Requisitos para establecer una VPN

Para poder establecer una VPN, ya sea entre varias subnets o entre una LAN y un host
"mvil", son necesarios algunos requisitos:
Requisitos Hardware: Es necesario tener un encaminador o router a internet, que va a ser la
pieza clave de la VPN. Cualquier tipo de encaminador, en principio, sera suficiente. Por
supuesto, tambin es necesario el soporte fsico para la comunicacin entre las dos subnets
o entre la LAN y el host "mvil".
Requisitos Software: Se debe tener un sistema de transporte 'opaco' entre los dos puntos a
unir por la VPN. Esto es, que debe actuar slo como transporte, sin `mirar' dentro de los
datos que va a transportar. El transporte debe asegurar una cierta calidad de servicio, si esto
es posible, y debe proporcionar seguridad (encriptacin) a los datos. Adems ser necesario
que junto con los encaminadores (ya comentados en los requisitos hardware) se disponga
de algn tipo de encapsulamiento disponible para que la red de transporte intermedio (ya
sea dialup, Internet u otro tipo de red) sea capaz de entregar los paquetes entre los
desencaminadores de la VPN, sin tener que 'mirar' dentro de los datos de la transmisin
que, adems, podran estar encriptados. Otro de los requisitos ms importantes a la hora de
construir una VPN es el hecho de que las aplicaciones deberan seguir funcionando
perfectamente como hasta ahora haban funcionado. Es decir, la creacin de la VPN debera
ser transparente a las aplicaciones que se estn usando o se puedan usar en cualquiera de
las redes que forman la VPN.
7. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solucin de red remota, una compaa desea facilitar un
acceso controlado a los recursos y a la informacin de la misma. La solucin deber
permitir la libertad para que los clientes roaming o remotos autorizados se conecten con
facilidad a los recursos corporativos de la red de rea local (LAN) as como las oficinas
remotas se conecten entre si para compartir recursos e informacin (conexiones de N). Por
ltimo, la solucin debe garantizar la privacidad y la integridad de los datos al viajar a
travs de Internet pblico. Lo mismo se aplica en el caso de datos sensibles que viajan a
travs de una red corporativa. Por lo tanto, como mnimo, una solucin de VPN debe
proporcionar lo siguiente:
a. Autenticacin de usuario. La VPN debe ser capaz de verificar la identidad de los usuarios
y restringir el acceso a la VPN a aquellos usuarios que no estn autorizados. As mismo,
debe proporcionar registros estadsticos que muestren quien acceso, que informacin y
cuando.
b. Administracin de direccin. La solucin deber asignar una direccin al cliente en la
red privada, y asegurarse de que las direcciones privadas se mantengan as.
c. Encriptacin de datos. Los datos que se van a transmitir a traves de la red pblica deben
ser previamente encriptados para que no puedan ser ledos por clientes no autorizados de la
red.
d. Administracin de llaves. La solucin deber generar y renovar las llaves de encriptacin
para el cliente y para el servidor.
e. Soporte de protocolo mltiple. La solucin deber manejar protocolos comunes
utilizados en las redes pblicas; stos incluyen Protocolo de Internet. Una solucin de VPN
de Internet basada en un Protocolo de tnel de punto a punto (PPTP) o un Protocolo de
tnel de nivel 2 (L2TP) cumple con todos estos requerimientos bsicos, y aprovecha la
amplia disponibilidad de Internet a nivel mundial.

