Sei sulla pagina 1di 4

Tneles

Concepto
Para poder alcanzar los objetivos de seguridad y de confiabilidad que se plantean en una VPN es necesario apelar a protocolos que se ocupen de la creacin de un tnel lgico y a la encriptacin y desencriptacin de los paquetes que son transmitidos. El tnel es un mtodo por el cual se hace uso de una red intermedia para transferir datos de un extremo a otro. Los paquetes que se transmiten se encapsulan sobre otro encabezado correspondiente al protocolo de tnel, este nuevo encabezado contiene la informacin necesaria para que el paquete atravesando la red intermedia llegue al destino correspondiente, una vez llegados a destino son desencapsulados y dirigidos al destino final. Un tnel es un canal virtual, configurado entre dos sistemas remotos que se encuentran en diferentes redes, sobre una conexin real que involucra ms de un nodo intermedio. La tcnica de tunneling consiste en encapsular un mensaje de un protocolo dentro de s mismo aprovechando ciertas propiedades del paquete externo con el objetivo de que el mensaje sea tratado de forma diferente a como habra sido tratado el mensaje encapsulado. De esta forma un paquete puede saltar la topologa de una red. Por ejemplo, un tnel puede ser usado para evitar un firewall (con los peligros consecuentes de esta decisin). Esta es una consideracin a tener en cuenta al configurar un tnel. El tnel es creado encapsulando un protocolo de red dentro de los paquetes del mismo protocolo, que sern llevados por la red real. Adicionalmente, el paquete encapsulado es encriptado por el emisor, en acuerdo con el receptor (el sistema que se encuentra en del otro lado del tnel) de manera que slo ambos extremos puedan acceder a los datos transportados. ste tipo de comunicacin solo es posible si el protocolo soporta esta facilidad,

denominada modo tnel. La otra modalidad posible, modo transporte, provee proteccin slo para protocolos de la capa superior. De esta forma, el tnel es simplemente la ruta que toman los paquetes encapsulados (y encriptados), dentro de un paquete del mismo protocolo, entre las dos redes. Un atacante puede interceptar los mensajes que viajen por el tnel, pero los datos encapsulados estn encriptados y solo pueden ser recuperados por el destinatario final.

En el sistema de destino, el mensaje encapsulado es extrado del paquete recibido, desencriptado, y reinyectado en la red a la que pertenece el receptor (en el caso de un gateway). Gracias a esto, una organizacin puede usar de forma segura una red pblica para comunicarse con sus usuarios o pares, ya que los paquetes son encriptados antes de ser enviados a travs del tnel. Con el uso en modo tnel, el encabezado IP interno (encapsulado) es encriptado, ocultando la identidad del destinatario y del origen del trfico. Los mismos servicios pueden ofrecerse a un usuario mvil al cual se asigna un IP dinmicamente para una conexin de conexin telefnica: se establece un canal en modo tnel al firewall del ISP funcionando como un gateway de seguridad. En relacin con una conexin o canal seguro, cabe introducir un concepto importante: el de Asociacin de Seguridad (Security Asociation - SA). Una asociacin de seguridad (AS) es una instancia de una poltica de seguridad junto con componentes claves. Las SAs son identificadas de forma nica por una direccin de destino, un protocolo de seguridad y un ndice de parmetros de seguridad o SPI (un conjunto de atributos se seguridad). Las SAs son independientes entre ellas. Una conexin de datos protegida necesita un conjunto de SAs, una por cada direccin y protocolo. Las SAs pueden actuar en una direccin o en ambas. Una SA en modo tnel es una SA aplicada a un tnel, por ejemplo, un tnel IP. Siempre que en una asociacin de seguridad est involucrado un gateway de seguridad, dicha SA debe operar en modo tnel; de otra forma, si slo estn involucrados sistemas finales (o gateways de seguridad que no acten como tales no transporte trfico de datos, por Ej. comandos SNMP para administracin de red), puede operar tambin en modo transporte. Por esto, un sistema final (un host) tambin debe soportar ambos modos de operacin, transporte y tnel (ya que puede comunicarse con un gateway, que operar en modo tnel). Las caractersticas ms importantes de los protocolos que soportan tunneling son encriptado de datos, autenticacin, autorizacin e integridad de datos; muchas de estas caractersticas son posibles gracias al encriptado completo del paquete encapsulado. Una distincin a destacar es que el hecho de que un paquete est encapsulado en otro no implica que est encriptado, tampoco lo inverso. De esta forma se obtienen distintos beneficios que responden a necesidades y conveniencias especficas.

En los protocolos de capa 2 (PPTP, L2F, L2PF) el tnel se negocia por ambos extremos de la conexin a la hora de la creacin del mismo as tambin la asignacin de direcciones o los parmetros de encriptacin y/o de compresin. Los datos o paquetes que se quieran transferir de un extremo al otro del tnel creado pueden ser paquetes de otros protocolos, podemos encontrar por ejemplo una red con protocolo Ipv6 conectada con otra Ipv6 y los datos transmitirse por medio de una red Ipv4 como Internet, o bien redes con protocolos similares que utilicen a Internet como comunicacin entre ellas (Figura 12). Podemos decir entonces que un tnel tiene dos extremos que son los extremos de la red intermedia, entre esos extremos se crear una conexin lgica con tcnicas de seguridad que es por donde se har el intercambio de paquetes de la comunicacin.

Figura 12

Se pueden destacar como requerimientos bsicos de un protocolo de tnel que cumpla con las siguientes condiciones:

Autenticacin de usuario. Asignacin dinmica de direcciones. Compresin de datos. Encriptacin de datos. Administracin de llaves. Soporte multiprotocolo.

Tipos de tneles

Tneles Voluntarios: Un usuario o estacin de trabajo cliente puede emitir una peticin VPN para configurar y crear un tnel voluntario. En este caso, el usuario es un terminal del tnel y acta como el cliente del mismo. Tneles Compulsivos: Una VPN con servidor con capacidad de acceso por llamada, configura y crea un tnel, donde el usuario no es un terminal del mismo. Otro dispositivo, el RAS (Servidor de Acceso Remoto), entre la computadora usuario y el servidor de tnel es la terminal del tnel y actuar como cliente.

Protocolos de Tnel
En el caso de las VPN los protocolos que se utilizan son a nivel de capa 2 o capa 3, se crea la conexin entre los dos puntos y se crea un tnel entre ellos como si pertenecieran a una misma red local. Adems de los protocolos de capa 2 que se vern en este trabajo, existen tambin los de capa 3 como el IPSec que encapsula paquetes de protocolo IP en otros de protocolo IP tambin. Los protocolos sobre los que nos basaremos sern los siguientes:

L2F (Cisco's Layer Two Forwarding) PPTP (Microsoft's Point-to-Point Tunneling Protocol) L2TF Dando tambin un paneo respecto de los protocolos que se utilizan como auxiliares de estos para diversas tareas.