Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Las Redes Privadas Virtuales (VPNs) son una alternativa prctica, segura y
eficiente de los enlaces privados que en la actualidad son usados para interconectar
redes corporativas y brindar acceso a trabajadores teleconmutados.
Hoy en da las empresas subcontratan muchos servicios y pequeas y medianas
empresas usan lo que se conoce como oficina virtual. Que no es ms que un sitio
donde se concentra la informacin de la empresa (bases de datos) y los servicios
administrativos. Con el fin de ahorrar recursos, tiempo y dinero muchos trabajadores
trabajan desde sus casas; para tal fin necesitan conectarse a la red de la empresa dado
que en la red de la empresa se encuentra la base de datos de la misma, el rea de
ventas y el rea administrativa. Esto se hace a travs de una red privada virtual (VPN) y
lo que hace la red privada virtual es hacer segura la interconexin entre la red pblica
(internet del trabajador) y la red privada (red de la empresa) de tal manera que la
informacin no est disponible para los hackers ni otros usuarios no deseados.
Para poder realizar una VPN debemos conocer los aspectos generales de la VPN, que
hace, cules son sus caractersticas y que elementos debe de tener. Para dicho fin
debemos de plantear una metodologa para poder aplicar y entender los conceptos de
la VPN. La metodologa ideal es la PPDIOO de Cisco (Preparacin, Planeacin, Diseo,
Implementacin, Operacin y Optimizacin). Nosotros nos enfocaremos en la etapa de
Planeacin que es la etapa que contempla el anlisis de requerimientos que involucran
a la VPN.
Este trabajo tiene como objetivo primario dar a conocer esta tecnologa y brindar las
pautas necesarias, apoyndose en conceptos tcnicos y prcticos, para una adecuada
implementacin de la misma y dar a conocer un ejemplo de interconexin VPN
utilizando el OpenVPN y el protocolo TLS.
Kpvtqfweekp"
Al da de hoy, las comunicaciones a travs de las redes de informacin resultan
de vital importancia para un gran nmero de empresas y organizaciones. Para llegar a
su destino, ese trfico debe atravesar, muy a menudo, una infraestructura de redes
pblicas (como Internet), lo que lo hace vulnerable a los ataques de usuarios mal
intencionados.
Ante ese peligro potencial, resulta imprescindible poseer herramientas que permitan
proteger el contenido de dicho trfico, para asegurar tanto su privacidad como su
integridad, en las comunicaciones extremo a extremo.
La solucin ms evidente consiste en montar redes privadas, es decir, para el uso
exclusivo de los propietarios de la red, garantizndose la seguridad en las
comunicaciones. Sin embargo, esta poltica de seguridad se est abandonando por dos
motivos de peso: el costo y la baja escalabilidad. En efecto, las grandes distancias que
separan, en ocasiones, las filiales de una organizacin, hacen que resulte demasiado
cara la construccin de enlaces privados. Por otra parte, el uso de redes privadas
supone la implantacin de un nuevo enlace cada vez que se quiera unir un nuevo
miembro a la red de una organizacin, con los consiguientes problemas de tiempo y
costo.
Como solucin ms eficiente, aparecen las Redes Privadas Virtuales (VPN), un sistema
para construir conexiones seguras a travs de la infraestructura de redes pblicas, tanto
para enlaces punto a punto, como para conectar distintas redes locales entre si o
permitir a un tele-trabajador conectarse a la sede de su empresa desde cualquier lugar
con acceso a Internet. Este sistema permite aprovechar la infraestructura de
comunicaciones existente, aportando los elementos de seguridad necesarios para evitar
cualquier intrusin en el contenido del trfico que protegen. Se consigue as un mtodo
de comunicacin segura que combina un bajo costo con altos niveles de privacidad.
