Tguwogp"

Las Redes Privadas Virtuales (VPNs) son una alternativa prctica, segura y
eficiente de los enlaces privados que en la actualidad son usados para interconectar
redes corporativas y brindar acceso a trabajadores teleconmutados.
Hoy en da las empresas subcontratan muchos servicios y pequeas y medianas
empresas usan lo que se conoce como oficina virtual. Que no es ms que un sitio
donde se concentra la informacin de la empresa (bases de datos) y los servicios
administrativos. Con el fin de ahorrar recursos, tiempo y dinero muchos trabajadores
trabajan desde sus casas; para tal fin necesitan conectarse a la red de la empresa dado
que en la red de la empresa se encuentra la base de datos de la misma, el rea de
ventas y el rea administrativa. Esto se hace a travs de una red privada virtual (VPN) y
lo que hace la red privada virtual es hacer segura la interconexin entre la red pblica
(internet del trabajador) y la red privada (red de la empresa) de tal manera que la
informacin no est disponible para los hackers ni otros usuarios no deseados.
Para poder realizar una VPN debemos conocer los aspectos generales de la VPN, que
hace, cules son sus caractersticas y que elementos debe de tener. Para dicho fin
debemos de plantear una metodologa para poder aplicar y entender los conceptos de
la VPN. La metodologa ideal es la PPDIOO de Cisco (Preparacin, Planeacin, Diseo,
Implementacin, Operacin y Optimizacin). Nosotros nos enfocaremos en la etapa de
Planeacin que es la etapa que contempla el anlisis de requerimientos que involucran
a la VPN.
Este trabajo tiene como objetivo primario dar a conocer esta tecnologa y brindar las
pautas necesarias, apoyndose en conceptos tcnicos y prcticos, para una adecuada
implementacin de la misma y dar a conocer un ejemplo de interconexin VPN
utilizando el OpenVPN y el protocolo TLS.
Kpvtqfweekp"
Al da de hoy, las comunicaciones a travs de las redes de informacin resultan
de vital importancia para un gran nmero de empresas y organizaciones. Para llegar a
su destino, ese trfico debe atravesar, muy a menudo, una infraestructura de redes
pblicas (como Internet), lo que lo hace vulnerable a los ataques de usuarios mal
intencionados.
Ante ese peligro potencial, resulta imprescindible poseer herramientas que permitan
proteger el contenido de dicho trfico, para asegurar tanto su privacidad como su
integridad, en las comunicaciones extremo a extremo.
La solucin ms evidente consiste en montar redes privadas, es decir, para el uso
exclusivo de los propietarios de la red, garantizndose la seguridad en las
comunicaciones. Sin embargo, esta poltica de seguridad se est abandonando por dos
motivos de peso: el costo y la baja escalabilidad. En efecto, las grandes distancias que
separan, en ocasiones, las filiales de una organizacin, hacen que resulte demasiado
cara la construccin de enlaces privados. Por otra parte, el uso de redes privadas
supone la implantacin de un nuevo enlace cada vez que se quiera unir un nuevo
miembro a la red de una organizacin, con los consiguientes problemas de tiempo y
costo.
Como solucin ms eficiente, aparecen las Redes Privadas Virtuales (VPN), un sistema
para construir conexiones seguras a travs de la infraestructura de redes pblicas, tanto
para enlaces punto a punto, como para conectar distintas redes locales entre si o
permitir a un tele-trabajador conectarse a la sede de su empresa desde cualquier lugar
con acceso a Internet. Este sistema permite aprovechar la infraestructura de
comunicaciones existente, aportando los elementos de seguridad necesarios para evitar
cualquier intrusin en el contenido del trfico que protegen. Se consigue as un mtodo
de comunicacin segura que combina un bajo costo con altos niveles de privacidad.
La implementacin de VPN suele estar basada en tneles, donde la informacin que
atraviesa las redes pblicas se encapsula en paquetes de un protocolo (normalmente
IP), de forma que el contenido resulta invisible hasta llegar a su destino, donde se
desencapsula el paquete. Existen varias tecnologas con las que implementar tneles y
a su vez implementar VPN tales como GRE, PPTP, L2TP, IPSEC, SSL/TLS, Casi
todas estas tecnologas pueden implementarse en multitud de medios fsicos basados
en redes IP tales como X.25, Frame Relay, o tecnologa ATM y encapsular paquetes de
otros protocolos de red no IP. De estas mltiples arquitecturas para implementacin de
VPN nos centraremos en el estudio de las VPN basadas en SSL/TLS mediante la
herramienta multiplataforma OpenVPN.
"
"
"
"
Octeq"Vgtkeq"
" De acuerdo a (Alonso J. A., 2009) una VPN (Virtual Private Network, Red Privada
Virtual) es un canal de datos privado que se implementa sobre una red de
comunicaciones pblica, como por ejemplo puede ser Internet. Como norma habitual,
una VPN se encarga de enlazar dos subredes remotas (o una subred y uno o varios
usuarios remotos), creando para ello un tnel virtual a travs del cual sern
encapsulados los paquetes antes de ser inyectados. Este encapsulado consistir en
una nueva trama de datos, pero esta vez encriptada, la cual podr albergar protocolos
de red de las capas superiores.
En la figura 1.1 puede observarse el ejemplo de una red privada virtual. En ella se ha
establecido un enlace confidencial entre el usuario remoto y el servidor VPN.
Cuando el usuario remoto quiera enviar informacin al otro extremo de la conexin
(OFICINA) de forma privada, crear un encapsulado virtual (en funcin del tipo de VPN
configurada) y le aadir la correspondiente cabecera TCP/IP, con el objetivo de que
pueda circular a travs de Internet. La diferencia entre un encapsulado IP normal y otro
que contenga un paquete VPN, es que la informacin transportada en el segundo est
completamente cifrada, y por lo tanto, aunque el paquete sea capturado nunca se podr
interpretar su contenido real.
Una vez que la trama llegue al servidor VPN, esta misma mquina deber encargarse
de descifrarlo y convertirlo en un paquete TCP/IP normal, y enviarlo a continuacin al
destino establecido por el usuario remoto.
Cuando una VPN est establecida, aquellos participantes que se conecten se
encontrarn virtualmente dentro del mismo segmento de red, siendo en el caso de la
figura 1.2 la red de rea local.

"
De acuerdo a (Mason, A. G., 2002) los requisitos genricos de las redes privadas
virtuales se basan en ofrecer un conjunto de herramientas y protocolos de actuacin,
con el objetivo de poder proveer, establecer y administrar el correcto funcionamiento de
los tneles VPN.
Dentro de este grupo de requerimientos, podemos establecer los siguientes:
Autentificacin y comprobacin de la identidad de los usuarios, con la finalidad
de permitir exclusivamente el acceso a la VPN a aquellos usuarios autorizados.

Administracin del rango de direcciones IP virtuales utilizadas por los

participantes de la VPN.

Cifrado de los datos enviados a travs de la VPN. La informacin que circule

virtualmente sobre el tnel, y fsicamente sobre la propia red pblica, deber
permanecer totalmente ilegible para aquellos usuarios no autorizados.

Gestin de las claves pblica y privada, as como de los certificados digitales.

 Soporte para mltiples protocolos por parte de los encapsulados generados por
las VPNs. Adems, esta clase de tramas se tendr que adaptar fcilmente a los
protocolos de red subyacentes sobre los que viajarn por las distintas redes
pblicas, como por ejemplo de tipo TCP/IP.

De acuerdo a (Kosiur, Dave, 1998) podemos clasificar las redes privadas virtuales
en sistemas basados en hardware y en sistemas basados en software.
Los sistemas basados en hardware se caracterizan por el empleo de una serie de
mquinas que han sido diseadas especficamente para tal labor, en las que se han
optimizado todos los parmetros referentes a las VPNs. Esta clase de dispositivos son
por lo general bastante seguros, adems de sencillos de utilizar. Ofrecen un alto grado
de rendimiento, ya que no malgastan tiempo de cmputo en el funcionamiento de un
complejo sistema operativo. Por lo tanto, estamos ante un hardware dedicado,
extremadamente rpido y de fcil instalacin. Por el contrario, son mquinas que
presentan un costo bastante elevado, incrementndose ste en funcin de los
componentes seleccionados.
Esta clase de dispositivos suele ofrecer otra serie de servicios aadidos, como por
ejemplo firewalls, detectores de intrusos, antivirus, etc. Hoy en da existen varios
fabricantes que ofrecen diversas alternativas de hardware de cara a la implementacin
de redes privadas virtuales. Entre ellos podemos destacar a Cisco, Stonesoft, Juniper,
Nokia, Panda Security, etc.
Los sistemas basados en software renen un conjunto de aplicaciones que permiten la
configuracin de VPNs, y por lo general, son independientes de la arquitectura y
sistema operativo utilizado.
De acuerdo a (Yuan R. y Strayer T., 2001) las ventajas que se obtienen del
empleo de las redes privadas virtuales frente a otro tipo de alternativas son las
siguientes:
Seguridad y confidencialidad:
Debido a la utilizacin de distintos tipos de tcnicas, como por ejemplo la
autenticacin y el cifrado, se consigue el establecimiento de un canal de
comunicacin privado sobre una infraestructura de acceso pblico, el cual
evita que la informacin transmitida a travs de l sea interceptada,
alterada o interpretada por personas no autorizadas.

