN configura y crea un túnel obligatorio. Con uno de éstos, la computadora del usuario deja de ser un punto terminal del túnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora del usuario y el servidor del túnel, es el punto terminal del túnel y actúa como el cliente del mismo.
A la fecha, los túneles voluntarios han robado ser el tipo más popular de túnel. Las siguientes secciones describen cada uno de estos tipos con mayor detalle.
a. Túneles voluntarios
Un túnel voluntario ocurre cuando, una estación de trabajo o un servidor de entubamiento utilizan el software del cliente del túnel, a fin de crear una conexión virtual al servidor del túnel objetivo; para lograr esto se debe instalar el protocolo apropiado de túnel en la computadora cliente. Para los protocolos que se analizan en este artículo, los túneles voluntarios requieren una conexión IP (ya sea a través de una LAN o marcación).
En determinadas situaciones, el cliente debe establecer una conexión de marcación con el objeto de conectarse a la red antes de que el cliente pueda establecer un túnel (éste es el caso más común). Un buen ejemplo es el usuario de Internet por marcación, que debe marcar a un ISP y obtener una conexión a Internet antes de que se pueda crear un túnel sobre Internet.
Para una PC conectada a una LAN, el cliente ya tiene una conexión a la red que le puede proporcionar un entubamiento a las cargas útiles encapsuladas al servidor del túnel LAN elegido. Este sería el caso para un cliente en una LAN corporativa, que inicia, un túnel para alcanzar una subred privada u oculta en la misma LAN (como sería el caso de la red de Recursos Humanos).
Es falso que las VPN requieran una conexión de marcación, pues sólo requieren de una red IP. Algunos clientes (como las PC del hogar) utilizan conexiones de marcación 1 Internet para establecer transporte IP; esto es un paso preliminar en la preparación para la creación de un túnel, y no es parte del protocolo del túnel mismo.
b. Túneles obligatorios
Diversos proveedores que venden servidores de acceso de marcación han implementado la capacidad para crear un túnel en nombre del cliente de marcación. La computadora o el dispositivo de red que proporciona el túnel para la computadora del
cliente es conocida de varias maneras: Procesador frontal (FEP) en PPTP, un Concentrador de acceso a L2TP (LAC) en L2TP o un gateway de seguridad IP en el IPSec. En este artículo, el término FEP se utilizará para describir esta funcionalidad, sin importar el protocolo de túnel.
Para realizar esta función, el FEP deberá tener instalado el protocolo apropiado de túnel y ser capaz de establecer el túnel cuando se conecte la computadora cliente.
En el ejemplo de Internet, la computadora cliente coloca una llamada de marcación al NAS activado por los túneles en el ISP; puede darse el caso de que una empresa haya contratado un ISP para instalar un conjunto nacional de FEP.
Esta configuración se conoce como "túnel obligatorio" debido a que el cliente está obligado a utilizar el túnel creado por FER Cuando se realiza la conexión inicial, todo el tráfico de la red de y hacia el cliente se envía automáticamente a través del túnel.
En los túneles obligatorios, la computadora cliente realiza una conexión única PPP, y cuando un cliente marca en el NAS se crea un túnel y todo el tráfico se enruta de manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a todos los clientes de marcación hacia un servidor específico del túnel. De manera alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o destino del usuario.
A diferencia de los túneles por separado creados para cada cliente voluntario, un túnel entre el FEP y servidor puede estar compartido entre varios clientes de marcación. Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crear una nueva instancia del túnel entre el FEP y el servidor del túnel.
Las VPNs proveen hoy ahorros de un 50 a un 75 por ciento en los costos de comunicaciones, y permiten mantener la arquitectura de las redes flexible para adaptarse a los nuevos mecanismos de negocio de las empresas.
Estudios de mercado asignan a las VPNs oportunidades de negocio por U$S 1.1 mil millones a nivel mundial para el año 2001, con un crecimiento anual del 72 por ciento.
Esto lo vemos reflejado en nuestro mercado local, dado que los principales vendedores comenzaron a ofrecer este tipo de servicio.
16. TIPOS DE REDES VIRTUALES PRIVADAS
Las redes privadas virtuales se dividen en 3 categorías de acuerdo con el servicio de conectividad que brinden:
a.. VPN de Acceso Remoto.
(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativa a través de una infraestructura pública, conservando las mismas políticas, como seguridad y calidad de servicio, que en la red privada. Permite el uso de múltiples tecnologías como discado, ISDN, xDSL, cable, o IP para la conexión segura de usuarios móviles, telecommuters o sucursales remotas a los recursos corporativos (ver figura1 "VPN de acceso").
Características:
-
Outsourcing de acceso remoto
-
llamadas locales o gratuitas (n° 900)
-
ubicuidad del acceso
-
Instalación y soporte del PS (Proveedor de servicio)
-
Acceso único al nodo central (elimina la competencia por puertos)
-
Tecnologías de acceso RTC, ISDN, xDSL
-
Movilidad IP
-
Seguridad reforzada por el cliente
- AAA en el ISP proporciona 1° y posiblemente 2° nivel de seguridad.
b. VPN de Intranet.
Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre otras (ver figura 2. "Intranet VPN").
Característica:
-
Extiende el modelo IP a través de la WAN compartida.
c. VPN de Extranet.
Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la intranet corporativa a través de una red pública (ver figura "Extranet VPN").
Características:
-
Extiende la conectividad a proveedores y clientes
-
sobre una infraestructura compartida
-
usando conexiones virtuales dedicadas
-
Los pharters tienen diferentes niveles de autorización
-
accses control lists, firewalls, filtros, según decida la empresa
17. TECNOLOGÍA DE LAS REDES PRIVADAS VIRTUALES
La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnología para proteger la privacidad, mantener la calidad y confibilidad, y asegurar la operatoria de la red en toda la empresa. Estos elementos son:
a. Seguridad: uso de túneles, encripción de datos, autenticación de usuarios y paquetes, control de acceso.
b. Calidad de Servicio: uso de colas, manejo de congestión de red, priorización de tráfico, clasificación de paquetes.
c. Gestión: implementación y mantenimiento de las políticas de seguridad y calidad de servicio a lo largo de la VPN.