La implementacin de VPN suele estar basada en tneles, donde la informacin que
atraviesa las redes pblicas se encapsula en paquetes de un protocolo (normalmente
IP), de forma que el contenido resulta invisible hasta llegar a su destino, donde se
desencapsula el paquete. Existen varias tecnologas con las que implementar tneles y
a su vez implementar VPN tales como GRE, PPTP, L2TP, IPSEC, SSL/TLS, Casi
todas estas tecnologas pueden implementarse en multitud de medios fsicos basados
en redes IP tales como X.25, Frame Relay, o tecnologa ATM y encapsular paquetes de
otros protocolos de red no IP. De estas mltiples arquitecturas para implementacin de
VPN nos centraremos en el estudio de las VPN basadas en SSL/TLS mediante la
herramienta multiplataforma OpenVPN.
"
"
"
"
Octeq"Vgtkeq"
" De acuerdo a (Alonso J. A., 2009) una VPN (Virtual Private Network, Red Privada
Virtual) es un canal de datos privado que se implementa sobre una red de
comunicaciones pblica, como por ejemplo puede ser Internet. Como norma habitual,
una VPN se encarga de enlazar dos subredes remotas (o una subred y uno o varios
usuarios remotos), creando para ello un tnel virtual a travs del cual sern
encapsulados los paquetes antes de ser inyectados. Este encapsulado consistir en
una nueva trama de datos, pero esta vez encriptada, la cual podr albergar protocolos
de red de las capas superiores.
En la figura 1.1 puede observarse el ejemplo de una red privada virtual. En ella se ha
establecido un enlace confidencial entre el usuario remoto y el servidor VPN.
Cuando el usuario remoto quiera enviar informacin al otro extremo de la conexin
(OFICINA) de forma privada, crear un encapsulado virtual (en funcin del tipo de VPN
configurada) y le aadir la correspondiente cabecera TCP/IP, con el objetivo de que
pueda circular a travs de Internet. La diferencia entre un encapsulado IP normal y otro
que contenga un paquete VPN, es que la informacin transportada en el segundo est
completamente cifrada, y por lo tanto, aunque el paquete sea capturado nunca se podr
interpretar su contenido real.
Una vez que la trama llegue al servidor VPN, esta misma mquina deber encargarse
de descifrarlo y convertirlo en un paquete TCP/IP normal, y enviarlo a continuacin al
destino establecido por el usuario remoto.
Cuando una VPN est establecida, aquellos participantes que se conecten se
encontrarn virtualmente dentro del mismo segmento de red, siendo en el caso de la
figura 1.2 la red de rea local.
"
De acuerdo a (Mason, A. G., 2002) los requisitos genricos de las redes privadas
virtuales se basan en ofrecer un conjunto de herramientas y protocolos de actuacin,
con el objetivo de poder proveer, establecer y administrar el correcto funcionamiento de
los tneles VPN.
Dentro de este grupo de requerimientos, podemos establecer los siguientes:
Autentificacin y comprobacin de la identidad de los usuarios, con la finalidad
de permitir exclusivamente el acceso a la VPN a aquellos usuarios autorizados.
De acuerdo a (Kosiur, Dave, 1998) podemos clasificar las redes privadas virtuales
en sistemas basados en hardware y en sistemas basados en software.
Los sistemas basados en hardware se caracterizan por el empleo de una serie de
mquinas que han sido diseadas especficamente para tal labor, en las que se han
optimizado todos los parmetros referentes a las VPNs. Esta clase de dispositivos son
por lo general bastante seguros, adems de sencillos de utilizar. Ofrecen un alto grado
de rendimiento, ya que no malgastan tiempo de cmputo en el funcionamiento de un
complejo sistema operativo. Por lo tanto, estamos ante un hardware dedicado,
extremadamente rpido y de fcil instalacin. Por el contrario, son mquinas que
presentan un costo bastante elevado, incrementndose ste en funcin de los
componentes seleccionados.