El concepto de las redes privadas virtuales
Las redes de rea local (LAN) son las redes internas de las organizaciones, es decir las
conexiones entre los equipos de una organizacin particular. Estas redes se conectan cada vez
con ms frecuencia a Internet mediante un equipo de interconexin. Muchas veces, las empresas
necesitan comunicarse por Internet con filiales, clientes o incluso con el personal que puede estar
alejado geogrficamente.
Sin embargo, los datos transmitidos a travs de Internet son mucho ms vulnerables que cuando
viajan por una red interna de la organizacin, ya que la ruta tomada no est definida por anticipado,
lo que significa que los datos deben atravesar una infraestructura de red pblica que pertenece a
distintas entidades. Por esta razn, es posible que a lo largo de la lnea, un usuario
entrometido,escuche la red o incluso secuestre la seal. Por lo tanto, la informacin confidencial de
una organizacin o empresa no debe ser enviada bajo tales condiciones.
La primera solucin para satisfacer esta necesidad de comunicacin segura implica conectar redes
remotas mediante lneas dedicadas. Sin embargo, como la mayora de las compaas no pueden
conectar dos redes de rea local remotas con una lnea dedicada, a veces es necesario usar
Internet como medio de transmisin.
Una buena solucin consiste en utilizar Internet como medio de transmisin con un protocolo
de tnel, que significa que los datos se encapsulan antes de ser enviados de manera cifrada. El
trmino Red privada virtual (abreviado VPN) se utiliza para hacer referencia a la red creada
artificialmente de esta manera.
Se dice que esta red es virtual porque conecta dos redes "fsicas" (redes de rea local) a travs de
una conexin poco fiable (Internet) y privada porque slo los equipos que pertenecen a una red de
rea local de uno de los lados de la VPN pueden "ver" los datos.
Por lo tanto, el sistema VPN brinda una conexin segura a un bajo costo, ya que todo lo que se
necesita es el hardware de ambos lados. Sin embargo, no garantiza una calidad de servicio
comparable con una lnea dedicada, ya que la red fsica es pblica y por lo tanto no est
garantizada.
Funcionamiento de una VPN
Una red privada virtual se basa en un protocolo denominado protocolo de tnel, es decir, un
protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.





La palabra "tnel" se usa para simbolizar el hecho que los datos estn cifrados desde el momento
que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera
que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a travs de un
tnel. En unaVPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del
lado del usuario y el servidor VPN (comnmente llamado servidor de acceso remoto) es el
elemento que descifra los datos del lado de la organizacin.
De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se
transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la
infraestructura de red pblica como intermediaria; luego transmite la solicitud de manera cifrada. El
equipo remoto le proporciona los datos al servidor VPN en su red y ste enva la respuesta cifrada.
Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los enva al
usuario.
Protocolos de tnel
Los principales protocolos de tnel son:
PPTP (Protocolo de tnel punto a punto) es un protocolo de capa 2desarrollado por Microsoft,
3Com, Ascend, US Robotics y ECI Telematics.
L2F (Reenvo de capa dos) es un protocolo de capa 2 desarrollado por Cisco, Northern
Telecom y Shiva. Actualmente es casi obsoleto.
L2TP (Protocolo de tnel de capa dos), el resultado del trabajo del IETF (RFC 2661), incluye
todas las caractersticas de PPTP y L2F. Es un protocolo decapa 2 basado en PPP.
IPSec es un protocolo de capa 3 creado por el IETF que puede enviar datos cifrados para redes
IP.


Protocolo PPTP
El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear tramas con el protocolo
PPP y encapsularlas mediante un datagrama de IP.
Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes de rea local se
conectan con una conexin de igual a igual (con un sistema de autenticacin/cifrado) y el paquete
se enva dentro de un datagrama de IP.





De esta manera, los datos de la red de rea local (as como las direcciones de los equipos que se
encuentran en el encabezado del mensaje) se encapsulan dentro de un mensaje PPP, que a su
vez est encapsulado dentro de un mensaje IP.
Protocolo L2TP
L2TP es un protocolo de tnel estndar (estandarizado en una RFC, solicitud de comentarios) muy
similar al PPTP. L2TP encapsula tramas PPP, que a su vez encapsulan otros protocolos (como IP,
IPX o NetBIOS).
Protocolo IPSec
IPSec es un protocolo definido por el IETF que se usa para transferir datos de manera segura en la
capa de red. En realidad es un protocolo que mejora la seguridad del protocolo IP para garantizar
la privacidad, integridad y autenticacin de los datos enviados.
IPSec se basa en tres mdulos:
Encabezado de autenticacin IP (AH), que incluye integridad, autenticacin y proteccin contra
ataques de REPLAY a los paquetes.
Carga til de seguridad encapsulada (ESP), que define el cifrado del paquete. ESP brinda
privacidad, integridad, autenticacin y proteccin contra ataques de REPLAY.
Asociacin de seguridad (SA) que define configuraciones de seguridad e intercambio clave. Las
SA incluyen toda la informacin acerca de cmo procesar paquetes IP (los protocolos AH y/o
ESP, el modo de transporte o tnel, los algoritmos de seguridad utilizados por los protocolos,
las claves utilizadas, etc.). El intercambio clave se realiza manualmente o con el protocolo de
intercambio IKE (en la mayora de los casos), lo que permite que ambas partes se escuchen
entre s.