18. Seguridad en las VPNs
Un punto fundamental es el particionamiento de las redes públicas o de uso compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso de túneles que no son ni más ni menos que técnicas de encapsulado del tráfico. Las técnicas que se utilizan son: GRE, que permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro protocolo, típicamente IP; L2TP que permite el armado de túneles para las sesiones PPP remotas, y por último IPSec para la generación de túneles con autenticación y encriptado de datos.
La calidad de servicio permite la asignación eficiente de los recursos de la red pública a las distintas VPNs para que obtengan una performance predecible. A su vez, las VPNs asignarán distintas políticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes tecnológicas básicas son:
a. Clasificación de Paquetes: asignación de prioridades a los paquetes basados en la política corporativa. Se pueden definir hasta siete clases de prioridades utilizando el campo de IP precedence dentro del encabezado del paquete IP.
Committed Access Rate (CAR): garantiza un ancho de banda mínimo para aplicaciones o usuarios basándose en la política corporativa.
Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en base a la prioridad asignada a éstos, mediante el encolado de los paquetes.
Weighted Random Early Detection (WRED): complementa las funciones de TCP en la prevención y manejo de la congestión de la red, mediante el descarte de paquetes de baja prioridad.
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte de paquetes.
19. Implementación
En una primera aproximación, se puede implementar una VPN mediante mecanismos hardware. Éstos se basan normalmente en routers con encriptación, que tienen la ventaja de ser lo más parecido a equipos "plug&play". Su única tarea es encriptar y desencriptar las tramas que pasan a través de ellos, por lo que tienen buenas prestaciones y no introducen demasiado retardo en la red. Ahora bien, no tienen tanta flexibilidad como los sistemas basados en software. Otra aproximación son sistemas basados en Firewalls. Estos sistemas aprovechan las ventajas del firewall como la restricción de acceso a la red o generación de registros de posibles amenazas, y ofrecen además otros como traducción de direcciones o facilidades de autentificación fuerte. Ahora bien, el hecho de insertar el servicio de VPN dentro de un firewall puede afectar en mayor o menor medida al rendimiento del sistema, lo que puede o no ser un problema dependiendo de nuestras necesidades. Si esto se convierte en un problema, algunos fabricantes de firewalls ofrecen procesadores dedicados a encriptación para minimizar el efecto del servicio VPN en el sistema. Por
último, los sistemas puramente software son ideales en los casos en los que los dos extremos de la comunicación no pertenecen a la misma organización, o cuando aun estando dentro de la misma organización, las tecnologías de routers y/o firewalls difieren. Esta solución permite mayor flexibilidad en cuanto a la decisión de qué tráfico enviar o no por el túnel seguro, pudiendo decidir por protocolo o por dirección, a diferencia de los sistemas hardware, que normalmente sólo permiten decidir por dirección. Puede ser conveniente en situaciones donde la VPN es útil en algunos casos (consultas a una base de datos) pero irrelevante en otros (navegación normal por la web). También es útil en los casos en los que la conexión se realiza por líneas lentas. Ahora bien, no todo son ventajas. Los sistemas software son difíciles de administrar, ya que requieren estar familiarizados con el sistema operativo cliente, la aplicación VPN y los mecanismos de seguridad adecuados. Y algunos paquetes VPN requieren cambios en las tablas de encaminamiento y los esquemas de traducción de direcciones. Sin embargo, las fronteras entre estas tres aproximaciones se van diluyendo conforme pasa el tiempo. Existen fabricantes que proporcionan soluciones basadas en hardware, pero que incluyen clientes software para VPN e incluso características que sólo se encontraban en los sistemas basados en firewalls. Por otro lado, la introducción del protocolo IPSec está facilitando la mezcla de distintos productos VPN.
En cuanto a los algoritmos de encriptación, se puede utilizar prácticamente cualquiera: desde la encriptación de 40 bits que lleva W9x por defecto a algoritmos más elaborados como triple DES.
La autentificación de usuarios se realiza utilizando cualquier técnica, desde métodos software a passwords dinámicos tanto software como hardware.
20. Tipos de conexión VPN
Crear una VPN es muy similar a establecer una conexión de acceso telefónico a una red punto a punto. Hay dos tipos de conexiones VPN: la conexión de acceso remoto VPN y la conexión router to router.
a. Conexión de Acceso Remoto.
Una conexión de acceso remoto es realizada por un cliente de acceso remoto, o un usuario de un computador que se conecta a una red privada. El servidor de VPN provee de acceso a los recursos del servidor VPN, o a la red completa a la cual el servidor VPN esta conectado. Los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto. El cliente de acceso remoto (cliente VPN), se
autentifica al servidor de acceso remoto (el servidor VPN), y para una mutua autentificación, el servidor se autentifica ante el cliente.
b. Conexión VPN Router-to-Router
Una conexión VPN router-to-router Es realizada por un router, y este conecta 2 porciones de una red privada. El servido VPN provee una conexión ruteada hacia la red en la cual el servidor VPN esta conectado. En una conexión VPN router to router, los paquetes enviados desde cualquier router a través de la conexión VPN típica, no se origina en los routers. El router que realiza la llamada (Cliente VPN), se autentifica ante el router que responde (El servidor VPN), y para una autentificación mutua el router que responde, se autentifica ante el router que realiza la llamada.
i. Propiedades de la Conexión VPN
La conexión VPN, tiene las siguientes partes.
• Encapsulacion
• Autentificación
• Encriptación de datos
• Asignamiento de servidor de nombres y dirección.
Encapsulación
La tecnología VPN, provee una vía de encapsulamiento datos privados con encabezados que permiten a los datos pasar por el tráfico inter-redes.
Autentificacion
La autentificación para conexiones VPN, toma dos formats
• Autentificacion de usuario para que la conexión VPN sea establecida, El servidor VPN autentifica al cliente VPN intentando la conexión y verificando que el cliente VPN tiene los permisos apropiados. Si se acepta, se usa la autentificación mutua, el cliente VPN también autentifica al servidor VPN proveyendo una protección ante servidores VPN enmascarados
• Autentificación e integración de datos, verifica que los datos enviados en la conexión VPN, son originados al otro lado de la conexión y no han sido modificados en el camino, los datos contienen una suma de comprobación criptográfica basaba en un código conocido solo por el emisor y el receptor.
