CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Redes Privadas Virtuales (VPN)

Rafael Beato Herrera 10/12/2012

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

INTRODUCCION
Definicin de VPN Es habitual encontrar varias definiciones sobre VPN, aunque stas no difieren en esencia. Algunas de ellas pueden ser: 1.- Una VPN es una red privada construida dentro de una infraestructura de red pblica, como la red Internet 2.- La idea bsica de una VPN es muy simple. Una corporacin podra tener un nmero de oficinas (o grupos de ellas) en diferentes lugares, y en cada uno de estos tener su propia red local. Muchas corporaciones han aumentado la cantidad de

empleados que deben trabajar en forma remota, ya sea desde sus hogares o en forma itinerante. Interconectar estas redes y lugares privada) crea una VPN 3.- Una red privada virtual basada en Internet utiliza la infraestructura abierta y distribuida de Internet para transmitir datos entre sitios corporativos 4.- Una red privada virtual es una red privada de datos que utiliza una infraestructura de telecomunicacin pblica, manteniendo la privacidad mediante protocolos de tnel y procedimientos seguros. ....El propsito principal de una VPN es dar a la compaa la misma capacidad que otorgan los enlaces dedicados contratados pero a un costo menor, utilizando medios de comunicacin pblicos. 5.- Se puede definir a una VPN de manera ms formal. Esta definicin aparece publicada en el artculo What Is a VPN? Part 1 escrito por Ferguson y Houston para la publicacin mensual The Internet Protocol Journal de Cisco System en Marzo de 2001: Una VPN es un ambiente de comunicaciones en el cual existe un control de acceso, para permitir la conexin entre sistemas pares nicamente dentro de una comunidad de inters definida, y est creado considerando alguna forma de particin de un medio mediante una red compartida (no

Pgina 2

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

de comunicacin subyacente, donde este brinda servicios a la red de una forma no exclusiva. De acuerdo a estas definiciones se puede decir que una red privada virtual es una red, que comunica dos o ms dispositivos finales (estos a su vez pueden interconectar una red completa) que pueden estar ubicados geogrficamente distantes y representan una comunidad de inters. Para esto se utiliza como medio de transmisin una estructura compartida comn a varios usuarios. sta puede ser Internet o la red principal o backbone de un proveedor de servicios de comunicaciones. 2 What Is a VPN? Part I by Ferguson -Houston - The Internet Protocol Journal Marzo 2001 Cisco Systems 3 VPN Technologies a Comparison by Finlayson-Harrison-Sugarman Data Connection Limited Febrero 2003 4 Virtual Private Networks (VPNs) Web ProForum Tutorials - IEC 5 VPN Technologies: Definitions and Requirements by VPN Consortium Marzo 2006 VPNs de Acceso Remoto Se dice privada porque los dispositivos que no participan en esta comunicacin no tienen acceso al contenido de la misma y de hecho no son conscientes de su

establecimiento. El acceso a esta red y su administracin est restringido solo a un nmero limitado de dispositivos. La privacidad se aplica tambin al espacio de

direccionamiento y esquema de enrutamiento utilizado en una VPN, en el sentido de que estn separados o difieren de aquellos instrumentados en alguna otra red privada existente o en la infraestructura de red subyacente por donde ocurre la comunicacin. El concepto de virtual, por definicin es la representacin de un objeto no existente mediante la ejecucin de funciones que simulan su existencia. En el contexto de una VPN, significa que esta ltima representa una red de comunicaciones, que no tiene una contraparte fsica real. Este concepto fundamenta la naturaleza discreta o de separacin, de una red lgica privada funcionando sobre una infraestructura de comunicaciones compartida y real. El aspecto de privacidad, definido en el prrafo anterior, est en funcin de la virtualizacin.