Reduccin de costos:
Debido a que no se emplean lneas de datos dedicadas, se produce un
importante ahorro de dinero relacionado con la instalacin y
mantenimiento del enlace fsico. El grueso de los costos vendr dado en
su mayor medida por el tipo de acceso contratado de cara a Internet: RDSI
(Red Digital de Servicios Integrados), Frame Relay, ADSL, etc.
 Escalabilidad:
Es posible ampliar el ancho de banda de los accesos sin que esto
repercuta en el correcto funcionamiento de la red privada virtual, as como
el nmero de participantes implicados dentro de la infraestructura
establecida.

Mantenimiento sencillo:
Una vez que la red privada virtual se ha configurado, el mantenimiento de
la misma es prcticamente nulo, ya que la nica tarea que hay que realizar
es la de gestionar las acreditaciones de los distintos usuarios que se van
dando de alta o que van causando baja. El administrador tambin debe
permanecer atento ante las posibles actualizaciones de software
correspondientes a su VPN, as como ante los hipotticos cambios que
vayan surgiendo en la topologa de la red.

Compatibilidad con los enlaces inalmbricos:

Al igual que ocurre con las lneas fsicas no dedicadas, la informacin que
viaja a travs de las redes WiFi es susceptible de ser capturada por
personas no autorizadas, con los consiguientes problemas que ello
acarrea. De la misma manera que sucede para los enlaces fsicos, sobre
una red inalmbrica tambin se puede establecer un tnel virtual sobre el
que se puede enviar los paquetes de datos de forma confidencial.

De acuerdo a (Pfeeger P. C., 1997) un sistema de comunicacin tiene que estar

regido por cuatro propiedades que le garanticen la seguridad de los datos transmitidos:
confidencialidad (slo podr leer el mensaje el destinatario del mismo), integridad (el
mensaje no podr ser modificado), autenticidad (el emisor es quien realmente dice ser)
y no repudio (el emisor no puede negar haber enviado el mensaje).

Confidencialidad:
La confidencialidad es una caracterstica que asegura que la informacin transmitida
por un canal de comunicacin inseguro, y sensible de ser interceptada por terceras
personas no autorizadas, slo podr ser interpretada por aquellos usuarios,
entidades o procesos acreditados, permaneciendo totalmente ininteligible para el
resto de los elementos o de los usuarios.
Un canal de comunicacin inseguro es un medio de transporte de datos poco fiable,
en donde no se puede garantizar que la informacin que viaja a travs de l no vaya
a ser capturada, consultada o manipulada por otros individuos ajenos al sistema. Un
ejemplo claro de este tipo de enlaces puede ser la lnea telefnica convencional: un
intruso podra permanecer a la escucha de las conversaciones establecidas entre
los dos extremos de la lnea, sin que los participantes conocieran en ningn
momento que sus telfonos han sido intervenidos.
Una de las posibles soluciones para garantizar la confidencialidad de la informacin
transmitida pasa por el empleo de una lnea fsica dedicada. El principal
impedimento que presenta esta clase de alternativa es el elevado costo que ello
conlleva, as como su difcil mantenimiento.
La forma ms habitual de dotar a un sistema de comunicacin de la propiedad de
confidencialidad, consiste en cifrar la informacin enviada entre los participantes,
bien a travs de algoritmos de clave privada (simtricos) o de clave pblica
(asimtricos). El cifrado es una herramienta ya utilizada desde hace mucho tiempo,
cuyo objetivo es el de transcribir en nmeros, letras o smbolos, un mensaje cuyo
contenido se quiere ocultar.
En la figura 1.3 puede observarse que un emisor quiere enviar un mensaje a un
receptor a travs de un canal de comunicacin inseguro. A priori, el emisor nunca
podr asegurar que la informacin intercambiada entre ambos extremos no haya
sido interceptada por un supuesto intruso. La nica forma de garantizar la
confidencialidad de la transferencia ser cifrando el mensaje antes de enviarlo por el
tnel.
Si una tercera persona ajena al proceso de comunicacin interceptara el mensaje
antes de que llegara al destino, no le servira de mucho, ya que estara ante un
conjunto de datos totalmente ilegibles. La nica posibilidad que tendra de poder
interpretarlo sera conociendo la clave que permitiese su descifrado, o averigundola
a travs de un ataque de fuerza bruta (probando reiteradamente sucesivas llaves
hasta dar con la correcta). Utilizando claves de una longitud considerable y
manteniendo unas polticas de seguridad adecuadas, es prcticamente imposible
que el supuesto intruso pudiese leer el mensaje original. nicamente el usuario
poseedor de la clave (receptor), estara en disposicin de descifrar el mensaje.
 Integridad:
La integridad es una caracterstica que asegura que la informacin enviada a travs
de un canal de comunicacin inseguro, no haya sido modificada durante su
transcurso, es decir, el mensaje a trasmitir tendr que ser exactamente el mismo en
el origen y en el destino. La forma ms habitual de dotar a un sistema de
comunicacin de la propiedad de integridad consiste en utilizar firmas digitales.
Para obtener la firma digital de un documento primero hay que aplicarle un algoritmo
hash, con el objeto de generar una huella o resumen (conjunto de caracteres de
longitud fija que identifican de forma unvoca un bloque de datos). Al resultado de
cifrar dicho extracto mediante un algoritmo de clave pblica o privada se le conoce
como firma digital.
Si una persona ajena al proceso de comunicacin interceptara y alterara el mensaje,
el fraude podra ser descubierto a travs de la firma digital. El receptor, por un lado,
generara una huella a partir del mensaje adulterado, y por el otro lado, descifrara la
firma digital enviada por el emisor, obteniendo de esta forma la huella generada
originalmente por este ltimo. Al comparar ambos resmenes, el receptor podra ver
que no coinciden, luego estara en disposicin de concluir que la informacin
transmitida habra sido modificada durante su trnsito. Si el mensaje no hubiese sido
truncado, el extremo generado por el receptor coincidira con el enviado por el
emisor.
En la figura 1.4 puede observarse que un emisor quiere enviar un mensaje a un
receptor a travs de un canal de comunicacin inseguro. Para autenticar la
informacin a transmitir, el emisor puede sellar el mensaje antes de enviarlo
(generar una huella hash). Si un intruso interceptara el documento y lo modificara,
rompera el sello (el resumen hash original no coincidira con el final).
 La propiedad de integridad es bastante importante; pensemos por un momento que
hiciramos una compra en una tienda virtual a travs de Internet y alguien
modificara la direccin de destino. El cargo de la compra se nos efectuara a
nosotros, pero el pedido llegara al intruso. A travs de un sistema de seguridad que
aplicara correctamente la caracterstica de integridad, podramos estar seguros que
los datos correspondientes a la transferencia no habran sido alterados.

Autenticidad:
La autenticacin o autenticidad es una caracterstica que trata de asegurar el origen
de una informacin, evitando de esta forma posibles suplantaciones. El trmino de
autenticacin est ligado a identidad, es decir, se busca acreditar un conjunto de
rasgos o atributos que caracterizan a un mensaje frente al titular del mismo.
Existen mltiples posibilidades a la hora de identificar a un emisor: verificar algo que
tiene, comprobar algo que es o ponerle a prueba sobre algo que sabe. Los mtodos
ms habituales para conseguir la autenticacin humana pasan por medidas
biomtricas (huellas dactilares, retina de los ojos, reconocimiento facial, etc.),
mientras que para la informacin se utilizan las firmas digitales, al igual que para el
caso de la propiedad de integridad. La firma digital asocia de manera uniforme, a un
documento y al titular poseedor de la clave privada con la que se ha firmado.
La autenticacin tiene una gran importancia hoy en da, sobre todo en las
transacciones electrnicas bancarias. Si en un momento dado, una persona se
conectara a la web de su banco para consultar su saldo y alguien redireccionara la
conexin a una pgina fraudulenta, el supuesto intruso podra robarse las claves de
acceso del usuario. Pero si en cambio existe un mecanismo de autenticacin
predefinido entre el navegador web del cliente y el servidor bancario, las
operaciones realizadas no conllevaran riesgo alguno, ya que ambos participantes
se habran tenido que identificar previamente mediante algn mtodo de
autenticacin seguro.
 En la figura 1.5, un emisor ha generado mediante un algoritmo de autenticacin, la
huella o resumen del mensaje que quiere enviar. A continuacin a firmado el
resultado mediante su clave privada, obteniendo de esta forma la firma digital. Por
ltimo, ha enviado el mensaje original junto con la firma. Cuando el receptor de la
informacin analice la firma digital enviada, podr o no acreditar la identidad del
emisor.
La propiedad de autenticidad lleva implcita la de integridad, es decir, si un
documento por naturaleza es autntico, tambin lo ser integro. Pero por el
contrario, la integridad de un mensaje no es condicin suficiente para garantizar la
autenticidad de su origen.