Esta clase de dispositivos suele ofrecer otra serie de servicios aadidos, como por
ejemplo firewalls, detectores de intrusos, antivirus, etc. Hoy en da existen varios
fabricantes que ofrecen diversas alternativas de hardware de cara a la implementacin
de redes privadas virtuales. Entre ellos podemos destacar a Cisco, Stonesoft, Juniper,
Nokia, Panda Security, etc.
Los sistemas basados en software renen un conjunto de aplicaciones que permiten la
configuracin de VPNs, y por lo general, son independientes de la arquitectura y
sistema operativo utilizado.
De acuerdo a (Yuan R. y Strayer T., 2001) las ventajas que se obtienen del
empleo de las redes privadas virtuales frente a otro tipo de alternativas son las
siguientes:
Seguridad y confidencialidad:
Debido a la utilizacin de distintos tipos de tcnicas, como por ejemplo la
autenticacin y el cifrado, se consigue el establecimiento de un canal de
comunicacin privado sobre una infraestructura de acceso pblico, el cual
evita que la informacin transmitida a travs de l sea interceptada,
alterada o interpretada por personas no autorizadas.
Reduccin de costos:
Debido a que no se emplean lneas de datos dedicadas, se produce un
importante ahorro de dinero relacionado con la instalacin y
mantenimiento del enlace fsico. El grueso de los costos vendr dado en
su mayor medida por el tipo de acceso contratado de cara a Internet: RDSI
(Red Digital de Servicios Integrados), Frame Relay, ADSL, etc.
Escalabilidad:
Es posible ampliar el ancho de banda de los accesos sin que esto
repercuta en el correcto funcionamiento de la red privada virtual, as como
el nmero de participantes implicados dentro de la infraestructura
establecida.
Mantenimiento sencillo:
Una vez que la red privada virtual se ha configurado, el mantenimiento de
la misma es prcticamente nulo, ya que la nica tarea que hay que realizar
es la de gestionar las acreditaciones de los distintos usuarios que se van
dando de alta o que van causando baja. El administrador tambin debe
permanecer atento ante las posibles actualizaciones de software
correspondientes a su VPN, as como ante los hipotticos cambios que
vayan surgiendo en la topologa de la red.
Confidencialidad:
La confidencialidad es una caracterstica que asegura que la informacin transmitida
por un canal de comunicacin inseguro, y sensible de ser interceptada por terceras
personas no autorizadas, slo podr ser interpretada por aquellos usuarios,
entidades o procesos acreditados, permaneciendo totalmente ininteligible para el
resto de los elementos o de los usuarios.
Un canal de comunicacin inseguro es un medio de transporte de datos poco fiable,
en donde no se puede garantizar que la informacin que viaja a travs de l no vaya
a ser capturada, consultada o manipulada por otros individuos ajenos al sistema. Un
ejemplo claro de este tipo de enlaces puede ser la lnea telefnica convencional: un
intruso podra permanecer a la escucha de las conversaciones establecidas entre
los dos extremos de la lnea, sin que los participantes conocieran en ningn
momento que sus telfonos han sido intervenidos.
Una de las posibles soluciones para garantizar la confidencialidad de la informacin
transmitida pasa por el empleo de una lnea fsica dedicada. El principal
impedimento que presenta esta clase de alternativa es el elevado costo que ello
conlleva, as como su difcil mantenimiento.
La forma ms habitual de dotar a un sistema de comunicacin de la propiedad de
confidencialidad, consiste en cifrar la informacin enviada entre los participantes,
bien a travs de algoritmos de clave privada (simtricos) o de clave pblica
(asimtricos). El cifrado es una herramienta ya utilizada desde hace mucho tiempo,
cuyo objetivo es el de transcribir en nmeros, letras o smbolos, un mensaje cuyo
contenido se quiere ocultar.
En la figura 1.3 puede observarse que un emisor quiere enviar un mensaje a un
receptor a travs de un canal de comunicacin inseguro. A priori, el emisor nunca
podr asegurar que la informacin intercambiada entre ambos extremos no haya
sido interceptada por un supuesto intruso. La nica forma de garantizar la
confidencialidad de la transferencia ser cifrando el mensaje antes de enviarlo por el
tnel.