Pgina 3

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

TERMINOLOGA
La literatura relacionada con redes privadas virtuales esta plagada de acrnimos, siglas, trminos muy especficos que tornan difcil la interpretacin de cualquier lectura relacionada con el tema. Esta seccin define los principales elementos que componen un escenario VPN. uno o ms usuarios o uno o ms servidores o una combinacin de servidores y usuarios. El usuario refiere al host o estacin de trabajo. e VPN el cual se ejecuta en un dispositivo. Tiene la funcin de establecer un tnel con un cliente VPN. Previamente verifica la identidad del cliente para autorizar su acceso y determinar los permisos de este para acceder a los recursos locales. El dispositivo donde se ejecuta el servidor VPN puede ser un host, router o switch. Este equipo comunica la red local con la red pblica. Otras acepciones pueden ser: gateway VPN, servidor de tneles. jecutndose en un dispositivo, cuya funcin es establecer un tnel con un servidor VPN. Previamente, debe presentar las credenciales correctas al servidor. Otra acepcin puede ser cliente de tnel. r y cliente VPN, creado por un protocolo de tnel. Por este canal se envan los datos que han sido encapsulados y quizs encriptados por el protocolo. Es posible transmitir datos sin encriptar por un tnel. Un tnel puede establecerse en diferentes capas del modelo ISO/OSI de protocolos de comunicaciones. tnel: dispositivos que gestionan la creacin, el establecimiento y la finalizacin de un tnel mediante la ejecucin de software o firmware dedicado para tal fin, por lo tanto se encargan tambin del procesamiento relacionado con la des/encapsulacin, des/encriptacin y transmisin de los paquetes recibidos. VPNs de Acceso Remoto servidor de acceso de red, un dispositivo que representa una interfase entre un medio de acceso como la red de telefona y una red de conmutacin de paquetes, como el backbone de un proveedor o Internet. En una VPN este dispositivo permite que un usuario utilizando un acceso telefnico acceda a su red mediante un tnel creado por el NAS hacia el servidor de acceso remoto de la red destino. voluntario (Voluntary Tunnel): Tnel creado y configurado a partir de la solicitud de un cliente VPN. Esta clase de tnel es comn en las VPN de acceso remoto, donde uno de los extremos es una computadora personal o notebook de un usuario hogareo o mvil.

Pgina 4

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

acceso remoto. Su creacin y configuracin est a cargo de un dispositivo denominado servidor de acceso de red o NAS. ste se ubica entre la PC del usuario y el servidor VPN. En el NAS se ubica el extremo del tnel donde funciona el cliente VPN. Es posible que mltiples usuarios conectados al servidor de acceso de red, compartan el tnel en forma concurrente. En general el NAS es propiedad y es administrado por un proveedor de servicios. o ubicado en la frontera entre la red local y la red pblica. Dispositivo de borde del cliente (Customer Edge Device). Es el equipo perteneciente a un cliente de un servicio de comunicaciones que se sita en el borde de la red privada local y conecta con la red del proveedor del servicio a travs de un PE. Un CE puede ser un router o switch. te y que se ubica dentro de la red del mismo. Estos no tiene conectividad directa con la red del Proveedor ni participan de la VPN. Pueden ser routers o switchs. r (Provider Edge Device). Este es propiedad del proveedor de servicio de comunicaciones. Se conecta directamente a la red del cliente a travs del CE. Un PE puede ser un router, switch o un dispositivo que combine ambas funciones. eo de la red del Proveedor. No tienen conectividad directa con la red del cliente ni participan de las VPN. Estos son equipos como routers y switches.VPNs de Acceso Remoto

Figura 1-1 Componentes de una VPN

Pgina 5

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

CLASIFICACIN
Se pueden encontrar varias clasificaciones de las VPN, lo cual puede generar cierta confusin. Esto se debe a que existen diversos tipos de tecnologas y clases de redes privadas virtuales, lo que permite ms de un criterio de organizacin. Las clasificaciones generales y ms habituales son: De acuerdo a quien implementa y administra el servicio: la propia organizacin o un proveedor de servicios. Segn que comunican: redes entre s o usuarios a la red. Segn la capa del modelo de referencia de pila ISO/OSI para comunicaciones donde se establece la VPN: capa 2, 3 y las VPNs de capa de aplicacin/transporte que utilizan el protocolo SSL/TLS. Estas representan una clase particular de VPN que se describen aparte. Otros criterios pueden ser: Segn si los dispositivos de borde de un proveedor participan o no en el enrutamiento del trfico de datos del cliente: VPN peer to peer o VPN overlay. Segn si son orientadas o no a la conexin. Si son confiables o seguras.

VPNs provistas por el cliente o por el proveedor

Uno de los principales criterios para clasificar las VPN, define quien esta a cargo de la implementacin y administracin de la red privada virtual, ya sea el cliente (la organizacin) o el proveedor de servicios de comunicaciones. Esto se refiere a la definicin de las polticas a cumplir con esta solucin, los requerimientos para la implementacin, la adquisicin y configuracin de equipamiento, mantenimiento, resolucin de problemas y monitoreo, especificacin del espacio de direccionamiento a utilizar, esquema de enrutamiento etc. VPNs de Acceso Remoto VPNS provistas por el cliente (CE o CPE VPN) Tambin denominadas VPNs del mbito del cliente (Customer Promises VPN). Estas VPNs son definidas e implementadas por el cliente de un servicio de comunicaciones. Generalmente este tiene acceso al backbone de un proveedor o bien posee un servicio de acceso a Internet. En este contexto el cliente puede tener ms de un sitio propio, geogrficamente distante que desea conectar o bien requiere hacerlo con otra red fuera de su dominio, tambin remota. En este tipo de VPN, el tnel se establece, nicamente, entre los equipos del cliente. Estos representan los extremos del o los tneles.