No repudio:
El no repudio tiene el objetivo de evitar que un emisor niegue haber enviado un
mensaje, cuando realmente s lo ha emitido (no repudio en origen), y que un
receptor rechace haberlo recibido, cuando irrefutablemente s que le ha llegado (no
repudio en destino).
Nuevamente esta caracterstica se consigue a travs del empleo de firmas digitales.
En trminos simples, un documento firmado digitalmente no puede ser negado por
el poseedor de la clave privada que genera dicha firma digital. Y por encima de esta
premisa, se parte de otra de grado superior: nadie puede utilizar la clave privada de
un titular excepto el propio poseedor. Esta ltima frase no se puede afirmar con total
rotundidad, ya que se podra dar el caso de que alguien sustrajera la clave privada
del verdadero propietario.
En consecuencia, un documento firmado electrnicamente slo aporta evidencia
necesaria pero no suficiente, de que el propietario de la clave privada ha sido quien
efectivamente ha firmado el mensaje. Lo nico que s se puede afirmar es que la
firma digital ha sido generada por dicha clave privada.
En la figura 1.6, un emisor ha generado una firma digital a partir del cifrado de una
huella mediante su propia clave privada. Este extracto ser analizado por el receptor
(lo descifrar mediante la clave pblica del emisor) y comprobar la autenticidad de
su identidad.
La propiedad de no repudio lleva implcita la de autenticidad, es decir, si un
documento por naturaleza es no repudiable, tambin ser autntico. Pero por el
contrario, la autenticidad de un mensaje no es condicin suficiente para asegurar su
no repudio.
 Emisor Receptor

Figura 1.6: Propiedad de no repudio

Fuente: Pfeeger P. C., Security in Computing, 1997

" De acuerdo a (Sklar, B.,2000) un ataque a un sistema de comunicacin, que

tcnicamente se define como la materializacin de una amenaza, es una condicin de
entorno que, bajo determinadas circunstancias, podra dar lugar a una violacin de
alguna de las propiedades de los sistemas de informacin (confidencialidad, integridad,
autenticidad y no repudio).
Existe cuatro grandes categoras de ataques: intercepcin (acceso no autorizado a un
recurso), interrupcin (destruccin de un recurso), modificacin (alteracin del
contenido original de un recurso) y fabricacin (generacin de un recurso fraudulento).
Cualquiera de estos ataques afectar el flujo normal de la informacin que transcurre
entre un origen y un destino (ver figura 1.7).
A su vez, el conjunto de ataques que se acaba de exponer se engloba dentro de dos
clases distintas:
Pasivos.
Activos.

Pasivos:
Los ataques pasivos son aquellos en los que el intruso no altera el contenido de la
informacin trasmitida, nicamente se dedica a escuchar o monitorizar el flujo de los
datos. Estos tipos de ataques se centran en la deteccin de las identidades del
emisor y el receptor, el control del volumen de trfico intercambiado as como el
anlisis del mismo (con el objetivo de obtener informacin acerca de la actividad o
actividades inusuales) y la vigilancia de las horas habituales de intercambio de datos
entre los participantes del sistema de comunicacin (buscando extraer informacin
acerca de los perodos de actividad).

Activos.
Los ataques activos implican algn tipo de alteracin en el flujo original de datos
transmitidos o la creacin de una trama fraudulenta. Esta clase de ataques son
relativamente fciles de detectar, pero por el contrario, es muy difcil prevenirlos, ya
que para conseguirlo se requerira de una proteccin fsica constantes de todos los
recursos y rutas de comunicacin. Por lo tanto, el objetivo principal ser la deteccin
y recuperacin lo ms rpidamente posible, de cualquier perturbacin o retardo que
hayan podido ocasionar. Para evitarlos se suelen emplear tcnicas de autenticacin.
Dentro de los tipos de ataques activos nos encontramos con los enmascarados (un
intruso se hace pasar por un participante real), repetitivos (un mensaje es
interceptado y repetido posteriormente), modificacin del mensaje (se altera, retrasa
o reordena un mensaje) y denegacin del servicio (degradacin temporal o
permanente de unos determinados recursos). Los ataques de intercepcin,
interrupcin, modificacin y fabricacin estn clasificados dentro del grupo de los
activos.

Intercepcin<"
A travs de un ataque de intercepcin o ataque a la confidencialidad de un
sistema, un elemento no autorizado consigue acceso a un recurso no
compartido. En el esquema de la figura 1.8, una tercera persona ajena al
proceso de comunicacin intercepta el mensaje enviado entre el emisor y el
receptor.
Ejemplos tpicos de esta clase de ataques seran el uso del ancho de banda de
la red o la copia ilcita de archivos o programas.
 "
Interrupcin<"
Mediante un ataque de interrupcin o ataque a la disponibilidad de un sistema,
un recurso no compartido se destruye, no llega a estar disponible o se inutiliza
completamente. En el esquema de la figura 1.9, una tercera persona ajena al
proceso de comunicacin intercepta el mensaje que el emisor trata de enviar al
receptor, no llegando la informacin al destino en ningn momento.
Ejemplos tpicos de esta clase de ataques seran la destruccin de un sistema
hardware o el corte de una lnea de comunicacin.
 Modificacin<""
A travs de un ataque de modificacin o ataque a la integridad de un sistema, un
recurso no compartido es interceptado y manipulado por personal no autorizado
antes de llegar al destino final. En el esquema de la figura 1.10, una tercera
persona ajena al proceso de comunicacin intercepta el mensaje que el emisor
trata de enviar al receptor, altera su contenido original y se lo hace llegar
nuevamente al destinatario (una vez modificado).

Ejemplos tpicos de esta clase de ataques seran la alteracin de los datos

enviados a travs de una red o la modificacin del contenido o funcionamiento de
un programa.

Fabricacin:
Mediante un ataque de fabricacin o ataque a la autenticidad de un sistema,
personal no autorizado genera un recurso que hace llegar al destinatario de un
sistema de informacin, hacindose pasar por el autntico emisor y engaando
de esta forma al receptor del canal. En el esquema de la figura 1.11, una tercera
persona ajena al proceso de comunicacin fabrica un mensaje y se lo hace llegar
al destinatario, suplantando de esta manera la identidad original de la conexin.
 Un ejemplo tpico de esta clase de ataque sera introducir informacin
fraudulenta en una red sin que los participantes de ella se dieran cuenta del
engao.

De acuerdo a (Kosiur, D. 1998) los diferentes integrantes de las redes privadas

virtuales son: redes privadas o locales, redes inseguras, tneles VPN, servidores,
routers, usuarios remotos o road warriors, y oficinas remotas o gateways.
El tnel VPN es el canal de comunicacin seguro a travs del cual, los dos extremos
finales (oficinas remotas y usuarios remotos) pueden enviar informacin de manera
confidencial. Para ellos, dichos datos son cifrados antes de ser enviados por el tnel.
Los servidores pertenecen al grupo de recursos compartidos a los que se debe
proteger, y estn situados dentro de las subredes locales. Cuando el tnel VPN est
establecido, los distintos clientes que hayan sido acreditados para poder utilizar el
enlace virtual, pueden acceder de forma privada a dichos recursos y servicios
compartidos, sin que personal ajeno al sistema y ubicado dentro de la red insegura,
pueda interceptar e interpretar la informacin intercambiada.
Y por ltimo el router es el dispositivo que hace de interfaz real entre las subredes
locales y la red insegura (o entre distintas subredes internas).
 Tnel VPN:
Un tnel VPN es un canal de comunicacin a travs del cual fluye la informacin de
forma cifrada, es decir, confidencialmente, sin que cualquier otro elemento ajeno al
origen y destino de la conexin puedan interpretar los datos que viajan a travs de
l.
En la figura 1.12 se presenta un tnel VPN que atraviesa una red insegura. Si un
intruso capturara algn paquete enviado a travs de l, no le servira de nada, ya
que ste sera totalmente ilegible. La nica persona que podra leerlo correctamente
sera aquella que tuviera la clave privada necesaria para poder descifrarlo.

"
Usuario remoto o road warrior:
Un usuario remoto o road warrior es un elemento mvil, que como cliente, tiene la
posibilidad de conectarse a una oficina remota a travs de una VPN, con el objetivo
de acceder a los recursos privados situados detrs del Gateway (ver figura 1.13).
 El usuario remoto puede estar situado en cualquier lugar del mundo (en su propia
casa, en una biblioteca pblica, de vacaciones en unas islas paradisacas, etc.), y en
un momento dado, puede tener la necesidad de acceder de forma confidencial a los
servicios compartidos de una determinada red. Una vez que la VPN est
establecida, el road warrior virtualmente est dentro de la red remota (segmento
aislado del exterior) y puede disponer de los mismos recursos a los que tendra
acceso en caso de encontrarse fsicamente dentro de la misma red.

Oficina remota o Gateway:

Una oficina remota o Gateway (ver figura 1.14) es una mquina encargada de hacer
la funcin de puente VPN entre uno o varios elementos (usuarios remotos. Oficinas
remotas, etc.), y la subred local. La oficina remota tendr la facultad de otorgar o no
acceso a los recursos compartidos que alberga, en funcin de una serie de permisos
previamente establecidos (claves privadas, certificados digitales, nombres de
usuarios, contraseas, polticas de seguridad, etc.).