Si una tercera persona ajena al proceso de comunicacin interceptara el mensaje
antes de que llegara al destino, no le servira de mucho, ya que estara ante un
conjunto de datos totalmente ilegibles. La nica posibilidad que tendra de poder
interpretarlo sera conociendo la clave que permitiese su descifrado, o averigundola
a travs de un ataque de fuerza bruta (probando reiteradamente sucesivas llaves
hasta dar con la correcta). Utilizando claves de una longitud considerable y
manteniendo unas polticas de seguridad adecuadas, es prcticamente imposible
que el supuesto intruso pudiese leer el mensaje original. nicamente el usuario
poseedor de la clave (receptor), estara en disposicin de descifrar el mensaje.
Integridad:
La integridad es una caracterstica que asegura que la informacin enviada a travs
de un canal de comunicacin inseguro, no haya sido modificada durante su
transcurso, es decir, el mensaje a trasmitir tendr que ser exactamente el mismo en
el origen y en el destino. La forma ms habitual de dotar a un sistema de
comunicacin de la propiedad de integridad consiste en utilizar firmas digitales.
Para obtener la firma digital de un documento primero hay que aplicarle un algoritmo
hash, con el objeto de generar una huella o resumen (conjunto de caracteres de
longitud fija que identifican de forma unvoca un bloque de datos). Al resultado de
cifrar dicho extracto mediante un algoritmo de clave pblica o privada se le conoce
como firma digital.
Si una persona ajena al proceso de comunicacin interceptara y alterara el mensaje,
el fraude podra ser descubierto a travs de la firma digital. El receptor, por un lado,
generara una huella a partir del mensaje adulterado, y por el otro lado, descifrara la
firma digital enviada por el emisor, obteniendo de esta forma la huella generada
originalmente por este ltimo. Al comparar ambos resmenes, el receptor podra ver
que no coinciden, luego estara en disposicin de concluir que la informacin
transmitida habra sido modificada durante su trnsito. Si el mensaje no hubiese sido
truncado, el extremo generado por el receptor coincidira con el enviado por el
emisor.
En la figura 1.4 puede observarse que un emisor quiere enviar un mensaje a un
receptor a travs de un canal de comunicacin inseguro. Para autenticar la
informacin a transmitir, el emisor puede sellar el mensaje antes de enviarlo
(generar una huella hash). Si un intruso interceptara el documento y lo modificara,
rompera el sello (el resumen hash original no coincidira con el final).
La propiedad de integridad es bastante importante; pensemos por un momento que
hiciramos una compra en una tienda virtual a travs de Internet y alguien
modificara la direccin de destino. El cargo de la compra se nos efectuara a
nosotros, pero el pedido llegara al intruso. A travs de un sistema de seguridad que
aplicara correctamente la caracterstica de integridad, podramos estar seguros que
los datos correspondientes a la transferencia no habran sido alterados.
Autenticidad:
La autenticacin o autenticidad es una caracterstica que trata de asegurar el origen
de una informacin, evitando de esta forma posibles suplantaciones. El trmino de
autenticacin est ligado a identidad, es decir, se busca acreditar un conjunto de
rasgos o atributos que caracterizan a un mensaje frente al titular del mismo.
Existen mltiples posibilidades a la hora de identificar a un emisor: verificar algo que
tiene, comprobar algo que es o ponerle a prueba sobre algo que sabe. Los mtodos
ms habituales para conseguir la autenticacin humana pasan por medidas
biomtricas (huellas dactilares, retina de los ojos, reconocimiento facial, etc.),
mientras que para la informacin se utilizan las firmas digitales, al igual que para el
caso de la propiedad de integridad. La firma digital asocia de manera uniforme, a un
documento y al titular poseedor de la clave privada con la que se ha firmado.