Encriptación de datos
Para asegurar la confiabilidad de los datos que son enviados a través del transito inter redes compartido o publico, este es encriptado por el emisor, y desencriptado por el receptor. El proceso de encriptación y desencriptación depende
de que el emisor y el receptor tengan conocimiento de una llave de encriptación conocida por ambos
Los paquetes interceptados a lo largo de la conexión VPN en el transito inter red, son ilegibles para quien no conozca la llave de encriptación. La longitud de la llave de encriptación es un parámetro importante de seguridad. Técnicas computacionales puedes ser usadas para determinar la llave de encriptación, como estas técnicas requieren mayor poder computacional y tiempo de cálculos mientras mas larga sea la llave de encriptación, por lo tanto, es muy importante usar una llave lo mas larga posible. Además mientras más información es encriptada con la misma llave, es mas facial de descifrar los datos encriptados. Con algunas técnicas de encriptación, se le da la opción de configurar cuan a menudo las llaves de encriptación son cambiadas durante una conexión.
Asignamiento servidor de nombres y dirección
Cuando un servidor VPN es configurado, se crea una interfaz virtual que representa la interfaz en la cual todas las conexiones VPN son hechas. Cuando un cliente VPN establece una conexión, una interfaz virtual es creada en el cliente VPN que representa la interfaz conectada al servidor VPN.
La interfaz virtual en el cliente de VPN se conecta con la interfaz virtual en el servidor de VPN creando una conexión VPN punto a punto.
Las interfaces virtuales del cliente VPN y del servidor VPN se deben asignar direcciones IP. La asignación de estas direcciones es hecha por el servidor de VPN. Por defecto, el servidor de VPN obtiene a las direcciones IP para sí mismo y a clientes de VPN usando Dynamic Host Configuration Protocol (DHCP). También se puede configurar una unión estática de las direcciones IP definidas por una identificación de la red IP y una mascara de subred.
21. Conexiones VPN basadas en Internet e Intranet
Las conexiones VPN pueden ser utilizados siempre que una conexión segura punto a punto necesite conectar otros usuarios o redes. Típicamente las conexiones vpn son basadas en Internet o en Intranet.
a. Las conexiones VPN basadas en Internet
Usando una conexión Internet-basada de VPN, usted puede evitar llamadas larga distancia y 1-800 mientras que se aprovecha de la disponibilidad global del Internet.
i. Acceso remoto sobre Internet
Antes que un cliente de acceso remoto tenga que hacer una llamada distancia o 1-800 a un corporativo o el servidor del acceso de red (NAS), el cliente puede llamar al ISP local. Usando la conexión física establecida a la ISP local, el cliente del acceso remoto inicia una conexión de VPN a través del Internet al servidor de VPN de la organización. Cuando se crea la conexión de VPN, el cliente del acceso remoto puede tener acceso a los recursos del Intranet privado.
fig. Conexión VPN, conectando un cliente remoto a una red privada.
ii. Conectando redes sobre Internet
Cuando las redes están conectadas sobre Internet, router reenvía los paquetes a otro router a través de una conexión de VPN. Hacia los routers la VPN funciona como vinculo de capa data link
fig. Conexión VPN de dos sitios remotos a través de Internet.
iii. Conectando redes, usando enlaces WAN dedicados
Antes que usar un costoso enlace dedicado larga distancia WAN entre las oficinas, los routers de la oficina están conectadas a Internet usando enlaces dedicados locales WAN a una ISP local. Una conexión VPN router to router por cualquier router a través del Internet. Cuando están conectadas, los router pueden
remitir tráfico dirigido o trafico de protocolo de ruteo hacia otro usando la conexión VPN.
iv. Conectando redes, usando enlaces WAN acceso telefónico
Antes que tener un router de la sucursal realizando llamadas larga distancia o 1-800 a un corporativo, el router de la sucursal, puede llamar a su isp local. Usando la conexión establecida al ISP local, una conexión router to router es iniciada por el router de la sucursal al router de la oficina corporativa a través de Internet. El router de la sucursal que actúa como servidor de VPN se debe conectar con un ISP local usando un enlace WAN dedicado. Es posible tener ambas oficinas conectadas con el Internet usando un enlace WAN de marcado manual. Sin embargo, esto es solamente factible si la ISP soporta el ruteo a los clientes según requerimientos de llamada, El ISP llama al router del cliente cuando un IP DATAGRAM debe ser entregado al cliente. El ruteo a los clientes según requerimientos de llamada no es apoyado extensamente por los ISPs.
b. Conexiones VPN basadas en Intranet
Las Conexiones VPN basadas en Intranet aprovechan la conectividad del IP en un Intranet de la organización.
i. Acceso Remoto sobre Intranet
En algunos intranets de una organización, los datos de un departamento, tales como los del departamento de recursos humanos, es tan delicado que el segmento de la red del departamento este desconectado físicamente del resto del Intranet de la organización. Mientras que esto protege los datos del departamento, crea problemas de accesibilidad hacia la información para el resto de los usuarios no conectados físicamente con el segmento de la red separada. Las conexiones de VPN permiten que el segmento delicado de la red del departamento sea conectado físicamente con el Intranet de la organización pero separado por un servidor VPN. El servidor de VPN no proporciona una conexión ruteada directa entre el Intranet corporativo y el segmento de la red separada. Los usuarios en el Intranet corporativo con los permisos apropiados pueden establecer una conexión de acceso remoto VPN con el servidor de VPN y pueden acceder a los recursos protegidos de la red delicada del departamento. Además, toda la comunicación a través de la conexión de VPN se cifra para confidencialidad de los datos. Para esos usuarios que no tengan permisos de
establecer una conexión de VPN, el segmento de la red separada esta oculto para ellos.
fig. Conexión VPN, permitiendo el acceso remoto a una red segura sobre Intranet
ii. Conectando redes sobre un Intranet
Se puede también conectar dos redes sobre un Intranet usando una conexión router to router VPN. Este tipo de conexión VPN puede ser necesario, por ejemplo, para dos departamentos en lugares separadas, en que los datos son altamente delicados a comunicarse con uno a. Por ejemplo, el departamento de finanzas puede necesitar comunicarse con el departamento de los recursos humanos para intercambiar la información de la nómina de pago. El departamento de finanzas y el departamento de los recursos humanos están conectados a una Intranet común con las computadoras que pueden actuar como clientes de o servidores VPN. Cuando se establece la conexión VPN, los usuarios en las computadoras en cualquier red pueden intercambiar datos sensibles a través del Intranet corporativo.
fig. Conexión VPN conectando dos departamentos sobre Intranet
c. Conexión combinada VPN Internet e Intranet
Una VPN es una herramienta de red que puede proporcionar una conexión segura punto a punto cualquier manera usted ve ajuste. Una conexión combinada menos común del Internet y del Intranet VPN, llamada una conexión del paso VPN, permite a cliente del acceso remoto conectarse con una Intranet de la compañía para
tener acceso a los recursos de otra Intranet de una compañía usando el Internet. En este panorama con, una conexión de acceso remoto VPN pasa por una Intranet y el Internet para tener acceso a una segunda Intranet.
fig. Conexión VPN de paso
22. Instalación y configuración del servidor VPN.
El equipo servidor VPN se conectará a la Intranet de la empresa a través de la tarjeta de red instalada en él y se instalará el MODEM conectándolo a su puerto serie y éste a su vez a la Red Telefónica Básica.