Por norma general, un servidor VPN se configurar cuando se quiera administrar el

acceso privado de uno o varios usuarios remotos a unos determinados recursos que
se quieran proteger, como por ejemplo servidores de correo, bases de datos, etc.
Una oficina remota tambin ser de gran utilidad cuando se quiera establecer un
tnel virtual y dedicado con otras subredes remotas. Para este ltimo caso, en el
otro extremo del canal de comunicacin tambin ser necesario establecer otro
Gateway VPN que haga de interfaz con dicha subred remota.
" De acuerdo a (Alonso J. A., 2009) los distintos tipos de VPN corresponden con
un tipo de situacin distinta, pudiendo tener la necesidad de conectar directamente dos
usuarios (punto a punto), dos o ms oficinas remotas entre s (LAN a LAN), o varios
clientes contra una nica oficina remota (LAN a road warrior).
El esquema de LAN a road warrior es utilizado por todos los tipos de VPN (IPSec, SSL,
PPTP y L2TP/IPSec), mientras que el de punto a punto y LAN a LAN slo es utilizado
para IPSec y SSL.

Punto (road warrior) a punto (road warrior):

En una VPN punto a punto, dos usuarios remotos establecen un tnel VPN a travs
de una red insegura. Una vez que el canal privado est establecido, los datos que
se intercambien entre ellos viajan cifrados, es decir, aunque una tercera persona
capture los paquetes enviados, nunca podr interpretarlos (ver figura 1.15).

Usuario remoto 1
Usuario remoto 2

Red insegura

Figura 1.15.: VPN punto a punto

Fuente: Alonso J. A., Redes Privadas Virtuales, 2009
"

Este tipo de configuracin puede darse por ejemplo cuando se quiere establecer un
canal de comunicacin seguro con otra persona que se encuentra en cualquier lugar
del mundo, con el objetivo de poder enviarle o recibir de ella informacin de forma
confidencial. El tnel VPN se puede establecer y desconectar todas las veces que
se desee.
 LAN (oficina remota) a LAN (oficina remota):
En una VPN LAN a LAN, dos oficinas remotas establecen un tnel VPN a travs de
una red insegura. Una vez que el canal privado est establecido, los datos
intercambiados entre ambos gateways viajan cifrados a travs del tnel.
En la figura I.16, se ha establecido un tnel VPN entre la oficina remota 1 y la oficina
remota 2, es decir, la informacin viaja encriptada exclusivamente entre estos dos
puntos finales. De esta forma, cuando por ejemplo la PC quiera guardar un archivo
en el servidor a travs del enlace virtual, la oficina remota 2 lo cifrar y lo enviar a
travs del tnel, con destino a la oficina remota 1. A su vez, este Gateway es el
encargado de descifrarlo y envirselo al servidor.
Este tipo de configuracin puede darse por ejemplo cuando un a compaa dispone
de varias sedes en distintos lugares geogrficos. Una de las posibles soluciones
para enlazar de forma segura todas las entidades, sera establecer una oficina
remota VPN en cada uno de los extremos, de tal forma que ellas mismas seran las
encargadas de encriptar y desencriptar la informacin intercambiada antes de que
este por realizarse la conexin a Internet.

Oficina remota 1 Oficina remota 2

Red privada Red privada

Red insegura

Servidor
PC

Figura 1.16.: VPN LAN a LAN

Fuente: Alonso J. A., Redes Privadas Virtuales, 2009
"
 LAN (oficina remota) a road warrior:
En una VPN LAN a road warrior, uno o ms usuarios remotos establecen un enlace
virtual con un Gateway, con el objetivo de acceder a los recursos situados detrs de
ste. En la figura 1.17 puede observarse que dos usuarios remotos han establecido
grandes tneles VPN hacia la oficina remota, pudiendo de esta forma enviar y recibir
datos de forma privada a travs de la red insegura.
Un ejemplo bastante comn de este tipo de escenario puede darse cuando el
empleado de una empresa no se encuentra en su lugar habitual de trabajo (se ha
tenido que quedar en su casa, est trabajando desplazado a otra entidad, etc.), y
necesita acceder de forma confidencial a ciertos recursos de su compaa, estando
stos ubicados dentro de la propia red corporativa. Para solventar este problema, se
puede establecer un tnel VPN entre el road warrior y la oficina remota de su
entidad, pudiendo de esta forma acceder a dichos recursos como si fsicamente se
encontrara conectado al mismo segmento de red interno.

Oficina remota Usuario remoto 1

Red insegura

Red privada

Servidor
Usuario remoto 2

Figura 1.17.: VPN LAN a road warrior

Fuente: Alonso J. A., Redes Privadas Virtuales, 2009
Tghgtgpekcu0"
"
1. Alonso Javier Andrs; Redes Privadas Virtuales; 2009.
2. Mason Andrew G.; Cisco Secure Virtual Private Network; 2001.
3. Kosiur, Dave; Building and Managing Virtual Private Networks; 1998.
4. Yuan Ruixi y Strayer Timothy; Virtual Private Networks Technologies and
Solutions; 2001.
5. Pfeeger P. Charles; Security in Computing; 1997.
6. Sklar Bernard; Digital Communications, Fundamentals and Applications;
2000.
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
Fgucttqnnq"
"
Para la implementacin de nuestra VPN vamos a necesitar lo siguiente:

Tres PCs con dos particiones, una con sistema operativo SuSE 8.2 con todos los
paquetes necesarios instalados y otra con Windows XP.
Estos PCs disponen de dos tarjetas de red 10/100 ya que podrn hacer a su
vez la funcin de ruteo.
Una laptop con dos particiones, una para Windows XP con SP2 (Service Pack 2)
y una distribucin de Linux, Kubuntu 7.04 Feisty.
3 Switch Micronet EtherFast 10/100M.
Cables RJ-45 Cat 5e para la interconexin.

Vamos a simular un tnel sencillo y seguro de LAN a LAN para interconectar dos
oficinas, que estn en distintos puntos de la ciudad; con dicho tnel las redes internas
de cada oficina pueden transmitir datos seguros, a travs de dicho tnel. De esta
manera, una maquina situada dentro de la red de la oficina aparenta que est en la red
de otra oficina que puede estar separadas cientos o miles de kilmetros utilizando para
ello Internet y OpenVPN.

Ctswkvgevwtc0"
"
En el siguiente diagrama se muestra la arquitectura de la red empresarial hasta
la etapa de la VPN que es en la que nos vamos a enfocar.
Para el caso de nuestra VPN y teniendo como antecedente que la red empresarial est
compuesta por todos los elementos de la figura anterior nos enfocaremos en la etapa
de la VPN de ambas empresas dando como resultado la arquitectura del siguiente
diagrama:

PSTN

OFICINA B OFICINA A

Internet

SERVIDOR OPENVPN PC A
CLIENTE OPENVPN IP_INTERNA = 192.168.1.254 (ETH0) IP = 192.168.1.1 (ETH0)
PC B
IP_INTERNA = 192.168.2.254 (ETH0) IP_EXTERNA = 212.128.44.254 (ETH1)
IP = 192.168.2.1 (ETH0)
IP_EXTERNA = 212.128.44.253 (ETH1) IP_TNEL = 10.8.0.1 (TUN0)
IP_TNEL = 10.8.0.2 (TUN0)

En este diagrama las mquinas que hacen de extremos del tnel (Cliente y Servidor
OpenVPN) tendrn sistemas operativos SuSE 8.2 ya que, de esta manera, OpenVPN
podr asignar las direcciones IP de los extremos del tnel de uno en uno (como sucede
en los protocolos punto a punto).
A continuacin vamos a describir la configuracin del sistema operativo donde se
encuentra ubicado el servidor OpenVPN, como por ejemplo, la asignacin de las IPs,
incluir alguna ruta, etc.
Para ello, primero paramos el proceso rcnetwork de todas las mquinas y asignamos
las direcciones IP a cada interfaz de red de las mquinas.

En todas las mquinas:

tepgvyqtm"uvqr"
"
Servidor OpenVPN:
kheqphki"gvj2"3;4038:030476"wr"
kheqphki"gvj3"434034:0660476"wr"
"
Cliente OpenVPN:
kheqphki"gvj2"3;4038:040476"wr"
kheqphki"gvj3"434034:0660475"wr"

PC A:
kheqphki"gvj2"3;4038:0303"wr"
"
PC B:
kheqphki"gvj2"3;4038:0403"wr"
"
Tambin tenemos que habilitar el IP-forwarding para que las mquinas que tienen
OpenVPN instalado (las mquinas extremo que son el cliente y el servidor) puedan
retransmitir los paquetes que llegan de una interfaz de red a la otra interfaz de red.
Adems tenemos que cargar los mdulos TUN/TAP en el sistema operativo.

En el Cliente OpenVPN y Servidor OpenVPN:

gejq"3fi"@"1rtqe1u{u1pgv1krx61krahqtyctf"
oqfrtqdg"vwp"
"
En este punto, solo tenemos comunicacin entre las dos mquinas que incluyen
OpenVPN (cliente y servidor OpenVPN) y entre mquinas de la misma oficina. Para que
los PCs que hay dentro de la red de las oficinas (PC A y PC B) y las maquinas
OpenVPN puedan comunicarse con la red de la otra oficina se ha de incluir una nueva
entrada en la tabla de rutas del servidor OpenVPN y del cliente OpenVPN.

Servidor OpenVPN:
tqwvg"cff"pgv"3;4038:0402"pgvocum"4770477047702"iy"320:0204"
"
Cliente OpenVPN:
tqwvg"cff"pgv"3;4038:0302"pgvocum"4770477047702"iy"320:0203"
"
"
"
"
Ugiwtkfcf"Korngogpvcfc0"
"
Para poder utilizar el modo de seguridad mediante TLS tendremos que
establecer una infraestructura de clave pblica o PKI, que consiste en:

Un certificado pblico (conocido tambin como clave pblica) y una clave privada
para el servidor y un certificado pblico y una clave privada para cada cliente.
Un certificado pblico y clave privada de la Autoridad Certificadora (CA) que
tendr la funcin de firmar cada uno de los certificados del cliente y del servidor.

