REDES PRIVADAS VIRTUALES

1. Introduccin
Hoy en da, una empresa o un servicio no estn en ningn lugar fsico. Ambos estn
en Internet, en un edificio, y en cada lugar donde viaje un representante o usuario
del servicio o red. Poner de acuerdo a tantas personas, a tantos agentes y usuarios
de una manera coherente, eficiente y en tiempo real, ha sido fcil gracias a Internet,
pero, nada ocurre de forma espontnea. Comunicar a tantas personas en lugares tan
dispares y que trabajen sobre una misma base de datos alojada en un servidor, por
ejemplo, es algo complejo y donde prima la seguridad de los datos transmitidos,
pues viajan de manera muy dispar por lugares remotos en los que no se tiene
confianza.
2. Consideraciones Generales
Una de las maneras ms fiables de comunicacin remota son las Redes Privadas Virtuales o
VPN (Virtual Private Networks) por su sigla en Ingls. Se les llama privadas porque se
establecen exclusivamente (en principio, ya que como cualquier forma de comunicacin,
conlleva riesgos) entre el emisor y el receptor de la informacin. Son virtuales porque no se
necesita un cable o cualquier otro medio fsico directo entre los puntos comunicantes, la sesin
se establece usando una infraestructura pblica (existente ver figura 1), por tanto, es una
red no fsica y privada que viaja sobre una pblica y virtualmente extiende la red de la
empresa o el servicio hasta donde se encuentre el cliente o usuario del mismo.
Figura 1. Una VPN puede usar cualquier medio disponible

Muchos optan por alquilar una lnea exclusiva que garantice que los datos no viajan por nodos
pblicos, pero, aunque ms seguro, resulta mucho ms costoso que establecer la VPN sobre
una infraestructura que es de todos. Se puede pensar en Internet como un sistema de correo
extremadamente rpido y con presencia en cualquier lugar (ver figura 2). Los datos (los
mensajes que se envan) se mueven entre los destinatarios casi siempre a alta velocidad, pero
no deja de ser un sistema de envo y entrega de informacin. Lo que pocos se dan cuenta es
que, en Internet, se usan especie de postales en vez de sobres. Toda la informacin es
escrita en una postal (llamados paquetes de datos) en la que se ve el remitente, el

Documento tomado de la Red Piloto de Teleasistencia 1

destinatario y los datos que se transportan. El emplear una VPN es como contratar un cartero
de confianza, y adems introducir nuestra informacin en un sobre bien cerrado.
Las VPN funcionan creando una conexin directa virtual entre dos mquinas por el que la
informacin viaja segura y confidencial. Esto se logra aplicando una tecnologa de tnel entre
los dos puntos. En realidad lo que se establece es un tnel, visto como un camino privado que
nadie puede ver. Pero en Internet, el tnel es una estructura lgica que encapsula los datos de
un protocolo (el conocido TCP/IP) en el cuerpo de otro tipo de protocolo (un protocolo como
los sobres) por ejemplo IPSec, que es el estndar hoy da, aunque existen otros, como PPTP y
L2TP.

Figura 2. Internet como la mejor opcin de conexin

Normalmente la comunicacin se puede establecer entre un usuario o cliente y una red LAN
(red interna) corporativa. De esta manera se podr trabajar como si se tuviera fsicamente
acceso a la red interna y los datos que se pueden alojar en bases de datos. En este caso, se
debe utilizar un servidor denominado Servidor de Acceso a la Red o NAS (Network Access
Server) en la red interna para dar acceso al exterior. Es como si este servidor aceptara
llamadas telefnicas de los clientes (se establece una comunicacin punto a punto privada) y
adems

se

debe

introducir

una

contrasea

especial

para

que

el

receptor

reciba

adecuadamente la informacin que se quiere transmitir (en este caso escuche lo que quiere
decir) esto se logra mediante el seguimiento de un proceso de autenticacin.
Disponibilidad de las VPNs
Desde Windows el procedimiento para utilizar el cliente, se puede crear una nueva conexin
desde el men "Conexiones de red y acceso telefnico", el asistente pregunta si se desea