Se instalará en el equipo servidor el paquete Windows 2000 Server, el cual contiene el software y los protocolos necesarios para establecer conexiones con los clientes de acceso remoto.
a. Configuración común del servidor VPN.
Para distribuir una solución VPN a la empresa interesada, se realizará un análisis y una toma de decisiones acerca de su diseño teniendo en cuenta lo siguiente:
-
Configuración de la red.
-
Configuración de las directivas de acceso remoto.
-
Configuración del dominio.
-
Configuración de la seguridad.
Configuración de la red
Los elementos clave de la configuración de la red son:
-
La intranet de la empresa utiliza las direcciones 192.168.0.1 con la máscara de subred 255.255.255.0. El equipo servidor VPN está conectado a Internet las 24 horas a través de un ISP con una dirección IP fija.
-
La dirección IP fija de Internet, asignada por el proveedor de servicios Internet (ISP) a la empresa, se supondrá que será la 207.46.130.1. En Internet se alude a la dirección IP mediante el nombre de dominio vpn.francisco.comerciales.com.
-
El equipo servidor VPN está configurado con una dirección IP estática, con el fin de asignar clientes de acceso remoto.
La siguiente figura muestra la configuración de red del servidor VPN
b. Configuración de red del servidor VPN.
El equipo servidor VPN se configura de la siguiente manera:
Se instala el hardware en el servidor VPN.
Se instalará el adaptador de red utilizado para conectar al segmento de Intranet, y el MODEM utilizado para la conexión a Internet siguiendo las instrucciones del fabricante de ambos adaptadores. Cuando los controladores estén instalados y en funcionamiento, ambos adaptadores aparecerán como conexiones de área local en la carpeta Conexiones de red y de acceso telefónico.
Configuración TCP/IP en los adaptadores LAN y WAN.
Para el adaptador de red de área local se configura la dirección IP 192.168.0.1 con la máscara de subred 255.255.255.0. Para el MODEM se configura la dirección IP 207.46.130.1 con la máscara de subred 255.255.255.255. Para ninguno de los dos elementos se configurará una puerta de enlace, o gateway, predeterminada. También se configurarán las direcciones de servidor DNS y WINS.
Instalación del Servicio de enrutamiento y acceso remoto.
Se ejecutará el Asistente para la instalación del servidor de enrutamiento y acceso remoto. En el asistente, se seleccionará la opción Servidor configurado manualmente. Para obtener más información, consultar el
procedimiento "Habilitar el Servicio de enrutamiento y acceso remoto" en el anexo A.
Cuando el asistente finalice, se habrá configurado un conjunto de direcciones IP estáticas con la dirección IP inicial 192.168.0.1 y la dirección IP final 192.168.0.254. Esto crea un conjunto de direcciones estáticas para un máximo de 253 clientes VPN.
Para obtener más información, consulte el procedimiento "Crear un grupo de direcciones IP estáticas" en el anexo B.
El método predeterminado para autenticar el acceso remoto y las conexiones de marcado a petición consiste en utilizar la autenticación de Windows, que resulta apropiada para esta configuración que contiene únicamente un servidor VPN.
Configuración de rutas estáticas en el servidor VPN para llegar a ubicaciones de Internet.
Para llegar a ubicaciones de Internet, se establecerá una ruta estática con la siguiente configuración:
-
Interfaz: el MODEM conectado a Internet
-
Destino: 0.0.0.0
-
Máscara de red: 0.0.0.0
-
Puerta de enlace: 0.0.0.0
-
Métrica: 1
Esta ruta estática resume todos los destinos en Internet. Permite que el servidor VPN responda a un cliente de acceso remoto o a una conexión VPN de enrutador de marcado a petición desde cualquier parte en Internet.
Aumentar el número de puertos PPTP y L2TP.
De forma predeterminada, únicamente cinco puertos L2TP y otros cinco PPTP están habilitados para conexiones VPN. El número de puertos L2TP y PPTP aumenta hasta 253. Para obtener más información, consultar el procedimiento "Agregar puertos PPTP o L2TP" en el anexo C.
Configuración de filtros de paquetes PPTP y L2TP sobre IPSec.
Tanto PPTP como L2TP sobre filtros de paquetes IPSec se configurarán en el MODEM conectado a Internet. Para evitar que el servidor VPN envíe o reciba tráfico en su interfaz de Internet, excepto el tráfico PPTP o L2TP sobre IPSec proveniente de clientes de acceso remoto, se configurarán PPTP y L2TP sobre filtros de entrada y salida IPSec en la interfaz de Internet.
Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configura L2TP sobre filtros IPSec y PPTP en la interfaz de Internet del servidor VPN, todo el tráfico recibido en esta interfaz se enrutará y es posible que se reenvíe tráfico no deseado a la intranet. Para obtener más información, consultar los procedimientos "Agregar filtros de paquetes PPTP" y "Agregar filtros de paquetes L2TP" en el anexo D.
Establecimiento del número de teléfono para los dispositivos PPTP y L2TP.
Para ayudar en la configuración de directivas de acceso remoto que limiten las conexiones VPN provenientes de usuarios de Internet, las propiedades de puerto para los dispositivos minipuerto WAN (PPTP) y minipuerto WAN (L2TP) se modificarán con la dirección IP de la interfaz de Internet del servidor VPN en el campo Número de teléfono para este dispositivo. Para obtener más información, consulte el procedimiento "Configurar un número de teléfono en un dispositivo" en el anexo E.
c. Configuración del dominio
Para aprovechar la capacidad para aplicar las diferentes configuraciones de conexión a distintos tipos de conexiones VPN se creará el siguiente grupo de Windows 2000:
-
VPN_Usuarios (VPN_Users)
Se usa para las conexiones VPN de acceso remoto
d. Configuración de la seguridad
Para habilitar las conexiones L2TP sobre IPSec, el dominio de la empresa se configura para inscribir automáticamente certificados de equipo para todos los miembros del dominio.