En este ejercicio hemos implementado el modelo de seguridad mediante certificados,

es decir utilizando PKI y el protocolo TLS para establecer un canal seguro y poder
generar las claves necesarias.
Primero creamos la Autoridad Certificadora (CA), que generar dos archivos: ca.crt y
ca.key. El archivo ca.key lo podemos guardar en algn dispositivo seguro que no tenga
conexin (por seguridad) pero el archivo ca.crt tenemos que tenerlo tanto en el Cliente
OpenVPN como en el Servidor OpenVPN. Para transferir el archivo ca.crt a ambas
mquinas (Cliente y Servidor OpenVPN) tenemos que utilizar algn canal seguro que
proporcione algn protocolo o aplicacin como por ejemplo, se propone utilizar WinSCP
o alguna aplicacin similar.

En el Servidor o Cliente OpenVPN mandamos los siguientes comandos y

posteriormente lo hacemos con la otra mquina:

0"01xctu"
01engcp/cnn"
01dwknf/ec"

Despus de hacer la CA se tiene que hacer, en la misma mquina donde se ha creado

la CA, el certificado pblico y la clave privada del Servidor OpenVPN y transferirla en
caso de no haberla creado en la mquina Servidor OpenVPN mediante un canal
seguro. En este desarrollo se ha creado una clave privada y un certificado llamados
servidor.key y servidor.cert.

0"01xctu"
01dwknf/mg{/ugtxgt"ugtxkfqt"

Despus hacemos el mismo procedimiento para crear el certificado y la clave privada

del Cliente OpenVPN. En este caso llamamos a los archivos cliente.key y cliente.crt.
Estos archivos tienen que ser transferidos al Cliente OpenVPN mediante un canal
seguro en el caso de no haber sido creados en dicha mquina.

0"01xctu"
01dwknf/mg{"enkgpvg"
"
Para acabar de implementar la seguridad de nuestra configuracin es necesario
generar los parmetros Diffie Hellman (es un protocolo de establecimiento de claves
entre partes que no han tenido contacto previo, utilizando un canal inseguro, y de
manera annima). En este caso, el archivo generado, dh1024.pem (o dh2048.pem,
segn el tamao de la clave para RSA) solo debe estar ubicado en la mquina Servidor
OpenVPN, por lo que habra que transferirlo sobre un canal seguro nicamente en el
caso de generar este fichero en otra mquina que no sea el Servidor OpenVPN.

0"01xctu"
01dwknf/fj"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
Ctejkxqu"fg"Eqphkiwtcekp0"
"
Vamos a describir cada lnea incluida en los archivos de configuracin del
Servidor OpenVPN, llamado servidor.conf, y del Cliente OpenVPN, llamado
cliente.conf. Como ya se coment anteriormente esta configuracin se realiz
utilizando mquinas Linux, por lo que la extensin de los archivos de configuracin es
.conf.

El archivo de configuracin del Servidor OpenVPN (servidor.conf) es el siguiente:

nqecn"434034:0660476"
rqtv"33;6"
fgx"vwp"
rtqvq"wfr"
kheqphki"320:0203"320:0204"
vnu/ugtxgt"
fj"fj32460rgo"
ec"ec0etv"
egtv"ugtxkfqt0etv"
mg{"ugtxkfqt0mg{"
eqor/n|q"
mggrcnkxg"32"342"
rgtukuv/mg{"
rgtukuv/vwp"
uvcvwu"qrgpxrp/uvcvwu0nqi"
xgtd"8"
"
Vamos a describir lo que hace cada lnea del archivo de configuracin del Servidor
OpenVPN (servidor.conf):

nqecn" 434034:0660476<" vincula OpenVPN a la interfaz con la direccin IP

212.128.44.254.
rqtv"33;6<"Declaracin de puerto a usar que es el puerto 1194.
fgx"vwp<"indica que vamos a implementar un tnel mediante un dispositivo tun
de los drivers TUN/TAP.
rtqvq" wfr<" nos indica que se utilizar un protocolo UDP como protocolo de
transporte del tnel.
kheqphki" 320:0203" 320:0204<" indicamos que el Servidor OpenVPN va a tener la
direccin IP en su interfaz tun 10.8.0.1 y que, en el otro extremo del tnel, el
Cliente OpenVPN tendr la direccin IP en su interfaz tun 10.8.0.2.
vnu/ugtxgt<"indica que esta mquina actuar como servidor durante el
establecimiento del protocolo TLS.
fj"fj32460rgo<"cargamos los parmetros Diffie Hellman.
ec"ec0etv<"cargamos el certificado pblico de la CA.
egtv"ugtxkfqt0etv<"cargamos el certificado del Servidor OpenVPN.
mg{"ugtxkfqt0mg{<"cargamos la clave privada del Servidor OpenVPN.
 eqor/n|q<"indica que se va a utilizar la librera de compresin LZO.
mggrcnkxg" 32" 342<" se puede traducir en que el Servidor OpenVPN enviar un
ping cada 10 segundos y esperar 120 segundos mximo para recibir respuesta,
sino deducir que el otro extremo (el Cliente OpenVPN) se ha cado.
rgtukuv/mg{<" permite que las claves no tengan que ser re-ledas cuando el
Servidor OpenVPN es reiniciado.
rgtukuv/vwp<"permite que el tnel no tenga que ser cerrado y re-abierto de nuevo
tras reiniciar el Servidor OpenVPN.
uvcvwu"qrgpxrp/uvcvwu0nqi<"indica el archivo donde se depositar la informacin
sobre el estado del tnel.
xgtd"8<"indica el grado de detalle de informacin del estado del tnel.

El archivo de configuracin del Cliente OpenVPN (cliente.conf) es el siguiente:

fgx"vwp"
rtqvq"wfr"
tgoqvg"434034:0660476"33;6"
kheqphki"320:0204"320:0203"
vnu/enkgpv"
pqdkpf"
ec"ec0etv"
egtv"enkgpvg0etv"
mg{"enkgpvg0mg{"
eqor/n|q"
tguqnx/tgvt{"kphkpkvg"
mggrcnkxg"32"342"
rgtukuv/mg{"
rgtukuv/vwp"
uvcvwu"qrgpxrp/uvcvwu0nqi"
xgtd"8"
"
Vamos a describir lo que hace cada lnea del archivo de configuracin del Cliente
OpenVPN (cliente.conf):

fgx"vwp<"indica que vamos a implementar un tnel mediante un dispositivo tun

de los drivers TUN/TAP.
rtqvq"wfr<"Indica que se utilizar el protocolo UDP como protocolo de transporte
del tnel.
tgoqvg" 434034:0660476" 33;6<" indica la IP de la mquina que se tiene que
conectar para establecer el tnel y utilizando el puerto 1194 asignado por la
IANA.
kheqphki"320:0204"320:0203<"indica que el Cliente OpenVPN va a tener la direccin
IP en su interfaz tun 10.8.0.2 y que, en el otro extremo del tnel, el Servidor
OpenVPN tendr la direccin IP en su interfaz tun 10.8.0.1.
vnu/enkgpv<" indica que esta mquina actuar como cliente durante el
establecimiento del protocolo TLS.
 pqdkpf<" hacemos que OpenVPN no se vincule a la IP local y puerto de esta
mquina. Esta directiva se utiliza cuando utilizamos la directiva remote.
ec"ec0etv<"carga el certificado de la CA.
egtv"enkgpvg0etv<"carga el certificado del Cliente OpenVPN.
mg{"enkgpvg0mg{<"carga la clave privada del Cliente OpenVPN.
eqor/n|q<"indica que se va a utilizar la librera de compresin LZO.
tguqnx/tgvt{" kphkpkvg<" el cliente intentar de manera indefinida resolver la
direccin o nombre de host dado por la directiva remote.
mggrcnkxg"32"342<"se puede traducir en que el Cliente OpenVPN enviar un ping
cada 10 segundos y esperar 120 segundos mximo para recibir respuesta, sino
se deducir que el otro extremo (el Servidor OpenVPN) se ha cado.
rgtukuv/mg{<" permite que las claves no tengan que ser re-leidas cuando el
Cliente OpenVPN es reiniciado.
rgtukuv/vwp<"permite que el tnel no tenga que ser cerrado y re-abierto de nuevo
tras reiniciar el Cliente OpenVPN.
uvcvwu"qrgpxrp/uvcvwu0nqi<"indica el archivo donde se depositara la informacin
del estado del tnel.
xgtd"8<"indica el grado de detalle de informacin del estado del tnel.

"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
Tguwnvcfqu"{"Eqpenwukqpgu"
"
Tras terminar la instalacin de nuestro diseo se ha comprobado, que existe
comunicacin entre ambos extremos de la VPN (Cliente OpenVPN y Servidor
OpenVPN) y que tambin existe comunicacin entre los PCs de ambas oficinas (PC A y
PC B).