La autenticacin tiene una gran importancia hoy en da, sobre todo en las
transacciones electrnicas bancarias. Si en un momento dado, una persona se
conectara a la web de su banco para consultar su saldo y alguien redireccionara la
conexin a una pgina fraudulenta, el supuesto intruso podra robarse las claves de
acceso del usuario. Pero si en cambio existe un mecanismo de autenticacin
predefinido entre el navegador web del cliente y el servidor bancario, las
operaciones realizadas no conllevaran riesgo alguno, ya que ambos participantes
se habran tenido que identificar previamente mediante algn mtodo de
autenticacin seguro.
En la figura 1.5, un emisor ha generado mediante un algoritmo de autenticacin, la
huella o resumen del mensaje que quiere enviar. A continuacin a firmado el
resultado mediante su clave privada, obteniendo de esta forma la firma digital. Por
ltimo, ha enviado el mensaje original junto con la firma. Cuando el receptor de la
informacin analice la firma digital enviada, podr o no acreditar la identidad del
emisor.
La propiedad de autenticidad lleva implcita la de integridad, es decir, si un
documento por naturaleza es autntico, tambin lo ser integro. Pero por el
contrario, la integridad de un mensaje no es condicin suficiente para garantizar la
autenticidad de su origen.
No repudio:
El no repudio tiene el objetivo de evitar que un emisor niegue haber enviado un
mensaje, cuando realmente s lo ha emitido (no repudio en origen), y que un
receptor rechace haberlo recibido, cuando irrefutablemente s que le ha llegado (no
repudio en destino).
Nuevamente esta caracterstica se consigue a travs del empleo de firmas digitales.
En trminos simples, un documento firmado digitalmente no puede ser negado por
el poseedor de la clave privada que genera dicha firma digital. Y por encima de esta
premisa, se parte de otra de grado superior: nadie puede utilizar la clave privada de
un titular excepto el propio poseedor. Esta ltima frase no se puede afirmar con total
rotundidad, ya que se podra dar el caso de que alguien sustrajera la clave privada
del verdadero propietario.
En consecuencia, un documento firmado electrnicamente slo aporta evidencia
necesaria pero no suficiente, de que el propietario de la clave privada ha sido quien
efectivamente ha firmado el mensaje. Lo nico que s se puede afirmar es que la
firma digital ha sido generada por dicha clave privada.
En la figura 1.6, un emisor ha generado una firma digital a partir del cifrado de una
huella mediante su propia clave privada. Este extracto ser analizado por el receptor
(lo descifrar mediante la clave pblica del emisor) y comprobar la autenticidad de
su identidad.
La propiedad de no repudio lleva implcita la de autenticidad, es decir, si un
documento por naturaleza es no repudiable, tambin ser autntico. Pero por el
contrario, la autenticidad de un mensaje no es condicin suficiente para asegurar su
no repudio.
Emisor Receptor
Pasivos:
Los ataques pasivos son aquellos en los que el intruso no altera el contenido de la
informacin trasmitida, nicamente se dedica a escuchar o monitorizar el flujo de los
datos. Estos tipos de ataques se centran en la deteccin de las identidades del
emisor y el receptor, el control del volumen de trfico intercambiado as como el
anlisis del mismo (con el objetivo de obtener informacin acerca de la actividad o
actividades inusuales) y la vigilancia de las horas habituales de intercambio de datos
entre los participantes del sistema de comunicacin (buscando extraer informacin
acerca de los perodos de actividad).
Activos.
Los ataques activos implican algn tipo de alteracin en el flujo original de datos
transmitidos o la creacin de una trama fraudulenta. Esta clase de ataques son
relativamente fciles de detectar, pero por el contrario, es muy difcil prevenirlos, ya
que para conseguirlo se requerira de una proteccin fsica constantes de todos los
recursos y rutas de comunicacin. Por lo tanto, el objetivo principal ser la deteccin
y recuperacin lo ms rpidamente posible, de cualquier perturbacin o retardo que
hayan podido ocasionar. Para evitarlos se suelen emplear tcnicas de autenticacin.