Pgina 6

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Los equipos del proveedor o PE, no participan de la VPN. Tampoco del esquema de direccionamiento que esta utiliza o del enrutamiento necesario. Tratan a los paquetes o tramas como proveniente de un cliente del servicio, es decir solo lo reenvan. En el caso de la utilizacin de Internet, los routers intermedios tambin lo hacen con los paquetes IP, sin tener en cuenta el contenido encapsulado por el tnel de la VPN. La ventaja de esta clase de VPN radica en que el cliente tiene el control de la seguridad aplicada a los datos que transmite. Para el proveedor sus dispositivos de borde no requieren ninguna configuracin especial para el tratamiento de los paquetes de las VPN, adems no surgen problemas de escalabilidad al momento de aumentar la cantidad de VPNs o los sitios a interconectar mediante estas ya que, como se mencion anteriormente, estos equipos no participan en este escenario virtual. Como desventaja, el cliente debe hacerse cargo bsicamente de todo. Esto puede implicar un gran costo, tanto en la compra de equipamiento, como en la preparacin de personal para la configuracin y el mantenimiento de la VPN. Esta solucin presenta problemas de escalabilidad para el cliente cuando existen varios sitios para interconectar. Los tipos de VPN provistas por el cliente son: VPN IPSec (IP Security) VPN GRE (Generic Routing Encapsulation)

VPN SSL/TLS (Secure Sockets Layer/Transport Layer Security)

Figura 1-2 VPN Provista por el Cliente VPNs provistas por el Proveedor (PPVPN) En esta clase de VPN el proveedor de servicio se encarga de su implementacin. Los equipos de borde o PE participan activamente de la red virtual como as tambin, pero en menor grado, los dispositivos de borde del cliente. Esto significa que los PE

Pgina 7

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

realizan la mayor parte del procesamiento especfico de la VPN, permitiendo que los equipos CE puedan ser routers o switches estndar sin necesidad de comprar equipamiento especial. El proveedor es responsable de la administracin de la VPN, liberando al cliente de estas tareas. Esto resulta, para este ltimo, en un menor costo de implementacin respecto de un emprendimiento propio. Actualmente los proveedores ofrecen un servicio de VPN mejorado, donde suman adems de la conectividad, acuerdos de nivel de servicio, calidad y diferenciacin de servicio, seguridad, ingeniera de trfico etc. Esto redunda en un producto con valor agregado que beneficia a ambas partes. Las soluciones VPN de esta clase, pueden operar en la red de un nico proveedor, entre un conjunto de proveedores de servicio y sobre Internet. En este ltimo caso se asume que los routers de ncleo de Internet, no mantendrn informacin referida a la VPN, sin considerar si se utilizan protocolos de enrutamiento para distribuir o no dicha informacin.Existen cuatro escenarios donde pueden desplegarse estas VPN nico Proveedor, nico Sistema Autnomo o AS (Autonomous System):escenario ms simple, el servicio se brinda a travs del AS de un nico proveedor. nico Proveedor, mltiples AS: un proveedor administra varios AS (adquisicin de varias redes). Este escenario implica la distribucin con restricciones de la informacin de enrutamiento entre los diversos Sistemas Autnomos. Multi Proveedor: es el caso ms complejo, debido a que es necesario negociar relaciones de confianza entre los backbones de los diversos proveedores para cumplir con las medidas de seguridad y niveles de servicio acordados para la VPN de un cliente. En este caso el servicio se denomina VPN inter-AS o nter proveedor. Proveedor de Proveedores (Carrier's Carrier): este es un caso especial del primer escenario, excepto que los clientes son proveedores de servicios de comunicaciones que contratan el servicio de VPN a un proveedor principal, para ofrecerlo a su vez a sus propios clientes. Los tipos de VPN provistas por el Proveedor son: VPN VPWS (Virtual Private Wire Service) VPN VPLS (Virtual Private Lan Service) VPN IPLS (IP only Private Lan Service) VPN basada en routers virtuales VPN IPSec VPN MPLS (Multiprotocol Label Switching)

Pgina 8

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

RFC 3809 Generic Requirements for Provider Provisioned VPN VPNs de Acceso Remoto

VPNs Sitio a Sitio y de Acceso Remoto

Otra forma general de distinguir las VPN es en funcin de si conectan redes entre s o usuarios a una red. Una VPN sitio a sitio (site-tosite VPN) conecta dos o ms redes entre s que estn geogrficamente dispersas, estas pueden pertenecer a una o varias organizaciones. Si las redes pertenecen a una misma organizacin, esta clase de VPN se denomina intranet. Si las redes pertenecen a varias organizaciones se conoce como extranet. La intencin en este ltimo caso es comunicar organizaciones diferentes que persiguen un objetivo comn y requieren compartir informacin til para el conjunto. El servicio de VPN entre sitios debera ser independiente del alcance geogrfico de la implementacin.