Documento tomado de la Red Piloto de Teleasistencia 2

establecer una conexin a una red privada a travs del mdem, o a travs de Internet. En
seguida queda establecida la configuracin y cada vez se que pulse aparecer el dilogo de
autenticacin que pide nombre de usuario y contrasea. As de sencillo para el cliente, y algo
ms complicado para el servidor, que puede ser Hardware, un aparato fsico exclusivamente
dedicado a esta funcin; o Software, un programa corriendo un computador.
Una VPN permite un bajo costo de implementacin. Por ejemplo, en cualquier sistema
operativo se puede encontrar software para establecer una sesin como cliente, porque
soportan el protocolo IPSec (Internet Protocol Security). Aunque sea una forma algo mas
lenta de comunicacin (es necesario cifrar y encapsular los datos) resulta insignificante con las
velocidades que nos brinda hoy la banda ancha. Es extremadamente escalable, con un slo
servidor, cualquier cliente puede conectarse desde cualquier lugar (acceso remoto), y, sobre
todo, presenta un alto grado de seguridad.
Secuencia de Conexin
- El cliente ejecuta su conexin privada.
Para configurarla (desde cualquier sistema operativo disponible) es necesario simplemente
conocer la direccin IP o nombre del servidor donde se ejecuta o reside el servidor. Cuando el
servidor recibe una peticin, reconoce que lo que se quiere establecer es una VPN, entonces
realiza una conexin a travs de la red pblica (Internet).

En este momento se ha de negociar un proceso de "confianza" mutua, que se consigue

bsicamente a travs de la autenticacin (peticin de nombre de usuario (o usuario) y
contrasea). Este es el mayor punto dbil de las VPN, una vez ms, se confa toda una potente
estructura de seguridad en una sola palabra, que puede (y generalmente lo es) ser elegida de
una manera muy pobre.
A veces se utiliza un mtodo de desafo - respuesta que consiste en que el servidor lanza una
peticin especial, esperando una respuesta concreta a esa peticin. As se consigue que la
contrasea generada no sea siempre la misma, sino que vara en funcin del desafo que lanza
el servidor. Para esto se necesitan dispositivos fsicos o lgicos virtuales, pero resultan
altamente necesarios en la mayora de las ocasiones.

Documento tomado de la Red Piloto de Teleasistencia 3

Cuando ambas mquinas ya confan una en la otra, se establecen un "tnel". Esto quiere decir
que mantienen una comunicacin constante entre ellas. Ahora la red local de la empresa ya
posee una extensin ms, que llega hasta el lugar del empleado.
3. Aspecto Importantes
Tomando de ejemplo el Servicio de enrutamiento y acceso remoto que brinda Windows 2000
Server el cual proporciona servicios de red privada virtual (VPN) para conexiones VPN de
acceso remoto y de enrutador a enrutador mediante el Protocolo de tnel punto a punto
(PPTP, Point-to-Point Tunneling Protocol) o el Protocolo de tnel de capa dos (L2TP, Layer
Two Tunneling Protocol) con seguridad de protocolo Internet IPSec.
Como se ha dicho una VPN es la extensin de una red privada que incluye vnculos de redes
compartidas o pblicas como Internet. Con una red privada virtual, puede enviar datos entre
dos equipos a travs de una red compartida o pblica de forma que emula un vnculo privado
punto a punto, por lo tanto las funciones de red privada virtual consisten en crear y configurar
una red privada virtual.

Para emular un vnculo punto a punto, los datos se encapsulan o empaquetan con un
encabezado que proporciona la informacin de enrutamiento que permite a los datos recorrer
la red compartida o pblica hasta alcanzar su destino. Para emular un vnculo privado, los
datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red
compartida o pblica no se pueden descifrar si no se dispone de las claves de cifrado. El
vnculo en el que se encapsulan y cifran los datos privados es una conexin de red privada
virtual (VPN).
La figura 3 muestra el equivalente lgico de una conexin VPN.

Documento tomado de la Red Piloto de Teleasistencia 4

Figura 3 Equivalente lgico de una VPN

Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN para
establecer una conexin de acceso remoto al servidor de una organizacin mediante la
infraestructura que proporciona una red pblica como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexin punto a punto entre el equipo (el cliente VPN) y
el servidor de la organizacin (el servidor VPN). La infraestructura exacta de la red compartida
o pblica es irrelevante dado que lgicamente parece como si los datos se enviaran a travs
de un vnculo privado dedicado (Tnel).