Dentro de los tipos de ataques activos nos encontramos con los enmascarados (un
intruso se hace pasar por un participante real), repetitivos (un mensaje es
interceptado y repetido posteriormente), modificacin del mensaje (se altera, retrasa
o reordena un mensaje) y denegacin del servicio (degradacin temporal o
permanente de unos determinados recursos). Los ataques de intercepcin,
interrupcin, modificacin y fabricacin estn clasificados dentro del grupo de los
activos.
Intercepcin<"
A travs de un ataque de intercepcin o ataque a la confidencialidad de un
sistema, un elemento no autorizado consigue acceso a un recurso no
compartido. En el esquema de la figura 1.8, una tercera persona ajena al
proceso de comunicacin intercepta el mensaje enviado entre el emisor y el
receptor.
Ejemplos tpicos de esta clase de ataques seran el uso del ancho de banda de
la red o la copia ilcita de archivos o programas.
"
Interrupcin<"
Mediante un ataque de interrupcin o ataque a la disponibilidad de un sistema,
un recurso no compartido se destruye, no llega a estar disponible o se inutiliza
completamente. En el esquema de la figura 1.9, una tercera persona ajena al
proceso de comunicacin intercepta el mensaje que el emisor trata de enviar al
receptor, no llegando la informacin al destino en ningn momento.
Ejemplos tpicos de esta clase de ataques seran la destruccin de un sistema
hardware o el corte de una lnea de comunicacin.
Modificacin<""
A travs de un ataque de modificacin o ataque a la integridad de un sistema, un
recurso no compartido es interceptado y manipulado por personal no autorizado
antes de llegar al destino final. En el esquema de la figura 1.10, una tercera
persona ajena al proceso de comunicacin intercepta el mensaje que el emisor
trata de enviar al receptor, altera su contenido original y se lo hace llegar
nuevamente al destinatario (una vez modificado).
Fabricacin:
Mediante un ataque de fabricacin o ataque a la autenticidad de un sistema,
personal no autorizado genera un recurso que hace llegar al destinatario de un
sistema de informacin, hacindose pasar por el autntico emisor y engaando
de esta forma al receptor del canal. En el esquema de la figura 1.11, una tercera
persona ajena al proceso de comunicacin fabrica un mensaje y se lo hace llegar
al destinatario, suplantando de esta manera la identidad original de la conexin.
Un ejemplo tpico de esta clase de ataque sera introducir informacin
fraudulenta en una red sin que los participantes de ella se dieran cuenta del
engao.
"
Usuario remoto o road warrior:
Un usuario remoto o road warrior es un elemento mvil, que como cliente, tiene la
posibilidad de conectarse a una oficina remota a travs de una VPN, con el objetivo
de acceder a los recursos privados situados detrs del Gateway (ver figura 1.13).
El usuario remoto puede estar situado en cualquier lugar del mundo (en su propia
casa, en una biblioteca pblica, de vacaciones en unas islas paradisacas, etc.), y en
un momento dado, puede tener la necesidad de acceder de forma confidencial a los
servicios compartidos de una determinada red. Una vez que la VPN est
establecida, el road warrior virtualmente est dentro de la red remota (segmento
aislado del exterior) y puede disponer de los mismos recursos a los que tendra
acceso en caso de encontrarse fsicamente dentro de la misma red.
Usuario remoto 1
Usuario remoto 2
Red insegura
Este tipo de configuracin puede darse por ejemplo cuando se quiere establecer un
canal de comunicacin seguro con otra persona que se encuentra en cualquier lugar
del mundo, con el objetivo de poder enviarle o recibir de ella informacin de forma
confidencial. El tnel VPN se puede establecer y desconectar todas las veces que
se desee.
LAN (oficina remota) a LAN (oficina remota):
En una VPN LAN a LAN, dos oficinas remotas establecen un tnel VPN a travs de
una red insegura. Una vez que el canal privado est establecido, los datos
intercambiados entre ambos gateways viajan cifrados a travs del tnel.