Figura 1-3 VPN Sitio a Sitio Las VPN de Acceso Remoto o RAVPN (Remote Access VPN), tambin denominadas VPN de acceso, permiten a los usuarios mviles o itinerantes y a los usuarios hogareos de una organizacin o tele trabajadores, acceder en forma remota a la red. Esta clase de VPN puede establecer un tnel en modo voluntario u obligatorio.

Pgina 9

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Figura 1-4 VPN de Acceso Remoto Las tecnologas y protocolos asociados a esta clasificacin son: VPNs sitio a sitio: IPSec GRE AtoM (Any Transport over MPLS) L2TPv3 (Layer 2 Tunneling Protocol version 3) IEEE 802.1Q MPLS LSP (MPLS Label Switched Path) VPNs de acceso remoto: L2F (Layer 2 Forwarding) PPTP (Point to Point Tunneling Protocol) L2TPv2/v3 IPSec SSL/TLS

Pgina 10

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

VPNs de capa 2 y capa 3
El criterio de esta clasificacin se basa en las capas, del modelo de referencia ISO/OSI de protocolo de comunicaciones, por donde se establece el tnel de la VPN. Esta clasificacin surge a partir de la variedad de tecnologas existentes que se utilizan para implementar la VPN. Esta distincin tiene sentido cuando se la aprecia en el contexto de las clasificaciones anteriores. Las VPN de capa 2 permiten la conectividad a nivel de la capa de enlace de datos y puede ser establecida entre switches, routers o hosts. La comunicacin esta basada en el direccionamiento de capa 2 y el reenvo del trfico esta basado respecto del enlace entrante y la informacin de encabezados de dicha capa, tales como direcciones MAC (Media Access Control) o DLCI (Frame Relay Data Link Connection Identifier). Las VPN de capa 3 interconectan hosts o routers, la comunicacin se basa en el direccionamiento a nivel de capa de red. El reenvo del trfico se lleva a cabo teniendo en cuenta el enlace entrante y las direcciones del encabezado IP.

Integracin de las clasificaciones

Las clasificaciones anteriores se pueden integrar para tener una perspectiva ms prctica y operativa de las VPN. Esta integracin muestra las VPN provista por el cliente o proveedor como el criterio de clasificacin ms general, dentro de la cual se pueden diferenciar las VPN sitio a sitio y remota. Finalmente se consideran segn las tecnologas VPN de capa 2 y 3. El siguiente esquema muestra esta relacin:

Figura 1-5 Clasificacin de las VPN VPN Sitio a Sitio Provistas por el Proveedor de Capa 2 (L2VPN) Estas VPN pueden ser establecidas entre switches, routers y hosts, permitiendo la conectividad a nivel de capa de enlace entre sitios separados.

Pgina 11

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Tanto el direccionamiento como el reenvo del trfico de la VPN se llevan a cabo en funcin del enlace entrante y de la informacin del encabezado de capa 2. Dentro de las L2VPN se pueden distinguir dos categoras: VPNs basadas en circuitos Punto a Punto (P2P): conocidas tambin como VPWS (Virtual Private Wire Service). Se implementan usando MPLS o circuitos emulados (pseudowires) L2TPv3. VPNs Multipunto a Multipunto (M2M): en esta categora entran las VPN VPLS (Virtual Private LAN Service) e IPLS (IP-Only LAN Service).VPN VPWS La red del proveedor puede considerarse como una emulacin de un conjunto de enlaces punto a punto o pseudowires entre los sitios del cliente. Es til en escenarios donde el cliente ya posee circuitos virtuales ATM o Frame Relay que interconectan sus redes. En lugar de que el trfico del cliente atraviese el backbone hasta su destino en su formato nativo de capa 2, ste es encapsulado y enrutado sobre la infraestructura IP del Proveedor. El cliente mantiene las conexiones de capa 2 al backbone. Los routers CE deben seleccionar el circuito virtual a usar para enviar el trfico al sitio destino. VPNs de Acceso Remoto Este esquema permite el reemplazo de redes con topologas estrella que requieren la interconexin de redes satlites hacia una red central, permitiendo alternativas de rutas hacia un destino. Unas de las tecnologas habituales, en el ncleo de la red del proveedor, para esta clase de VPN es MPLS junto a extensiones conocidas como PWE3 (Pseudowire Emulation Edge to Edge). Un enfoque ms escalable, respecto de la administracin del servicio, utiliza BGP (Border Gateway Protocol) como protocolo de sealizacin y auto deteccin. En este caso, los dispositivos PE usan BGP multiprotocolo para anunciar los dispositivos CE y VPN que controlan, junto con las etiquetas MPLS utilizadas para encaminar el trfico. De esta forma, cuando los otros CE reciben esta informacin, saben como establecer los pseudowires. VPN VPLS En este caso la red LAN ethernet de cada sitio del cliente se extiende hasta el borde de la red backbone del proveedor. Luego, una vez aqu, se emula la funcin de un bridge o switch para conectar todas las LANs del cliente. De esta forma se emula, en la red del proveedor, una nica LAN ethernet. Esta solucin provee un servicio punto a multipunto donde los routers CE envan todo el trfico, destinados a los otros sitios, directamente al router PE. Este servicio se basa en la utilizacin de pseudowires, combinados en una topologa de malla completa (full mesh) de interconexiones entre los dispositivos PE que participan en una VPN determinada. stos llevan a cabo el aprendizaje de las