Para obtener más información, consulte el procedimiento "Configurar la asignación automática de certificados" en el anexo F.
El acceso remoto para empleados de la empresa se distribuirá por Internet mediante las conexiones VPN de acceso remoto en función de la configuración establecida en la sección "Configuración común del servidor VPN" de este documento y en la configuración adicional siguiente.
La siguiente figura muestra el servidor VPN que proporciona conexiones VPN de acceso remoto.
e. El servidor VPN que proporciona conexiones VPN de acceso remoto
Configuración del dominio
Para cada empleado con acceso a la red privada virtual:
-
El permiso de acceso remoto en las propiedades de acceso telefónico de la cuenta del usuario se establecerá a Controlar acceso a través de la directiva de acceso remoto.
-
La cuenta de usuario se agregará al grupo VPN_Usuarios de Windows 2000.
f. Configuración de la directiva de acceso remoto
Para definir los parámetros de autenticación y de cifrado para los clientes VPN de acceso remoto se creará la siguiente directiva de acceso remoto:
-
Nombre de directiva: clientes VPN de acceso remoto
Condiciones:
-
Puerto-NAS se establecerá a Virtual (VPN).
-
Grupos-Windows se establecerá a VPN_Usuarios.
-
Id-estación-llamada se establecerá a 207.46.130.1.
-
El permiso se establecerá a Conceder permiso de acceso remoto.
Configuración del perfil:
-
Ficha Autenticación: se seleccionará Protocolo de autenticación extensible para usar el certificado de equipo instalado. También se seleccionarán Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2) y Autenticación cifrada de Microsoft (MS-CHAP).
-
Ficha Cifrado: Básica y Fuerte son las únicas opciones seleccionadas.
Nota.- La condición Id-estación-llamada se establecerá como la dirección IP de la interfaz de Internet para el servidor VPN. Únicamente se permitirán los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la Intranet. Aquellos usuarios de la empresa que necesiten tener acceso a Internet desde la intranet deben pasar por el servidor proxy donde se controla y supervisa el acceso a Internet.
2.5.2. Instalación y configuración de los clientes de acceso remoto.
En cada ordenador portátil se instalará el paquete Windows 2000. Se instalará también el software incluido con el cable de datos del teléfono móvil que se observa en la siguiente figura:
Teléfono móvil conectado a la tarjeta PCMCIA a través del cable de datos
El cable se conectará a la tarjeta PCMCIA insertada en el PC. portátil y a la salida de datos del móvil. El terminal (teléfono) debe encenderse después de haber sido conectado a la tarjeta PCMCIA, con lo que se producirán dos breves pitidos señalando que todo es correcto.
g. Configuración de clientes de acceso remoto basada en L2TP
El equipo de acceso remoto iniciará una sesión en el dominio de la empresa mediante una conexión de red de área local (LAN) con la intranet de esta organización y recibirá un certificado por la inscripción automática. A continuación, el Asistente para realizar conexión nueva se usará para crear una conexión VPN con la siguiente configuración:
-
Nombre de host o dirección IP: vpn.francisco.comerciales.com
La configuración de la conexión VPN se modificará de la siguiente manera:
-
En la ficha Funciones de red, el Tipo de servidor de acceso telefónico al que estoy llamando se establecerá a Protocolo de túnel de capa 2 (L2TP). Cuando Tipo de servidor de acceso telefónico al que estoy llamando se establece a Automático, se probará primero con una asociación de seguridad IPSec (SA) para una conexión L2TP. Si la asociación de seguridad IPSec no se efectúa correctamente, se intentará una conexión PPTP.
23. Equipos para Redes privadas virtuales
VPN gateway: Dispositivos con un software y hardware especial para proveer capacidad a la VPN.Varias funciones son optimizadas sobre varios componentes de software y hardware.
Algunos ejemplos de esto tenemos Alcatel 7130,Altiga C10, VPN-1 Gateway, Lucent VPN Gateway, Intel Shiva Lan Rover VPN Gateway Plus, TimeStep Permit/Gate 4620 y VPNet VPNware VSU-1010, las cuales incluyen el software y hardware necesario para realizar y administra VPN.
Acatel 7130 Gateways de VPN
Sólo Software: El software está sobre una plataforma PC o Workstation, el software desempeña todas las funciones de la VPN. Algunos ejemplos de esto el Sistema Operativo Windows 9x, ME, NT, 2000 y XP
Basado en Firewall: Funciones adicionales son agregadas al firewall para habilitar capacidades de VPN. Algunos ejemplos de esto son los modelos PIX de Cisco como 506, 515, 525 y 535.
Cisco 535 Secure PIX Firewall 535
Basado en Router: Funciones adicionales son agregadas al router para habilitar capacidades de VPN, las cuales se encuentran en el IOS de los router de Cisco como los modelos 804, 806, 827, 905, 1710, 1720, 1750, 2611, 2621, 2651, 3620, 3640, 3660, 7120, 7140 y 7200.
router cisco serie 7200
Aunque los router son mejores que los concentradores, existen algunos capaces de realizar VPN como los modelos 3005, 3015, 3030, 3060 y 3080.
Concentrador Cisco serie 3000
24. Protocolos de VPN
Han sido implementados varios protocolos de red para el uso de las VPN. Estos protocolos intentan cerrar todos los “hoyos” de seguridad inherentes en VPN. Estos protocolos continúan compitiendo por la aceptación, ya que ninguno de ellos ha sido más admitido que otro.
Estos protocolos son los siguientes:
a. Point-to-Point Tunneling Protocol (PPTP): PPTP es una especificación de protocolo desarrollada por varias compañías. Normalmente, se asocia PPTP con Microsoft, ya que Windows incluye soporte para este protocolo. Los primeros inicios de PPTP para Windows contenían características de seguridad demasiado débiles para usos serios. Por eso, Microsoft continúa mejorando el soporte PPTP. La mejor característica de PPTP radica en su habilidad para soportar protocolos no IP. Sin embargo, el principal inconveniente de PPTP es su fallo a elegir una única encriptación y autentificación estándar: dos productos que acceden con la especificación PPTP pueden llegar a ser completamente incompatibles simplemente porque la encriptación de los datos sea diferente.