En la figura I.16, se ha establecido un tnel VPN entre la oficina remota 1 y la oficina
remota 2, es decir, la informacin viaja encriptada exclusivamente entre estos dos
puntos finales. De esta forma, cuando por ejemplo la PC quiera guardar un archivo
en el servidor a travs del enlace virtual, la oficina remota 2 lo cifrar y lo enviar a
travs del tnel, con destino a la oficina remota 1. A su vez, este Gateway es el
encargado de descifrarlo y envirselo al servidor.
Este tipo de configuracin puede darse por ejemplo cuando un a compaa dispone
de varias sedes en distintos lugares geogrficos. Una de las posibles soluciones
para enlazar de forma segura todas las entidades, sera establecer una oficina
remota VPN en cada uno de los extremos, de tal forma que ellas mismas seran las
encargadas de encriptar y desencriptar la informacin intercambiada antes de que
este por realizarse la conexin a Internet.
Red insegura
Servidor
PC
Red insegura
Red privada
Servidor
Usuario remoto 2
Tres PCs con dos particiones, una con sistema operativo SuSE 8.2 con todos los
paquetes necesarios instalados y otra con Windows XP.
Estos PCs disponen de dos tarjetas de red 10/100 ya que podrn hacer a su
vez la funcin de ruteo.
Una laptop con dos particiones, una para Windows XP con SP2 (Service Pack 2)
y una distribucin de Linux, Kubuntu 7.04 Feisty.
3 Switch Micronet EtherFast 10/100M.
Cables RJ-45 Cat 5e para la interconexin.
Vamos a simular un tnel sencillo y seguro de LAN a LAN para interconectar dos
oficinas, que estn en distintos puntos de la ciudad; con dicho tnel las redes internas
de cada oficina pueden transmitir datos seguros, a travs de dicho tnel. De esta
manera, una maquina situada dentro de la red de la oficina aparenta que est en la red
de otra oficina que puede estar separadas cientos o miles de kilmetros utilizando para
ello Internet y OpenVPN.
Ctswkvgevwtc0"
"
En el siguiente diagrama se muestra la arquitectura de la red empresarial hasta
la etapa de la VPN que es en la que nos vamos a enfocar.
Para el caso de nuestra VPN y teniendo como antecedente que la red empresarial est
compuesta por todos los elementos de la figura anterior nos enfocaremos en la etapa
de la VPN de ambas empresas dando como resultado la arquitectura del siguiente
diagrama:
PSTN
OFICINA B OFICINA A
Internet
SERVIDOR OPENVPN PC A
CLIENTE OPENVPN IP_INTERNA = 192.168.1.254 (ETH0) IP = 192.168.1.1 (ETH0)
PC B
IP_INTERNA = 192.168.2.254 (ETH0) IP_EXTERNA = 212.128.44.254 (ETH1)
IP = 192.168.2.1 (ETH0)
IP_EXTERNA = 212.128.44.253 (ETH1) IP_TNEL = 10.8.0.1 (TUN0)
IP_TNEL = 10.8.0.2 (TUN0)
En este diagrama las mquinas que hacen de extremos del tnel (Cliente y Servidor
OpenVPN) tendrn sistemas operativos SuSE 8.2 ya que, de esta manera, OpenVPN
podr asignar las direcciones IP de los extremos del tnel de uno en uno (como sucede
en los protocolos punto a punto).
A continuacin vamos a describir la configuracin del sistema operativo donde se
encuentra ubicado el servidor OpenVPN, como por ejemplo, la asignacin de las IPs,
incluir alguna ruta, etc.
Para ello, primero paramos el proceso rcnetwork de todas las mquinas y asignamos
las direcciones IP a cada interfaz de red de las mquinas.