Cliente OpenVPN Oficina B<"

IP_Interna = 192.168.2.254

Del Cliente OpenVPN de la oficina B mandamos un ping a la IP interna del Servidor

OpenVPN de la oficina A.
PC Oficina B<"
IP_Interna = 192.168.2.1

De la PC de la oficina B mandamos un ping a la IP interna de la PC de la oficina A.

 Como se puede ver y se ha podido comprobar mediante el comando ping,
existe comunicacin entre ambos extremos del tnel (Cliente OpenVPN y Servidor
OpenVPN), de manera que la informacin que sale desde una de estas mquinas y
llega hasta la otra mquina va cifrada.
Por otra parte, tambin existe comunicacin entre las mquinas de ambas oficinas (PC
A y PC B) de manera que la informacin que va desde la oficina A hasta la oficina B va
por el tnel, por lo que va cifrada de manera segura.

Ahora si ejemplificamos y desarrollamos nuestro diagrama con Packet Tracer quedara

de la siguiente manera:

OFICINA B VPN OFICINA A

IP1 = 192.168.2.254 IP1 = 192.168.1.254

MASCARA1 = 255.255.255.0 MASCARA1 = 255.255.255.0
IP2 = 212.128.44.253 IP2 = 212.128.44.254
MASCARA2 = 255.255.255.0 MASCARA2 = 255.255.255.0

IP = 192.168.2.1
MASCARA = 255.255.255.0
GATEWAY = 192.168.2.254 IP = 192.168.1.1
MASCARA = 255.255.255.0
GATEWAY = 192.168.1.254

Aqu para poder establecer la VPN entre los dos sitios tenemos que configurar cada
uno de los routers (Oficina B y Oficina A).
Bsicamente la configuracin de los 2 routers es la misma con algunas cuantas
diferencias; la configuracin de dichos routers es la siguiente:
"
hostname R2
Le asigna el nombre al router de R2.
crypto isakmp policy 1
Define la poltica de intercambio de claves de Internet (IKE)
encr aes
Especifica que el AES ser de 256 bits.
Algoritmo de encriptacin dentro de una poltica IKE.
authentication pre-share
Especifica que se utiliza la autenticacin de clave pre-compartida.
group 2
Especifica el identificador de grupo del algoritmo de Diffie Hellman.
crypto isakmp key 0 address 212.128.44.254
Especifica el secreto compartido.
crypto ipsec security-association lifetime seconds 86400
Cambia los valores globales de tiempo de vida usado cuando se negocia con la
seguridad IPSec.
crypto ipsec transform-set yasser esp-aes esp-sha-hmac
Define el conjunto de transformacin a IPSec.
crypto map auda 100 ipsec-isakmp
Define el nombre de entrada del mapa criptogrfico de nombre "auda" que utilizar IKE
para establecer las asociaciones de seguridad (SA).
set peer 212.128.44.254
Especifica el par IPSec.
set pfs group2
Activa el secreto por adelantado.
set security-association lifetime seconds 86400
Define el tiempo de vida de las polticas de seguridad.
set transform-set yasser
Define el conjunto de transformacin como yasser.
match address ramzy
Casa la direccin IP con el nombre ramzy.
spanning-tree mode pvst
Habilita el modo PVST en su configuracion inicail.
interface FastEthernet0/0
Habilita la interface Ethernet 0/0 del router.
ip address 192.168.2.254 255.255.255.0
Le asigna la direccin IP y mascara a la interface activa.
duplex auto
Configura en forma automtica el modo de comunicacin bidireccional.
speed auto
Configura en forma automtica la velocidad.
interface FastEthernet0/1
Habilita la interface Ethernet 0/1 del router.
ip address 212.128.44.253 255.255.255.0
Le asigna la direccin IP y mascara a la interface activa.
duplex auto
Configura en forma automtica el modo de comunicacin bidireccional.
speed auto
Configura en forma automtica la velocidad.
crypto map auda
Crea un mapa criptogrfico con el nombre auda
interface Vlan1
Habilita la VLAN 1.
no ip address
No le asigna direccin IP a la VLAN.
Shutdown
Para el seguimiento del Puerto.
ip classless
Este comando permite al software el envi de paquetes que estn destinados para sub
redes desconocidas de las directamente conectadas a la red.
ip route 192.168.1.0 255.255.255.0 212.128.44.254
Este comando establece el ruteo esttico del rango de direcciones IP 192.168.1.X con
la mscara establecida a travs de la IP 212.128.44.254.
ip access-list extended ramzy
Establece la lista de acceso extendida ramzy.
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Permite el acceso del rango de la primera IP a la segunda.
line con 0
Empieza la configuracin de terminal en la lnea nmero 0.
line vty 0 4
Empieza la configuracin de la terminal virtual de la lnea numero 0 a la lnea nmero 4.
Login
Inicio de sesin.
End
Fin de la configuracin.

Como conclusin podemos decir que ya una vez configurado el sistema existe
comunicacin entre las PCs que son de distintas oficinas.
Esto lo podemos ver en la siguiente figura:
Y que dichas PCs a su vez tienen comunicacin con los routers que no son de su rea.
Esto lo podemos ver en la siguiente figura:

"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
DKDNKQITCHKC0"

Mason Andrew G.; Cisco Secure Virtual Private Network; 2001.

Feilner Markus; OpenVPN. Building and Integrating Virtual Private Networks; 2006.

Viega John, Messier Matt & Pravir Chandra; Network Security with OpenSSL; 2002.

Snader Jon C.; VPNs Illustrated: Tunnels, VPNs and IPsec; 2005.

Comer Douglas E.; Internetworking with TCP/IP. Principles, protocols and architectures;
2006.

Kosiur, Dave; Building and Managing Virtual Private Networks; 1998.

Yuan Ruixi y Strayer Timothy; Virtual Private Networks Technologies and Solutions;
2001.

Pepelnjak Ivan y Guichard Jim; MPLS and VPN Architectures; 2001.

Sklar Bernard; Digital Communications, Fundamentals and Applications; 2000.

Alonso Javier Andrs; Redes Privadas Virtuales; 2009.

Mason Andrew G.; Cisco Secure Virtual Private Network; 2002.

Pfeeger P. Charles; Security in Computing; 1997.

CEGTEC"FGN"CWVQT0"
Alberto Landa Paleo es ingeniero en Comunicaciones y Electrnica egresado de
la ESIME Culhuacn (IPN) en el ao de 1998. Durante su carrera profesional se ha
enfocado en el mbito del audio y video; la automatizacin de salas de juntas y centros
de monitoreo; la instalacin de Auditorios y la imparticin de cursos de programacin
para la siguientes generaciones de programadores de sistemas de control marca
Crestron.
En este momento se encuentra cursando la maestra en ingeniera en Sistemas en la
Universidad del Valle de Mxico campus TLALPAN porque quiere seguir
desarrollndose intelectualmente y laboralmente y tener las herramientas para
incursionar en nuevas y diferentes reas de trabajo aparte de las que ha venido
desarrollando desde hace 14 aos.

"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
INQUCTKQ"FG"VGTOKPQU0"
"
CFUN"*NKPGC"FG"CDQPCFQ"FKIKVCN"CUKOVTKEC+0"
Tecnologa de acceso a Internet de banda ancha que permite enviar voz y datos de
forma simultnea, todo ello a travs del mismo par trenzado de cobre que utiliza la lnea
telefnica convencional.

CGU"*GUVCPFCT"FG"EKHTCFQ"CXCP\CFQ+0"
Es un algoritmo de cifrado de clave simtrica, adoptado como estndar en el ao 1997
por el Instituto Nacional de Estndares y Tecnologa. Entre sus principales
caractersticas destacan su buena combinacin de seguridad, velocidad, eficiencia,
sencillez y flexibilidad.

CJ"*ECDGEGTC"FG"CWVGPVKHKECEKP+0"
Proporciona autentificacin e integridad de datos calculando un resumen sobre los
paquetes a enviar, por en cambio, no ofrece confidencialidad.

CTR"*RTQVQEQNQ"FG"TGUQNWEKP"FG"FKTGEEKQPGU+0"
Protocolo de red encargado de traducir direcciones de alto nivel (IP) a direcciones
fsicas (MAC).

CWVGPVKEKFCF0"
Caracterstica que trata de asegurar el origen de una informacin, evitando de esta
forma posibles suplantaciones. El trmino de autentificacin esta ligado a identidad, es
decir, se busca acreditar el conjunto de rasgos o atributos que caracterizan a un
mensaje fuente al titular del mismo.

EC"*CWVQTKFCF"FG"EGTVKHKECEKP+0"
Entidad de confianza responsable de emitir, revocar y suspender certificados digitales.

"
"
EER"*RTQVQEQNQ"FG"EQPVTQN"FG"EQORTGUKP+0"
Este protocolo tiene las funciones de activar, desactivar y configurar los algoritmos de
compresin de datos empleados en ambos extremos de un enlace punto a punto.

EJCR"*RTQVQEQNQ"FG"CWVGPVKECEKP"RQT"FGUCHQ"OWVWQ+0"
Protocolo de validacin basado en un proceso de desafo-respuesta. El servidor enva
una cadena de texto y el cliente emplea su propia clave privada para generar una firma
digital a partir del algoritmo MD5. El servidor remoto comprobar si el extracto digital es
o no vlido.

ETKRVQCPNKUKU0"
Conjunto de tcnicas y procesos destinados a averiguar la clave privada utilizada por
los participantes de una comunicacin confidencial.