En el escenario típico de PPTP, el cliente establecerá una conexión dial-up con el servidor de acceso a red (NAS) del proveedor del servicio, empleando para ello el protocolo PPP. Una vez conectado, el cliente establecerá una segunda conexión con el servidor PPTP el cual estará situado en la red privada. Dicho servidor será utilizado como intermediario de la conexión, recibiendo los datos del cliente externo y transmitiéndolos al correspondiente destino en la red privada.
PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP especifica además una serie de mensajes de control con el fin de establecer, mantener y destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el interior de segmentos TCP. De este modo, los paquetes de control almacenan la cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.
La autenticación PPTP está basada en el sistema de acceso de Windows NT, en el cual todos los clientes deben proporcionar un par login/password. La autenticación remota de clientes PPTP es realizada empleando los mismos métodos de autenticación utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso a los RAS soporta los protocolos CHAP, MS-CHAP, y PAP. Los accesos a los recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para lo cual resulta recomendable utilizar el sistema de ficheros NTFS para los recursos de ficheros a los que deben acceder los clientes PPTP.
En cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de secreto compartido en el cual sólo los extremos de la conexión comparten la clave. Dicha clave es generada empleando el estándar RSA RC-4 a partir del password del usuario. La longitud de dicha clave puede ser 128 bits (para usuarios de Estados Unidos y Canadá) o 40 bits (para el resto de usuarios).
b. Layer Two Tunneling Protocol (L2TP): El principal competidor de PPTP en soluciones VPN fue L2F, desarrollado por Cisco. Con el fin de mejorar L2F, se combinaron las mejores características de PPTP y L2F para crear un nuevo estándar llamado L2TP. L2TP existe en el nivel de enlace del modelo OSI. L2TP, al igual que PPTP soporta clientes no IP, pero también da problemas al definir una encriptación estándar.
L2TP encapsula datos de aplicación, datagramas de protocolos Lan e información de tramas punto a punto dentro de un paquete que, además contiene una cabecera de entrega, una cabecera IP y una cabecera Generic Routing Encapsulation (GRE).
La cabecera de entrega mantiene la información de tramas necesaria para el medio a través del cual se establece el túnel, sea una red Frame Relay o IP. La cabecera IP contiene, entre otros datos importantes, las direcciones IP de fuente y destino. GRE, finalmente, incluye extensiones como, por ejemplo, la de señalización de llamada, que añaden inteligencia de conexión.
Para formar un túnel, L2TP emplea dos funciones básicas: LAC y LNS. LAC (L2TP Concentrador de acceso) realiza funciones de servidor de línea para el cliente, mientras que LNS (L2TP servidor de red), como su nombre indica, actúa como servidor de red en el lado del servidor.
En un escenario en el cual L2TP resida en el concentrador de accesos de un punto de presencia del operador, la función LAC iniciará un túnel cuando un usuario remoto active una conexión PPP con un proveedor de servicios Internet. Después de realizar la autenticación inicial, LAC acepta la llamada, añade las diferentes cabeceras comentadas a la carga útil (payload) de PPP, y establece un túnel hacia el dispositivo de terminación LNS del extremo de la red corporativa. Este dispositivo puede tratarse de un servidor de acceso remoto, un conmutador VPN especializado o un router convencional.
Una vez establecido el túnel, un servicio de nombres de seguridad, como ACE/Server de Security Dynamics o el servicio de nombres y seguridad integrado en Windows NT, autentifica las identidades del usuario y del punto final. LNS acepta el túnel y establece una interfaz virtual para el payload PPP. A las tramas entrantes se les elimina la información de cabecera de L2TP y se las procesa como si fueran tramas PPP normales. Entonces se asigna a la sesión un dirección IP corporativa local.
c. Internet Protocol Security (IPsec): IPsec es en realidad una colección de múltiples protocolos relacionados. Puede ser usado como una solución completa de protocolo VPN o simplemente como un esquema de encriptación para L2TP o PPTP. IPsec existe en el nivel de red en OSI, para extender IP para el propósito de soportar servicios más seguros basados en Internet.
Válido tanto para IPv4 como para IPv6, permite definir los protocolos de seguridad, los algoritmos criptográficos y las claves manejadas entre los sistemas que se comunican.
Una de las características más importantes de IPSec es su compatibilidad con las redes IP actuales.
IPSec puede dividirse básicamente en IP Security Protocols, mecanismos de gestión de claves, mecanismo de creación de asociaciones seguras y algoritmos criptográficos para autenticación y cifrado. Los primeros son los protocolos de seguridad propiamente dichos que definen la información que se ha de añadir a la cabecera de un paquete IP para proporcionar los servicios de seguridad requeridos. Dichos protocolos son AH (Authentication Header) y ESP (Encapsulating Security Payload).
La gestión de claves puede ser manual o automática. La gestión automática de claves se realiza mediante IKE (Internal Key Exchange).
Los mecanismos criptográficos que emplea IPSec son intercambio de claves basado en el algoritmo Diffie-Hellman, criptografía de clave público, algoritmos simétricos de cifrado de datos (como DES, IDEA...), algoritmos hash con clave (HMAC, por ejemplo), junto con otros más tradicionales (como MD5 y SHA), para proporcionar autenticación de paquetes, y manejo de certificados digitales.
IPSec combina estos mecanismos criptográficos para ofrecer confidencialidad, integridad y autenticidad a los datagramas IP. Es importante hacer notar que IPSec no define los algoritmos específicos a utilizar, sino que proporciona un mecanismo para que las entidades negocien aquellos que emplearán en su comunicación. Por otro lado, según recoge el estándar, todas las implementaciones de IPSec deberán soportar un conjunto mínimo de algoritmos que garantice la interoperatividad entre fabricantes.
Paquetes IPSec
IPSec define un nuevo conjunto de cabeceras que se añaden al datagrama IP. Esas nuevas cabeceras se colocan después de la cabecera IP y antes de la de nivel de transporte. Existen dos tipos de cabeceras:
-
Authencation Header (AH): cuando es añadida asegura la integridad y la autenticidad de los datos que transporta el datagrama IP y de los campos invariables de la propia cabecera IP. AH no proporciona confidencialidad.