Pgina 12

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

direcciones MAC, de la misma forma que un switch ethernetpara reenviar las tramas desde un CE a otro. As, un CE puede reenviar trfico en una forma punto a multipunto a otros CE. Existe un problema de escalabilidad con este servicio, y tiene que ver con el incremento de sitios del cliente. Es necesario mantener en los PE un gran nmero de direcciones MAC para el reenvo de tramas por sitio de cliente. VPN IPLS Si se requiere intercambiar trfico IP exclusivamente y los dispositivos CE son routers IP, entonces es posible el servicio IP sobre LAN. Si bien se transmiten datagramas IP, el mecanismo de reenvo se basa en informacin de encabezado de capa 2. Dado que el siguiente salto o hop para cada datagrama IP es otro CE, las nicas direcciones MAC que un PE debe aprender, cuando reenva las tramas de capa 2, son aquellas de los routers CE. Esto es una ventaja respecto del servicio VPLS por el reducido nmero de direcciones MAC a preservar por sitio de cliente. VPN Sitio a Sitio Provistas por el Proveedor de Capa 3 (L3VPN) Esta clase de VPN se basa en tecnologas ms estables que las empleadas en las L2VPN, debido al estudio y desarrollo de las mismas. Esto le permite al proveedor de servicio tener mayor seguridad al momento de implementar una u otra solucin. Se pueden dividir a su vez en: VPN basadas en PE: Los dispositivos PE participan en el enrutamiento y reenvo del trfico del cliente basado en el espacio de direcciones de la red del cliente. En este caso los CE no participan de la VPN. El trfico del cliente se reenva entre los PE a travs de tneles MPLS LSP, IPSec, L2TPv3 o GRE. VPN basadas en CE: En este caso los tneles son creados entre los equipos CE, mientras los PE no participan en la VPN, solo reenvan el trfico del cliente. Se utiliza IPSec o GRE para establecer los tneles.

Confiables y Seguras
Esta es una clasificacin donde se tiene en cuenta si es o no necesaria la encriptacin y autenticacin de los datos a transferir entre los nodos de la VPN. Los proveedores que no utilizan encriptacin para los datos de sus clientes debido a que utilizan circuitos virtuales de capa 2 se pueden definir como VPN Confiables. Podemos mencionar las redes FRAME RELAY, ATM y

Pgina 13

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

MPLS. En cambio en las VPN Seguras el trfico de datos es autenticado y encriptado sobre el backbone del proveedor del servicio. Utilizan los protocolos IPSEC, SSL, L2TP asegurado mediante IPSEC, PPTP asegurado con MPPE (Microsoft Point-to-Point Encryption).

Overlay y Peer
Las VPN overlay se dan entre dispositivos CE, los dispositivos PE no participan en el enrutamiento de los clientes de la red, sino que reenvan trfico de clientes basados en direccionamiento globalmente nico, por lo tanto no tiene conocimiento del direccionamiento utilizado por el cliente. Los tneles son configurados entre dispositivos CE usando protocolos como IPSec y GRE. Cabe observar que el modelo overlay tiene serios problemas de escalabilidad debido a que si se cuenta con muchos nodos de egreso el nmero de adyacencias se incrementa en directa proporcin con el nmero de nodos.

Figura 1-6 Adyacencias del Ruteo Pueden ser implementadas a nivel de capa fsica usando lneas telefnicas (dialup), a nivel de capa 2 utilizando Frame Relay, X-25 y ATM, o a nivel de capa 3 utilizando tneles IP o GRE. Con el fin de clarificar veamos un ejemplo, la Figura 1-6, muestra un esquema en el que figuran tres sitios. Un sitio se conecta a travs de los circuitos virtuales VC #1 Y VC #2 con otros dos sitios. Si suponemos que el sitio principal es Londres y los otros son Paris y Zurich podramos ver que la percepcin que poseen los routers CE es la que grafica la Figura 1-7

Pgina 14

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Figura 1-7 Infraestructura del proveedor Si son reemplazados los dispositivo PE por routers y estos participan en el enrutamiento entonces es una VPN tipo Peer. Los routers tienen que poseer conocimiento del direccionamiento que utiliza el cliente. Esto es necesario debido a que las rutas se intercambian entre dispositivos CE y los dispositivos PE. Estas VPN son provistas por un proveedor de servicios.

Figura 1-8 VPNs tipo Peer

En la Figura 1-8 podemos observar que al reemplazar los switches por routers se convierte en una VPN tipo Peer.