Las organizaciones tambin pueden utilizar VPN para establecer conexiones enrutadas con
oficinas o centros alejados geogrficamente o con otras organizaciones a travs de una red
pblica como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexin
VPN enrutada a travs de Internet funciona lgicamente como un vnculo de WAN (Wide Area
Network) dedicado.
Gracias al acceso remoto y a las conexiones a travs de routers una organizacin puede
utilizar VPN para realizar conexiones a larga distancia, o lneas concedidas para conexiones
locales o con un Proveedor de servicios Internet (ISP).
4. Tipos de tecnologa VPN disponible en Windows 2000

Documento tomado de la Red Piloto de Teleasistencia 5

Protocolo de tnel punto a punto (PPTP, Point-to-Point Tunneling Protocol)

PPTP utiliza mtodos de autenticacin de Protocolo punto a punto (PPP) de nivel de usuario y
Cifrado punto a punto de Microsoft (MPPE) para cifrar los datos.
Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo Internet (IPSec)
L2TP utiliza mtodos de autenticacin de PPP de nivel de usuario y certificados de nivel de
equipo con IPSec para cifrar los datos.
5. Conexiones VPN
Conexin VPN de acceso remoto
Un cliente de acceso remoto (el equipo de un usuario) realiza una conexin VPN de acceso
remoto que conecta a una red privada. El servidor VPN proporciona acceso a los recursos del
servidor VPN o a toda la red a la que est conectado el servidor VPN. Los paquetes enviados
desde el cliente remoto a travs de la conexin VPN se originan en el equipo cliente de acceso
remoto.

El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor de acceso remoto (el
servidor VPN) y, para realizar la autenticacin mutua, el servidor se autentica ante el cliente.
Los equipos que ejecutan Windows 2000, Windows NT versin 4.0, Windows 95 y Windows 98
pueden crear conexiones VPN de acceso remoto a un servidor VPN que ejecuta Windows 2000.
Los clientes VPN tambin pueden ser un cliente de Protocolo de tnel punto a punto (PTPP) o
un cliente de Protocolo de tnel de capa 2 (L2TP) con IPSec que no sean de Microsoft.

Conexin VPN de enrutador a enrutador

Un enrutador realiza una conexin VPN de enrutador a enrutador que conecta dos partes de
una red privada. El servidor VPN proporciona una conexin enrutada a la red a la que est
conectado el servidor VPN. En una conexin VPN de enrutador a enrutador, los paquetes

Documento tomado de la Red Piloto de Teleasistencia 6

enviados desde uno de los enrutadores a travs de la conexin VPN normalmente no se

originan en los enrutadores.
El enrutador de llamada (el cliente VPN) se autentica ante el enrutador de respuesta (el
servidor VPN) y, para realizar la autenticacin mutua, el enrutador de respuesta se autentica
ante el enrutador de llamada.
Los equipos que ejecutan Windows 2000 Server y Windows NT Server 4.0 con los servicios de
enrutamiento y acceso remoto (RRAS) pueden crear conexiones VPN de enrutador a
enrutador.
Los clientes VPN tambin pueden ser un cliente de Protocolo de tnel punto a punto (PPTP) o
un cliente de Protocolo de tnel de capa 2 (L2TP) con IPSec que no sean de Microsoft.
6. Tipos de redes privadas virtuales
Puede utilizar conexiones de red privada virtual (VPN) cuando necesite una conexin punto a
punto segura para conectar usuarios o redes. Las conexiones VPN tpicas se basan en Internet
o en una intranet.
Redes privadas virtuales basadas en Internet
Mediante una conexin de red privada virtual (VPN) basada en Internet, puede ahorrar los
gastos de llamadas telefnicas a larga distancia y aprovechar la disponibilidad de Internet.
Acceso remoto a travs de Internet
En lugar de realizar una llamada de larga distancia para conectar con un servidor de acceso a
la red (NAS, Network Access Server) de la compaa o externo, los clientes de acceso remoto
pueden llamar a un ISP local. Mediante la conexin fsica establecida con el ISP local, el cliente
de acceso remoto inicia una conexin VPN a travs de Internet con el servidor VPN de la
organizacin. Una vez creada la conexin VPN, el cliente de acceso remoto puede tener acceso
a los recursos de la intranet privada.
La figura 4 muestra el acceso remoto a travs de Internet.