-
Encapsulating Security Protocol (ESP): esta cabecera, cuando se añade al datagrama IP, proporciona confidencialidad, integridad y autenticidad de los datos transmitidos.
-
IPSec propociona dos modos de operación:
-
Modo transporte: en este modo la cabecera IP del paquete original no se modifica. Este modo es utilizado entre dispositivos finales de una comunicación que cumplen el estándar IPSec.
-
Modo túnel: en este caso el datagrama IP entero es encapsulado dentro de otro datagrama IP. Este modo permite que un dispositivo actúe como proxy IPSec en beneficio de máquinas que no soporten el estándar.
Los dos sistemas comunicantes deben ponerse de acuerdo en los algoritmos a usar y en la clave de sesión que han de compartir. Una vez realizado este proceso se puede decir que se ha creado una asociación segura entre las dos entidades. Durante este proceso se crea un túnel seguro entre los dos sistemas y después se negocia la asociación segura para IPSec. El proceso de crear un túnel seguro consiste en una autenticación mutua y el establecimiento de una clave compartida. Existen diversos mecanismos de autenticación, entre ellos se encuentran:
-
Pre-shared key: en este caso la misma clave es preinstalada en ambos sistemas. La autenticación se realiza basándose en este secreto compartido.
-
Criptografía de clave pública.
-
Firma digital
d. Microsoft Point-to-Point Encryption (mppe): protocolo que sirve para encriptar los datos de las transmisiones.
e. mschap: tanto la versión 1 como la número 2, que sirve para establecer la conexión segura y el intercambio de las claves. En la versión 1 se descubrió una vulnerabilidad, que todavía no ha sido confirmada, que le obligó a evolucionar hasta la versión 2 (actual).
f. IPIP: protocolo de encapsulamiento de IP sobre tramas IP. Este protocolo, que puede parecer poco útil, nos sirve para hacer el tunneling que se marca como uno de los requisitos de VPN.
g. IP-GRE: protocolo de encapsulamiento de otros protocolos sobre IP. En un principio el tráfico que puede encapsular IP-GRE sería cualquiera. Es útil en el sentido de que podemos tener redes de otro tipo además de IP (como por ejemplo IPX) y funcionar con una VPN de igual manera. Más adelante se verá como IPSec sirve para este mismo fin (a la vez que proporciona otros muchos servicios).
h. SOCKS Networks Security Protocol: El sistema SOCKS proporciona otra alternativa a los protocolos de VPN. SOCKS se aloja en el nivel de sesión de OSI. Como SOCKS trabaja en un nivel OSI más alto que los protocolos anteriores, permite a los administradores limitar el tráfico VPN.
25. VPN Dinámicas
Conceptos de las VPN Dinámicas
Internet no fue diseñada, originalmente, para el ámbito de los negocios. Carece de la tecnología necesaria para la seguridad en las transacciones y comunicaciones que se producen en los negocios. Entonces, ¿Cómo establecer y mantener la confianza en un entorno el cual fue diseñado desde el comienzo para permitir un acceso libre a la información?, es decir, ¿Cómo conseguir seguridad en una intranet sin chocar con los principios básicos de Internet sobre la flexibilidad, interoperatibilidad y facilidad de uso?
La respuesta apropiada se encuentra en la utilización de VPNs Dinámicas. A diferencia de una VPN tradicional, una VPN Dinámica proporciona, además de un alto nivel de seguridad a ambos extremos, una flexibilidad necesaria para acoplarse dinámicamente a la información que necesitan los distintos grupos de usuarios. Las VPNs Dinámicas pueden ofrecer esta flexibilidad ya que están basadas en una única arquitectura. Además, una VPN Dinámica proporciona más recursos y servicios a una Intranet, para hacer mayor uso de los recursos de la información.
Alguna de las características que se proporciona son las siguientes:
Proporciona una seguridad importante para la empresa.
Se ajusta dinámicamente al colectivo dispar de usuarios.
Permite la posibilidad de intercambio de información en diversos formatos.
El ajuste que hace para cada usuario lo consigue gracias a los diferentes navegadores, aplicaciones, sistemas operativos, etc...
Permite a los usuarios unirse a distintos grupos, así como a los administradores asignar identidades en un entorno simple pero controlado.
Mantiene la integridad total, independientemente del volumen administrativo, cambios en la tecnología o complejidad del sistema de información corporativo.
Funcionamiento de las VPN Dinámicas
Las VPNs Dinámicas constan de una plataforma de seguridad de red y un conjunto de aplicaciones para usar en la plataforma de seguridad.
Siguiendo los pasos ilustrados en la figura, un usuario realiza una petición de información a un servidor, por ejemplo, pulsando con su ratón en un hipervínculo. Los pasos seguidos se pueden describir en los siguientes puntos:
Un usuario solicita información usando una aplicación tal como un navegador de Internet, desde un ordenador de sobremesa: El intercambio de información comienza cuando un usuario envía información a otro usuario o solicita información al servidor. En el supuesto de que un usuario haya accedido a un hipervínculo desde dentro de algún documento Web, dicho hipervínculo será seguro y solamente podrá ser accedido por usuarios autorizados.
La aplicación envía y asegura el mensaje: Cuando un cliente y un servidor detectan que se necesita seguridad para transmitir la petición y para ver el nuevo documento, ellos se interconectan en un mutuo protocolo de autentificación. Este paso verifica la identidad de ambas partes antes de llevar a cabo cualquier acción. Una vez que se produce la autentificación se asegura el mensaje encriptándolo. Adicionalmente, se puede atribuir un certificado o firma electrónica al usuario.
El mensaje se transmite a través de Internet: Para que la petición alcance el servidor debe dejar la LAN y viajar a través de Internet, lo cual le permitirá alcanzar el servidor en algún punto de la misma. Durante este viaje, puede darse el caso de que atraviese uno o más firewalls antes de alcanzar su objetivo. Una vez atravesado el firewall, la petición circula a lo largo del pasillo Internet hasta alcanzar el destino.
El mensaje recibido debe pasar controles de seguridad: El mensaje se transfiere al servidor. El servidor conoce la identidad del usuario cliente cuando recibe la petición.