Pgina 15

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

No Orientadas y orientadas a la conexin
Son orientadas o no orientadas a la conexin dependiendo si el proveedor provee o no circuitos virtuales dedicados. Orientada a la conexin: Son en las que provee el proveedor un circuito virtual dedicado. Por ejemplo FRAME RELAY y ATM. No orientadas a la conexin: Son las que no poseen un circuito virtual. Por ejemplo las VPN basadas en IP.

VPNs de capa de transporte/aplicacin

El protocolo SSH (Secure Shell) desarrollado por Communications Security Ltd., permite acceder a otro dispositivo a travs de una red insegura, ejecutar comandos a una mquina remota y mover archivos de una computadora a otra. Utilizando encriptacin sobre canales inseguros provee una fuerte autenticacin y encriptacin. Existen dos versiones incompatibles entre s. Son dos protocolos totalmente diferentes que usan distinto cifrado. SSH v1 SSH v2 Autenticacin de sistemas Llaves de servidor y cliente Llaves de host Autenticacin Llaves Certificados SSH2 es una completa reescritura del protocolo que lo hace mas seguro y utiliza una implementacin de red totalmente distinta que SSH1. Debido a la diferente implementacin ambos protocolos son incompatibles. Por ejemplo se lo utiliza para asegurar un tnel PPP. El principio de funcionamiento es el mismo que el de SSL diferencindose en la capa en la que actan y el mtodo de autenticacin. SSH SSL Capa en la que trabaja Aplicacin Transporte Autenticacin Llaves Certificados Tambin es posible establecer tneles en la capa de aplicacin. Para esto se utiliza un browser del lado del cliente, por lo que no es necesario instalar ningn programa. La

Pgina 16

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

conexin se realiza a un sitio web seguro mediante el protocolo HTTPS (Hypertext Transfer Protocol Secure). Adems, existen otros productos los cuales ofrecen una combinacin de gran flexibilidad, seguridad y que intentan lograr una configuracin que no requiera mucho conocimiento. La seguridad es lograda mediante cifrado del trfico usando el protocolo SSL/TLS.

VPN multiservicio
Trabajan sobre MPLS, cuyo sello distintivo es la calidad de servicio o QoS (Quality of Service). El objetivo de estas VPN es integrar diferentes aplicaciones en una sola conexin: voz, datos, multimedia, etc.

APLICACIONES Las VPN se utilizan en situaciones donde es necesario establecer una comunicacin en forma segura utilizando un medio o infraestructura compartida de transmisin. Adems de comunicar redes propias de la organizacin, usuarios mviles, tele trabajadores etc. tambin es posible comunicar distintas organizaciones entre s. Esta alternativa surge a partir de la necesidad de establecer lazos de negocios, o la concrecin de intereses comunes. La extranet refleja dichos intereses mediante la interconexin de las redes de datos de las distintas organizaciones. En realidad solo comparten los recursos necesarios para cumplir con los objetivos comunes, por lo que el acceso es parcial y controlado. Finalmente las VPN se pueden considerar como un negocio con valor agregado en la forma de un servicio. El hecho de que hoy en da las organizaciones dependan fuertemente de las tecnologas de informacin para su desenvolvimiento y que sus necesidades sean diferentes, plantea un mercado donde las soluciones de comunicaciones de datos son casi a la medida del cliente. No existe una nica solucin para todos los tipos de organizaciones. Es por esto que los proveedores de servicios han sumado a su oferta de soluciones empresariales, el servicio de VPN, donde una buena relacin costo-beneficio para el cliente es posible.

Intranet /Intranet extendida

Una intranet en principio no se refiere a esquemas o topologas de redes, sino a un conjunto de contenidos y recursos de informacin que son accedidos y compartidos en forma privada y segura entre miembros de una misma organizacin, con el objetivo de proveer la lgica de negocio para las aplicaciones de la organizacin. Es un medio,

Pgina 17

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

adems, para la difusin de informacin interna, permitiendo que los empleados estn al tanto de lo que sucede en su mbito laboral de una manera eficiente. Una caracterstica fundamental de las intranets, es el hecho que su funcionamiento se basa en tecnologas que implementan estndares abiertos, tanto en los protocolos de comunicacin como en aquellos protocolos a nivel de aplicacin. Es decir, utilizan la tecnologa de Internet. En particular el uso de la suite TCP/IP para la comunicacin y a nivel de aplicacin los protocolos: HTTP, FTP, SMTP, POP3, LDAP, etc. La clase de aplicaciones que se pueden encontrar en una intranet van desde el servicio de correo electrnico, hasta sistemas de informacin basados en web, sistemas de mensajera instantnea y colaborativos, sistemas de videoconferencia y comunicaciones de voz mediante IP (VoIP). El acceso y manipulacin de la informacin, mediante estos sistemas se encuentra restringido, por lo tanto tambin existen sistemas que permiten autenticar y autorizar a los diferentes usuarios de la organizacin. Una VPN sirve para expandir el alcance de una intranet. La privacidad que aporta una red privada virtual brinda la seguridad para acercar la intranet a los diferentes sitios o redes de datos que integran la organizacin logrando su interconexin a travs de Internet y/o las redes backbone de los proveedores de servicio. La intranet debera estar disponible para aquellos usuarios de la organizacin cuyo rol requiere movilidad y estar fuera de los lmites de la misma, por lo tanto fuera de la red de datos. Es necesario que estos usuarios mviles estn conectados para acceder a aquellos recursos o datos que la intranet pone a disposicin. Las redes distantes propias que pueden interconectarse y los usuarios mviles que pueden tener acceso se denominan, en su totalidad, una intranet extendida.