ETKRVQITCHC0"
Arte de escribir con clave secreta o de un modo enigmtico.

ETN"*NKUVC"FG"TGXQECEKP"FG"EGTVKHKECFQU+0"
Lista de certificados anulados emitida por una Autoridad de Certificacin, en donde
aparecen los certificados digitales que han sido suspendidos antes de su periodo de
vencimiento.

FGU"*GUVPFCT"FG"GPETKRVCEKP"FG"FCVQU+0"
Algoritmo de cifrado de clave simtrica, encargado de cifrar un texto en claro a travs
de una cadena de permutaciones y sustituciones. El algoritmo utiliza una clave
simtrica de 64 bits, de los cuales 56 son empleados para el proceso de encriptacin y
los 8 restantes para la deteccin de errores.

FO\"*\QPC"FGUOKNKVCTK\CFC+0"
Segmento de red aislado de otras zonas a travs de un firewall, y donde se ubican
aquellas mquinas que ofrecen servicios accesibles desde fuera de la red corporativa.
FPCV"*VTCFWEEKP"FG"FKTGEEKP"FG"TGF"FGUVKPQ+0"
Modificacin dela direccin IP" y/o puerto destino de los paquetes. Se emplea
normalmente para publicar un servicio desde la red privada.

FQK"*FQOKPKQ"FG"KPVGTRTGVCEKP+0"
Ed un documento donde se definen los formatos de los datos, los tipos de intercambio
de trfico de red y las convenciones de denominacin de la informacin relativa a la
seguridad en IPSec.

FTF"*FGVGEEKP"FG"ECFCU"FG"NC"EQPGZKP+0"
Sistema basado en temporizadores que tiene como objetivo detectar cadas de
conexin en una lnea de transmisin de datos.

FUC"*CNIQTKVOQ"FG"HKTOC"FKIKVCN+0"
Sistema de autentificacin formado por una pareja de claves pblica y privada utilizado
para generar firmas digitales.

FUU"*GUVPFCT"FG"HKTOC"FKIKVCN+0"
Sistema de firma digital adoptado como estndar por la organizacin de estndares de
EEUU.

GUR"*ECTIC"FG"UGIWTKFCF"GPECRUWNCFC+0"
Protocolo que proporciona autenticacin, integridad y confidencialidad, utilizando para
ello mecanismos giles de cifrado, y cuya fiabilidad reside en el intercambio previo de
las claves.

HSFP"*PQODTG"FG"FQOKPKQ"EQORNGVCOGPVG"EWCNKHKECFQ+0"
Nombre de dominio inequvoco, que especifica de forma absoluta e irrevocable la
posicin del nodo dentro de la jerarqua en el rbol del DNS.

"
"
HVR"*RTQVQEQNQ"FG"VTCPUHGTGPEKC"FG"HKEJGTQU+0"
Protocolo perteneciente al nivel de aplicacin y utilizado para transferir archivos entre
diferentes equipos, ubicados stos en redes basadas en TCP/IP.

IRN"*NKEGPEKC"RDNKEC"IGPGTCN+0"
Licencia creada por la Fundacin para el Software Libre y orientada principalmente a
trminos de empleo, modificacin y distribucin de software.

ITG"*GPECRUWNCEKP"FG"TWVC"IGPTKEC+0"
Protocolo perteneciente al nivel de red utilizado para encaminar paquetes de datos
sobre redes IP, pudiendo tener esquemas de direccionamiento diferentes.

JFNE"*EQPVTQN"FG"GPNCEG"FG"FCVQU"C"CNVQ"PKXGN+0"
Protocolo de datos punto a punto perteneciente al nivel de enlace dentro del modelo de
referencia OSI. Ofrece una comunicacin segura entre los dos extremos, aportando
para ello mecanismos de control de la informacin.

JOCE" *EFKIQU" FG" CWVGPVKECEP" FG" OGPUCLGU" DCUCFQU" GP"

TGUOGPGU+0"
Resumen o huella digital de la carga til de un paquete, obtenida a partir de algoritmos
de autenticacin tales como SHA o MD5.

KECPP" *EQTRQTCKP" FG" KPVGTPGV" RCTC" NC" CUKIPCEKP" FG" PQODTGU" ["
POGTQU+0"
Organizacin presente a nivel mundial y encargada de asignar espacio de direcciones
numricas para los protocolos de Internet e identificadores de protocolo, y de las
funciones de administracin pertenecientes al sistema de nombres de dominio de
primer nivel y de cdigos de pases, as como la generacin de los servidores raz.

KEOR"*RTQVQEQNQ"FG"EQPVTQN"FG"OGPUCLGU"FG"KPVGTPGV+0"
Protocolo utilizado para gestionar mensajes de error y de control entre los distintos
elementos de la red.
"
KFGC"*CNIQTKVOQ"KPVGTPCEKQPCN"FG"EKHTCFQ"FG"FCVQU+0"
Algoritmo de cifrado de clave simtrica diseado en 1991. Este algoritmo aplica una
clave de 128 bits sin paridad a bloques de datos de 64 bits, realizando complejas
operaciones matemticas sobre bloques ms pequeos de 16 bits.

KGVH"*ITWRQ"FG"VTCDCLQ"GP"KPIGPKGTC"FG"KPVGTPGV+0"
Organizacin mundial de organizacin que tiene como principal objetivo la
estandarizacin de la arquitectura de red y los protocolos tcnicos de Internet, en
diversas reas tales como el transporte, la seguridad y el encaminamiento.

KMG"*IGUVKP"FG"ENCXGU"GP"KPVGTPGV+0"
Protocolo que genera y administra las claves de autenticacin utilizadas para proteger
la informacin de una comunicacin segura, empleando el puerto 500 de UDP.

KRUGE"*RTQVQEQNQ"FG"UGIWTKFCF"FG"KPVGTPGV+0"
Entorno de estndares abiertos basados en el protocolo IP, que ofrecen servicios de
autenticacin, cifrado e integridad de datos para asegurar las comunicaciones a travs
de dicho protocolo.

KRZ"*KPVGTECODKQ"FG"RCSWGVGU"GPVTG"TGFGU+0"
Protocolo de red no orientado a conexin, empleado para enviar y recibir informacin
entre las distintas mquinas de una red Novell.

KUCMOR" *RTQVQEQNQ" FG" CUQEKCEKP" FG" UGIWTKFCF" GP" KPVGTPGV" ["

CFOKPKUVTCEKP"FG"ENCXGU+0"
Define el protocolo de comunicacin entre dos nodos, el formato de los mensajes
intercambiados y el estado de las transacciones necesarias para establecer una
comunicacin segura.

NER"*RTQVQEQNQ"FG"EQPVTQN"FG"GPNCEG+0"
Protocolo encargado de establecer, configurar y comprobar una conexin de enlace de
datos.
"
NFCR"*RTQVQEQNQ"NKIGTQ"FG"CEEGUQ"CN"FKTGEVQTKQ+0"
Protocolo de red que permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversa informacin en un entorno de red.

N4H"*GZRGFKEKP"FG"NC"ECRC"FQU+0"
Protocolo de nivel de enlace desarrollado por Cisco. Permite establecer tneles entre
usuarios remotos y redes corporativas, pudiendo utilizar para ello medios de transporte
como Frame Relay o ATM.

N4VR"*RTQVQEQNQ"FG"VPGN"FG"PKXGN"FQU+0"
Protocolo estndar de tnel para internet basado en los protocolos L2F de Cisco y
PPTP. Es utilizado para encapsular los mensajes PPP entre nodos remotos a travs del
puerto 1701 UDP.

OF7"*CNIQTKVOQ"FG"TGUWOGP"FGN"OGPUCLG"7+0"
Algoritmo de autenticacin que toma como entrada un mensaje de longitud arbitraria y a
continuacin, genera un resumen de 128 bits, tambin conocido como huella digital.

ORRG"*GPETKRVCEKP"RWPVQ"C"RWPVQ"FG"OKEQUQHV+"
Este protocolo es empleado por PPTP para dotar de confidencialidad a los paquetes
PPP transmitidos a travs del tnel.

PCV"*VTCFWEEKP"FG"FKTGEEKP"FG"TGF+0"
Estndar que utiliza una o mas direcciones IP para conectar varias computadoras a otra
red, modificando las direcciones IP de los paquetes y corrigiendo la informacin
necesaria en los encabezados.

RMK"*KPHTCGUVTWEVWTC"FG"ENCXG"RDNKEC+0"
Conjunto de protocolos, servicios y estndares globales que soportan aplicaciones
basadas en criptografa de clave pblica. Ofrece registro, almacenamiento, seleccin y
recuperacin de claves, revocacin de certificados digitales y evaluacin de la
confianza.
"
RRR"*RTQVQEQNQ"FG"RWPVQ"C"RWPVQ+"
Protocolo que permite establecer una comunicacin a nivel de enlace entre dos
computadoras, a travs de una lnea sncrona o asncrona.

RRVR"*RTQVQEQNQ"FG"VPGN"RWPVQ"C"RWPVQ+"
Protocolo que permite la transferencia segura de datos desde el equipo remoto a una
red corporativa, creando para ello una red privada virtual sobre una red fsica de datos
TCP/IP. La conexin de control se realiza sobre el puerto 1723 (TCP).