Documento tomado de la Red Piloto de Teleasistencia 7

Figura 4 Acceso Remoto a travs de Internet

Conectar redes a travs de Internet

Cuando las redes estn conectadas a travs de Internet, un enrutador reenva paquetes a otro
enrutador a travs de una conexin VPN. Para los enrutadores, la red privada virtual funciona
como un vnculo de la capa de enlace de datos.
La figura 5 muestra la conexin de redes a travs de Internet.

Figura 5 Conexin de redes a travs de Internet

Empleo de accesos WAN dedicados

En lugar de utilizar un acceso WAN dedicado o alquilado de larga distancia y por lo general
costoso entre las distintas oficinas de la compaa (o usuarios de bases de datos), los
enrutadores de las oficinas se conectan a Internet mediante accesos WAN dedicados locales
con un ISP local. As, cualquiera de los enrutadores inicia una conexin VPN de enrutador a

Documento tomado de la Red Piloto de Teleasistencia 8

enrutador a travs de Internet. Una vez conectados, los enrutadores pueden reenviarse entre
s transmisiones de protocolos enrutadas o directas mediante la conexin VPN establecida.
Empleo de acceso telefnico WAN
En lugar de realizar una llamada de larga distancia para conectar con un NAS de la compaa o
externo, el enrutador de una oficina puede llamar a un ISP local. Mediante la conexin
establecida con el ISP local, el enrutador de la sucursal inicia una conexin VPN de enrutador a
enrutador con el enrutador de la oficina central a travs de Internet. El enrutador de la oficina
central acta como un servidor VPN y debe estar conectado a un ISP local mediante un acceso
WAN dedicado.

Es posible mantener conectadas ambas oficinas a Internet mediante una conexin WAN de
acceso telefnico. Sin embargo, esto slo es posible si el ISP admite el enrutamiento a clientes
mediante marcado a peticin; es decir, el ISP llama al enrutador del cliente cuando hay que
entregar un datagrama IP al cliente. Muchos ISP no admiten el enrutamiento de marcado a
peticin para clientes.
Redes privadas virtuales basadas en intranet
Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP
en la intranet de una organizacin.

Acceso remoto a travs de una intranet

En las intranets de algunas organizaciones, los datos de un departamento, por ejemplo, el
departamento de recursos humanos, son tan confidenciales que la red del departamento est
fsicamente desconectada de la intranet del resto de la organizacin. Aunque as se protegen
los datos del departamento, se crea un problema de acceso a la informacin por parte de
aquellos usuarios que no estn fsicamente conectados a la red independiente.
Mediante una conexin VPN, la red del departamento est fsicamente conectada a la intranet
de la organizacin pero se mantiene separada gracias a un servidor VPN. El servidor VPN no
proporciona una conexin enrutada directa entre la intranet de la organizacin y la red del
departamento. Los usuarios de la intranet que pertenecen a la organizacin y que disponen de

Documento tomado de la Red Piloto de Teleasistencia 9

los permisos apropiados pueden establecer una conexin VPN de acceso remoto con el
servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento.
Adicionalmente, para mantener la confidencialidad de los datos, se cifran todas las
comunicaciones realizadas a travs de la conexin VPN. Para aquellos usuarios que no tienen
permisos para establecer una conexin VPN, la red del departamento est oculta a la vista.
La figura 6 muestra el acceso remoto a travs de una Intranet.

Figura 6 Acceso remoto a una VPN por Intranet

Conectar redes a travs de una intranet

Tambin puede conectar dos redes a travs de una intranet mediante una conexin VPN de
enrutador

enrutador. Las

organizaciones

que

tienen

departamentos

en

diferentes

ubicaciones, cuyos datos son altamente confidenciales, pueden utilizar una conexin VPN de
enrutador a enrutador para comunicarse entre s. Por ejemplo, el departamento financiero
podra necesitar comunicarse con el departamento de recursos humanos para intercambiar
informacin acerca de las nminas.
El departamento financiero y el departamento de recursos humanos estn conectados a la
intranet comn con equipos que pueden actuar como clientes VPN o servidores VPN. Una vez
establecida la conexin VPN, los usuarios de los equipos de ambas redes pueden intercambiar
datos confidenciales a travs de la intranet corporativa.

Documento tomado de la Red Piloto de Teleasistencia 10

La figura 7 muestra la conexin de redes a travs de una intranet.