Extranet
Una extranet es un conjunto de intranets de organizaciones diferentes que se interconectan entre s para cumplir con objetivos comunes. Esta relacin esta bien definida y es establecida bajo un estricto control del acceso. Se puede definir tambin como la interseccin de un grupo de intranets de varias empresas, lo cual indica que solo se comparte una porcin de la intranet hacia el resto de la extranet. Por otro lado Internet es el medio comn que resuelve problemas de incompatibilidad entre sistemas de empresas muy diferentes. Es decir, ofrece una interfaz comn que permite una interaccin difcil de lograr con otras tecnologas. Por lo tanto, como en el caso de las intranets, adoptan las tecnologas basadas en estndares abiertos propias de Internet para lograr comunicacin dentro de la extranet.

Pgina 18

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

Una extranet puede tener un impacto notable en las relaciones e interrelaciones con las dems empresas que la integran. De hecho puede modificar notablemente la posicin de la organizacin frente a sus clientes y competidores. Por esta razn la decisin de su implementacin debe responder a fines estratgicos, por lo cual deber ser tomada por la alta gerencia de la organizacin. Las VPNs son la forma ms efectiva de implementar las extranets, ya que pueden hacer uso de Internet para lograr la interconexin de los diferentes sitios. Nuevamente los puntos ms importantes a considerar son la seguridad en cuanto al acceso solo de los usuarios autorizados mediante mecanismos de autenticacin, como tambin el transporte a travs de la encapsulacin y encriptado de los datos. Como se ha visto en este captulo, existen diversos protocolos de tnel utilizados en VPNs, los cuales se aplican obviamente en las extranets. Algunos de ellos como IPSec, encapsulan los paquetes originales y encriptan la informacin sensible, otros como PPTP y L2TP se valen de IPSec para brindar la confidencialidad.

Servicio VPN provisto por un proveedor

Las corporaciones y organizaciones dependen cada vez ms de las telecomunicaciones y redes de datos. Es muy importante la interconexin de redes propias en diferentes sitios. Esta necesidad fue resuelta por proveedores de servicios de telecomunicaciones, principalmente a travs de conexiones Frame Relay, ATM y ms recientemente mediante ethernet y tneles basados en IP. Estas organizaciones, requieren con ms frecuencia, servicios de conectividad sobre uno o ms backbones, incluso a travs de Internet, pero que este servicio incluya contratos de nivel de servicio (Service Level Agreement), calidad de servicio (QoS), y otros parmetros que permitan una comunicacin segura, estable, con alto grado de disponibilidad, con un umbral de ancho de banda, con priorizacin de trfico, etc. Estas caractersticas son difciles de lograr cuando la comunicacin entre sitios debe atravesar redes de diferentes proveedores ms la Internet, es decir un entorno compartido y de naturaleza no orientada a la conexin. Las VPN permiten una comunicacin segura y privada mediante la encapsulacin y encriptacin. Es decir, aslan el trfico de datos privados de una organizacin del resto con el cual pueda compartir un canal de comunicacin. Actualmente la relacin costobeneficio en la implementacin de este mecanismo ha determinado la conveniencia de la contratacin del servicio a proveedores, en lugar de la puesta en funcionamiento y control por parte de la propia organizacin. Para poder diferenciar y aislar los trficos pertenecientes a varios clientes, el proveedor utiliza conexiones de capa 2 (VPNs tradicionales) o tneles de capa 2 o 3. Para el caso de conexiones a travs de Internet, las VPN se han basado en IPSec para