TCTR"*RTQVQEQNQ"FG"TGUQNWEKP"FG"FKTGEEKQPGU"KPXGTUQ+0"
Protocolo de red encargado de traducir direcciones fsicas (MAC) a direcciones de alto
nivel (IP).

TE7"*EKHTCFQ"FG"TKXGUV+0"
Algoritmo de cifrado de clave simtrica desarrollado en 1995. El sistema criptogrfico
aplica una serie de operaciones sucesivas de tipo XOR sobre bloques de datos rotados,
pudiendo ser de 32, 64 o 128 bits.

TKR"*RTQVQEQNQ"FG"KPHQTOCEKP"FG"GPTWVCOKGPVQ+0"
Protocolo de encaminamiento que utiliza algoritmos de vector de distancia para calcular
la mtrica de las rutas entre nodos vecinos.

TUC"*TKXGUV."UJCOKT."CFNGOCP+0"
Algoritmo criptogrfico asimtrico basado en una pareja de claves (pblica y privada),
que pueden ser utilizadas al mismo tiempo tanto para cifrar una comunicacin como
para autentificar a sus participantes.

UC"*CUQEKCEKP"FG"UGIWTKFCF+0"
Acuerdo unidireccional entre los participantes de una VPN, referido a los mtodos y
parmetros empleados en la estructura del tnel, destinados stos a garantizar la
seguridad de los datos transmitidos.
UEGR"*RTQVQEQNQ"FG"KPUETKREKP"FG"EGTVKHKECFQ"UKORNG+0"
Protocolo orientado a ofrecer servicios de certificacin a dispositivos involucrados en el
establecimiento de redes privadas virtuales.

UER"*RTQVQEQNQ"FG"EQRKC"FG"UGIWTKFCF+0"
Protocolo seguro empleado para transferir ficheros entre un cliente y un servidor,
basndose en el protocolo SSH a la hora de realizar las labores de autenticacin y
cifrado.

UHVR"*RTQVQEQNQ"FG"VTCPUHGTGPEKC"UGIWTC"FG"CTEJKXQU+0"
Protocolo empleado para transferir archivos entre un cliente y un servidor basndose en
la arquitectura del protocolo FTP, pero cifrando los comandos y datos transmitidos, y a
su vez, dotando de autenticacin al sistema, todo ello a travs del protocolo SSH.
UJC/3"*CNIQTKVOQ"FG"JCUJ"UGIWTQ+0"
Algoritmo de autenticacin que toma como entrada un mensaje de longitud arbitraria y a
continuacin, genera un resumen de 128 bits, tambin conocido como huella digital.

URCR"*RTQVQEQNQ"FG"CWVGPVKECEKP"FG"EQPVTCUGC"UJKXC+0"
Protocolo de autenticacin empleado por PPTP y cuyo funcionamiento consiste en
enviar la contrasea encriptada desde el cliente al servidor a travs de un algoritmo de
cifrado bidireccional.

UUJ"*KPVGTHC\"FG"WUWCTKQ"UGIWTC+"
Protocolo que permite la autenticacin y el intercambio de la informacin a travs de un
canal seguro entre distintas mquinas de la red.

UUN"*ECRC"FG"EQPGZKP"UGIWTC+0"
Sistema de seguridad ideado para acceder a la informacin, garantizando la
confidencialidad de los datos mediante tcnicas de encriptacin modernas.
"
"
"
VNU"*UGIWTKFCF"RCTC"NC"ECRC"FG"VTCPURQTVG+0"
Protocolo que garantiza la privacidad de las comunicaciones entre aplicaciones y
usuarios en internet.

WFR"*RTQVQEQNQ"FG"FCVCITCOC"FG"WUWCTKQ+0"
Protocolo no orientado a conexin que permite el envi de datagramas a travs de la
red, sin que se haya establecido previamente una conexin.
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
CDTGXKCVWTCU"["CETQPKOQU0"
"
CGU: Estndar de Cifrado Avanzado Advanced Encryption Standard.
"
CEN<"Lista de Control de Acceso Access Control List.

CRV<"Sistema de Gestin de Paquetes para GNU/Linux - Advanced Packaging Tool.

CUNGCR<" Protocolo Ligero de Autenticacin Extensible de Cisco - Cisco's Lightweight

Extensible Authentication Protocol.

CVO<"Modo de Transferencia Asncrona Asynchronous Transfer Mode.

"
EC< Autoridad Certificadora Certificate Authority.

EDE<"Cifrado por Bloques en Cadena Cipher Block Chaining.

EHD<"Cifrado por Bloques con Realimentacin Cipher Feedback.

EJCR<" Protocolo de Autenticacin por Desafo Mutuo Challenge Handshake

Authentication Protocol.

EqU<"Clase de Servicio Class of Service.

ETN<"Lista de Revocacin de Certificados - Certificate Revocation List.

EUT<"Peticin de Firma de Certificados Certificate Signing Request.

FGU<"Cifrado de Datos Estndar Data Encryption Standard.

FqU<"Ataque de Denegacin de Servicio Denial of Service.

GCR<"Protocolo de Autenticacin Extensible Extensible Authentication Protocol.

HVR<"Protocolo de Transferencia de Ficheros File Transfer Protocol.

IRN<"Licencia Pblica General de GNU GNU General Public License.

ITG<" Protocolo Genrico de Encapsulamiento de Cisco Generic Routing

Encapsulation.

IWK<"Interfaz Grfica de Usuario para Programas Graphical User Interface.

JOCE<"Cdigo de Autenticacin de Mensaje Basados en Resmenes Hash Message

Authentication Code.
KCPC<" Agencia de Asignacin de Nmeros de Internet Internet Assigned Numbers
Authority.

KGVH<"Grupo de Trabajo en Ingeniera de Internet Internet Engineering Task Force.

KMG<" Protocolo para Establecer Asociaciones de Seguridad en IPSec Internet Key

Exchange.

KRUge<"Seguridad para el Protocolo de Internet Internet Protocol Security.

KRx6<"Versin 4 del Protocolo de Internet Internet Protocol version 4.

KRx8<"Versin 6 del Protocolo de Internet Internet Protocol version 6.

KRZ<"Intercambio de Paquetes Interred Internetwork Packet Exchange.

KUCMOR<" Protocolo de Establecimiento de Asociaciones de Seguridad y Claves

Criptogrficas en Internet Internet Security Association and Key Management
Protocol.

KUR<"Proveedor de Servicios de Internet Internet Service Provider.

NFCR<" Protocolo Ligero de Acceso a Directorios Lightweight Directory Access

Protocol.
"
NGCR<" Protocolo Ligero de Autenticacin Extensible Lightweight Extensible
Authentication Protocol.

NUR<"Camino Basado en Etiquetas en MPLS Label Switched Path.

N\Q<"Algoritmo de Compresin de Datos Lempel Ziv Oberhumer.

N4H<"Protocolo de Tnel de Capa 2 de Cisco Layer 2 Forwarding.

N4VR<"Protocolo de Tnel de Capa 2 Layer 2 Tunneling Protocol.

OF7<"Algoritmo de Resumen de Mensaje 5 Message Digest algorithm 5.

ORNU<"Protocolo Basado en Etiquetas MultiProtocol Label Switching.

"
OU/EJCR<"Versin de Microsoft de CHAP Microsoft Version CHAP.

PCV<"Traduccin de Direcciones de Red Network Address Translation.

QHD<"Cifrado con Salida Retroalimentada Output FeedBack.

RCO<"Modulo de Autenticacin Reemplazable Pluggable Authentication Module.

RCR<"Protocolo Simple de Autenticacin Password Authentication Protocol.

RMEU<"Estndar Criptogrfico de Clave Pblica Public Key Cryptography Standars.

"
RRR<"Protocolo Punto a Punto Point to Point Protocol.
"
RRVR<"Protocolo de Tnel Punto a Punto Point-to-Point Tunneling Protocol.
"
RTH<"Funcin Pseudo Aleatoria Pseudo Random Function.
"
RXE<"Circuito Virtual Permanente Permanent Virtual Circuit.
"
SqU<"Calidad de Servicio Quality of Service.
"
TCFKWU<" Protocolo de Autenticacin y Autorizacin para Aplicaciones de Acceso a la
Red Remote Authentication Dial-In User Server.
"
TE6<" Algoritmo de Cifrado en Flujo Rivest Cipher 4 River Cipher 4 stream cipher
algorithm.
"
TRO<" Herramienta de Administracin de Paquetes para Linux Red Hat Package
Manager.
"
TVR<"Protocolo de Transporte en Tiempo Real Rea-timel Transport Protocol.
"
UJC<"Algoritmo de Hash Seguro Secure Hash Algorithm.
"
UOD<"Protocolo de Red para Compartir Archivos e Impresoras Server Message Block.
"
UUJ<"Protocolo de Acceso Seguro a Mquinas Remotas Secure Shell.
"
UUN<"Seguridad de la Capa de Transporte Secure Socket Layer.
"
VCECEU-<" Sistema de Control de Acceso del Controlador de Acceso a Terminales -
Terminal Access Controller Access Control System.
"
VNU<"Seguridad de la Capa de Transporte Transport Layer Security.
"
WFR<"Protocolo de Capa de Transporte Basado en Datagramas User Datagram
Protocol.
"
XRP<"Red Privada Virtual Virtual Private Network.
"
ZKPGVF<"Demonio Extendido de Internet eXtended InterNET Daemon."