Figura 7 Interconexin por Intranet

La tabla 1 muestra a manera de resumen de lo expuesto hasta el momento relacionado con

los tipos de VPNs.
Tabla 1
Uso

Aplicacin

Acceso Remoto por

VPN

Alternativa a

Conectividad Remota

Lneas dedicadas o
ISDN

Sitio e
Interna
Conectividad Negocio

VPN Extranet

a Negocio y
externa

cualquier
parte
Bajo Costo
Conectividad

Conectividad Sitio a
VPN Intranet

Beneficios
Acceso desde

Lnea dedicada

Extendida
Bajo Costo

Fax, Mail, Mensajera

Unificada

Comercio Electrnico

7. Tecnologas detrs de las VPN

Protocolo de tnel de capa 2 (L2TP)
Adems del Protocolo de tnel punto a punto (PPTP, Point-to-Point Tunneling Protocol),
Windows 2000 incluye el estndar Protocolo de tnel de capa 2 (L2PT, Layer Two Tunneling
Protocol), que se utiliza con la Seguridad de protocolo Internet (IPSec, Internet Protocol
Security) de Windows 2000 para crear conexiones de red privada virtual (VPN) seguras.

Documento tomado de la Red Piloto de Teleasistencia 11

Directivas de acceso remoto

Las directivas de acceso remoto son un conjunto de condiciones y opciones de configuracin
de la conexin que proporcionan a los administradores de la red ms flexibilidad a la hora de
configurar permisos de acceso y atributos de la conexin. Con las directivas de acceso remoto,
puede exigir el uso de autenticacin y cifrado slidos a los usuarios de la red privada virtual y
un conjunto distinto de restricciones de autenticacin y cifrado a los usuarios de acceso
telefnico.
MS-CHAP versin 2
El Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP, Microsoft Challenge
Handshake Authentication Protocol) versin 2 refuerza significativamente la seguridad de la
transferencia de credenciales de seguridad y la generacin de claves de cifrado durante la
negociacin de una conexin de acceso remoto. MS-CHAP versin 2 se dise especficamente
para autenticar conexiones de redes privadas virtuales.
Protocolo de autenticacin extensible
El Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) permite
utilizar nuevos mtodos de autenticacin con el acceso remoto, una caracterstica que resulta
especialmente importante en la implementacin de la seguridad basada en tarjetas
inteligentes. EAP es la interfaz que permite a otros mdulos de autenticacin conectarse con la
implementacin PPP de acceso remoto de Windows 2000. Windows 2000 admite EAP-MD5
CHAP, EAP-TLS (utilizado en la autenticacin basada en tarjetas inteligentes y en certificados)
y el paso de mensajes EAP a un servidor RADIUS.
Bloqueo de cuenta
El bloqueo de cuenta es una caracterstica de seguridad que deniega el acceso tras realizar un
nmero determinado de intentos errneos de autenticacin. El bloqueo de cuenta se ha
diseado para impedir ataques del diccionario. Un ataque del diccionario se produce cuando un
usuario no autorizado intenta iniciar una sesin mediante el uso de un nombre de usuario
conocido y una lista de palabras comunes como contrasea. El bloqueo de cuentas est
deshabilitado de forma predeterminada.

Documento tomado de la Red Piloto de Teleasistencia 12

8. El Futuro de las VPNs

El xito de las VPNs en el futuro depende principalmente de que tan dinmicas sea la
industria. Muchos de los aspectos que soportan las VPNs recaen en su aspecto potencial desde
el punto de vista de los negocios en el sentido de ahorro de costo. Sin embargo en la
actualidad los costos de llamadas a larga distancia y de lneas arrendadas disminuye
constantemente, pocas compaas nuevas y existentes sentirn la necesidad del pasarse a la
tecnologa VPN para sus accesos remotos. En consecuencia si los estndares delas VPNs se
hacen ms slidos y los productos pueden nter operar sin inconvenientes uno con otro, el
costo podra aumentar.
El futuro de las VPNs tambin depende de la habilidad de los proveedores de Intranet y
extranets para cumplir con las caractersticas de los servicios ofrecidos. Las compaas
tendrn dificultades para medir el ahorro en los costos de sus redes privadas, pero si de
demuestra que las VPNs realmente presentan beneficios visibles, el empleo de VPN puede
hacerse tanto a nivel LAN como WAN.

Documento tomado de la Red Piloto de Teleasistencia 13