Pgina 19

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

brindar la mayor seguridad. El concepto de servicio VPN provisto por el proveedor debe soportar los tipos tradicionales de VPN, adems debe funcionar con las clases de proveedor definidos en el captulo 1, adems de Internet: nico proveedor, conjunto de proveedores y proveedor de proveedores.Existen requerimientos generales para esta clase de VPNs, un anlisis detallado se expresa en la RFC 3809 . Estos requerimientos pueden clasificarse en: atributos del servicio que el cliente puede observar o medir, por ejemplo: disponibilidad y estabilidad, garantas de seguridad, servicio de tramas o datagramas. del proveedor: caractersticas que el proveedor evala para determinar la viabilidad en trminos de la relacin costo-efectividad del servicio, por ejemplo escalabilidad y grado de administracin actersticas de implementacin que permiten cumplir con los requerimientos del proveedor y del servicio. Estos a su vez pueden clasificarse en: no de reenvo: asociados a los mecanismos de reenvo de datos. os al mecanismo de distribucin de la informacin de enrutamiento. uniformidad de los mecanismos en esta clase de VPN respecto de otros esquemas y en general con la forma de operacin de Internet. RFC 3809 - Generic Requirements for Provider Provisioned Virtual Private Networks Calidad de servicio (QoS) y Acuerdos de nivel de servicio (SLA) En general calidad de servicio se refiere a la habilidad de brindar servicios de redes y comunicaciones de acuerdo a un conjunto de parmetros especificados un contrato de nivel de servicio o SLA. La calidad esta caracterizada por la disponibilidad del servicio, tasa de demora, de variacin de la demora (jitter), tasa de proceso de paquetes (throughput), de prdida de paquetes. En particular, y desde una perspectiva de recurso de red, calidad de servicio se refiere a un conjunto de herramientas que permiten a un proveedor de servicio priorizar trfico, controlar el ancho de banda y la demora en la red. Existen dos maneras de lograrlo en redes IP, mediante Servicios Integrados y a travs de Servicios Diferenciados

Pgina 20

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

El mbito en el cual un servicio VPN cumple con calidad de servicio depender del proveedor de servicio. En la mayora de los casos de VPN definida en el sistema autnomo de un nico proveedor es posible cumplir con este requerimiento. El soporte de QoS en ambientes de multi proveedores o diversos sistemas autnomos estar en funcin de los acuerdos de cooperacin entre los involucrados en la provisin del servicio y de que todos utilicen los mismos mecanismos. Es decir que los dispositivos CE y/o PE ejecuten al menos formateo y apliquen polticas al trfico (shaping y policing). La necesidad de aplicar calidad de servicio ocurre principalmente en la red de acceso al backbone del proveedor y no en el interior del mismo, de hecho QoS sobre las conexiones PE a PE no son un inconveniente. En cuanto a la calidad de servicio en el acceso, se pueden distinguir dos enfoques:

el PE a travs de la red de acceso al CE Los dispositivos CE y PE deberan poder soportar QoS sin importar la tecnologa de acceso ya sea de capa 2 o 3: circuitos virtuales ATM y Frame Relay, acceso basado en MPLS, DSL etc. Se pueden distinguir dos modelos de servicio para QoS: ceso: este provee QoS sobre el acceso entre CE y los puertos del lado de cliente en el PE. No es requerido en el ncleo del backbone. re el backbone del proveedor, ya sea entre pares de dispositivos CE o pares de PE, dependiendo de los lmites del tnel. Un acuerdo de nivel de servicio SLA (Service Level Agreement) es una documentacin donde se expresan los resultados de una negociacin entre un cliente y un proveedor de servicios. En este documento se especifican los niveles de disponibilidad, perfomance, nivel de servicio, forma de operacin y otros atributos del servicio. A partir de un SLA se pueden determinar objetivos de nivel de servicio o SLO (Service Level Objective), considerando mtricas individuales con los valores deseados e informacin operacional para controlar el SLA. Estas se pueden implementarse como polticas. RFC 1633 - Integrated Services; RFC 2475 - Differentiated Service Una especificacin de nivel de servicio o SLS (Service Level Specification) engloba a las dos anteriores, es decir especifica un acuerdonegociado y las mtricas individuales y datos operacionales, para garantizar la calidad de servicio del trfico de red para ese cliente. Una SLS puede definirse sobre la base de los siguientes objetivos y

Pgina 21

CENTRO DE ENSEANZA TECNICA INDUSTRIAL

parmetros, los cuales se pueden considerar sobre la base de conexiones a la red de acceso, VPNs o sitios:

racin de los intervalos de no disponibilidad del servicio.

Lmites para la variacin del delay y jitter. El sistema de administracin y monitoreo del proveedor deber medir y generar reportes respecto si las perfomance medida cumple o no los objetivos de la SLS. Muchas veces el nivel garantizado para los parmetros de los objetivos de nivel de servicio, dependen del alcance de la VPN, por ejemplo ciertos niveles pueden ser garantizados en el mbito de un solo sistema autnomo, mientras que otro, an ms estricto, se puede cumplir en un dominio de un nico proveedor pero con varios sistemas autnomos bajo su cargo. En un escenario multi proveedor es ms difcil cumplir con aquellos parmetros que requieran un alto grado de cumplimiento, por ejemplo el requerimiento de QoS

Pgina 22