Durante la petición, se verifican los derechos de acceso de los usuarios: En una VPN dinámica, el sistema debe poder restringir que usuarios pueden y no pueden acceder a la misma. El servidor debe determinar si el usuario tiene derechos para realizar la petición de información. Esto lo hace usando mecanismos de control, alojados en el Servidor de Control de Acceso. De este modo, incluso si un usuario presenta un certificado válido, puede ser que se le deniegue el acceso basándose en otros criterios.
La petición de información es devuelta por Internet, previamente asegurada: El servidor de información encripta la información y opcionalmente la certifica. Las claves establecidas durante los pasos de autentificación mutua se usan para encriptar y desencriptar el mensaje. De esta forma, un usuario tiene su documento asegurado.
26. VENTAJAS E INCONVENIENTES DE LA VPN
La principal ventaja de usar una VPN es que permite disfrutar de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada: bases de datos, documentos internos, etc. a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos.
-
Reducción de costos.
-
Sencilla de usar.
-
Sencilla instalación del cliente en cualquier PC Windows.
-
Control de Acceso basado en políticas de la organización
-
Herramientas de diagnostico remoto.
-
Los algoritmos de compresión optimizan el tráfico del cliente.
-
Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas.
Entre los inconvenientes podemos citar: una mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos una vez más, situación que se agrava cuando además se realiza encriptación de los datos que produce una mayor ralentización de la mayoría de conexiones. También se produce una mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP).
VPN puede provocar una sobrecarga en la conexión de red debido a la encriptación utilizada. La mayoría de dispositivos VPN, tanto software como hardware podrán manejar encriptación para velocidades de conexión 10baseT. Para conexiones más lentas, como los módems, el procesamiento puede ser más rápido que la latencia de la red. Muchas veces las bajas prestaciones dependen más de la pérdida de paquetes provocada por una mala conexión a Internet que por la sobrecarga debida a la encriptación.
• Ahorro en costes de comunicaciones. En el caso de usuarios remotos, cuando quieren utilizar los servicios de la compañía no necesitan conectarse directamente a los servidores de la compañía, sino que se conectan directamente por su conexión a Internet. Por otro lado, la compañía puede utilizar sus líneas de conexión a Internet para realizar transmisiones de datos, sin necesidad de contratar líneas privadas adicionales.
• Ahorro en costes operacionales. Usando VPN para dar acceso a los usuarios, la compañía puede deshacerse de los bancos de módems y de los servidores para acceso remoto, de manera que ya no habrá que administrar esos dispositivos.
• Entorno de trabajo independiente de tiempo y lugar a un coste reducido. Mediante el uso de una VPN, los trabajadores remotos pueden acceder a los servicios de la compañía sin necesidad de realizar llamadas a larga distancia ni utilizando líneas privadas.
• Los servicios de la compañía están disponibles siempre. Una VPN permite a las compañías ofrecer servicios globales. Los trabajadores remotos pueden conectarse a la red interna sin importar dónde estén situados físicamente. Esto implica que pueden utilizar los servicios de la LAN de la compañía, como impresoras o archivos compartidos, sin problemas.
• Una compañía puede ofrecer servicios a sus socios mediante una VPN, ya que la tecnología VPN permite accesos controlados y proporciona un canal seguro para compartir información de negocios.
Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios:
Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. Por ejemplo, si se trata de una pequeña oficina remota, se puede utilizar acceso discado, ISDN, xDSL o cable módem.
Implementación rápida. El tiempo de implementación de un "backbone" de WAN para una empresa es muy alto frente a la implementación de una red privada virtual sobre un "backbone" ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa.
Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. Además, la escalabilidad de la red no incide en la operatoria y gestión de ésta, dado que la infraestructura de la WAN es responsabilidad del proveedor del servicio.
27. ¿PORQUE ES IMPORTANTE LA SEGURIDAD CUANDO SE IMPLEMENTA UNA VPN?
-
Solo a las partes autorizadas se les permite el acceso a las aplicaciones y servidores corporativos, ya que se permite que las personas entren y salgan de Internet o de otras redes públicas y también se les ofrece acceso a los servidores.
-
Cualquiera que pase a través de flujo de datos cifrados de la VPN no debe estar capacitado para descifrar el mensaje.
-
Los datos deben permanecer intocables al 100%.
-
Se debe tener facilidad de administración, la configuración debe ser directa y el mantenimiento y actualización deben estar asegurados.
28. CONCLUSIONES
Se han cumplido sobradamente nuestros tres principales objetivos en cuanto a la interconexión de todos los equipos con los usuarios móviles, la capacidad de los viajantes de tener una libre movilidad lo que facilitará enormemente su trabajo y la protección de los datos que viajan por la red. El uso de este tipo de red nos ha facilitado un menor coste en el presupuesto de equipos, así como menor complejidad de manejo por parte de los usuarios finales. Por último, el uso del protocolo Ipsec nos proporciona una gran garantía de privacidad y autenticación de los datos transmitidos.
En cuanto a los aspectos negativos, reseñar que el plazo de ejecución total del proyecto va a depender en parte de la puntualidad en los plazos por parte de los proveedores de materiales y de servicios.
Las redes VPN proporcionan principalmente dos ventajas:
-
Bajo coste de una VPN:
Una forma de reducir coste en las VPN es eliminando la necesidad de largas líneas de coste elevado. Con las VPN, una organización sólo necesita una conexión relativamente pequeña al proveedor del servicio.
Otra forma de reducir costes es disminuir la carga de teléfono para accesos remotos. Los clientes VPN sólo necesitan llamar al proveedor del servicio más cercano, que en la mayoría de los casos será una llamada local.
-
Escalabilidad de las VPNs: Las redes VPN evitan el problema que existía en el pasado al aumentar las redes de una determinada compañía, gracias a Internet. Internet simplemente deriva en accesos distribuidos geográficamente.
Las redes VPN contraen cuatro inconvenientes:
-
Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes públicas y tomar precauciones en su desarrollo.
-
Las redes VPN dependen de un área externa a la organización, Internet en particular, y por lo tanto depende de factores externos al control de la organización.
-
Las diferentes tecnologías de VPN podrían no trabajar bien juntas.
-
Las redes VPN necesitan diferentes protocolos que los de IP.
Se estima que una solución VPN para una determinada empresa puede reducir sus costes entre un 30% y un 50% comparada con las conexiones punto a punto.
Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias.
Descargar
| Enviado por: | Carloncho |
| Idioma: | castellano |
| País: | Perú |
Todos los derechos reservados.