PC A:
kheqphki"gvj2"3;4038:0303"wr"
"
PC B:
kheqphki"gvj2"3;4038:0403"wr"
"
Tambin tenemos que habilitar el IP-forwarding para que las mquinas que tienen
OpenVPN instalado (las mquinas extremo que son el cliente y el servidor) puedan
retransmitir los paquetes que llegan de una interfaz de red a la otra interfaz de red.
Adems tenemos que cargar los mdulos TUN/TAP en el sistema operativo.
Servidor OpenVPN:
tqwvg"cff"pgv"3;4038:0402"pgvocum"4770477047702"iy"320:0204"
"
Cliente OpenVPN:
tqwvg"cff"pgv"3;4038:0302"pgvocum"4770477047702"iy"320:0203"
"
"
"
"
Ugiwtkfcf"Korngogpvcfc0"
"
Para poder utilizar el modo de seguridad mediante TLS tendremos que
establecer una infraestructura de clave pblica o PKI, que consiste en:
Un certificado pblico (conocido tambin como clave pblica) y una clave privada
para el servidor y un certificado pblico y una clave privada para cada cliente.
Un certificado pblico y clave privada de la Autoridad Certificadora (CA) que
tendr la funcin de firmar cada uno de los certificados del cliente y del servidor.
0"01xctu"
01engcp/cnn"
01dwknf/ec"
0"01xctu"
01dwknf/mg{/ugtxgt"ugtxkfqt"
0"01xctu"
01dwknf/mg{"enkgpvg"
"
Para acabar de implementar la seguridad de nuestra configuracin es necesario
generar los parmetros Diffie Hellman (es un protocolo de establecimiento de claves
entre partes que no han tenido contacto previo, utilizando un canal inseguro, y de
manera annima). En este caso, el archivo generado, dh1024.pem (o dh2048.pem,
segn el tamao de la clave para RSA) solo debe estar ubicado en la mquina Servidor
OpenVPN, por lo que habra que transferirlo sobre un canal seguro nicamente en el
caso de generar este fichero en otra mquina que no sea el Servidor OpenVPN.
0"01xctu"
01dwknf/fj"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
Ctejkxqu"fg"Eqphkiwtcekp0"
"
Vamos a describir cada lnea incluida en los archivos de configuracin del
Servidor OpenVPN, llamado servidor.conf, y del Cliente OpenVPN, llamado
cliente.conf. Como ya se coment anteriormente esta configuracin se realiz
utilizando mquinas Linux, por lo que la extensin de los archivos de configuracin es
.conf.
nqecn"434034:0660476"
rqtv"33;6"
fgx"vwp"
rtqvq"wfr"
kheqphki"320:0203"320:0204"
vnu/ugtxgt"
fj"fj32460rgo"
ec"ec0etv"
egtv"ugtxkfqt0etv"
mg{"ugtxkfqt0mg{"
eqor/n|q"
mggrcnkxg"32"342"
rgtukuv/mg{"
rgtukuv/vwp"
uvcvwu"qrgpxrp/uvcvwu0nqi"
xgtd"8"
"
Vamos a describir lo que hace cada lnea del archivo de configuracin del Servidor
OpenVPN (servidor.conf):
fgx"vwp"
rtqvq"wfr"
tgoqvg"434034:0660476"33;6"
kheqphki"320:0204"320:0203"
vnu/enkgpv"
pqdkpf"
ec"ec0etv"
egtv"enkgpvg0etv"
mg{"enkgpvg0mg{"
eqor/n|q"
tguqnx/tgvt{"kphkpkvg"
mggrcnkxg"32"342"
rgtukuv/mg{"
rgtukuv/vwp"
uvcvwu"qrgpxrp/uvcvwu0nqi"
xgtd"8"
"
Vamos a describir lo que hace cada lnea del archivo de configuracin del Cliente
OpenVPN (cliente.conf):
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
Tguwnvcfqu"{"Eqpenwukqpgu"
"
Tras terminar la instalacin de nuestro diseo se ha comprobado, que existe
comunicacin entre ambos extremos de la VPN (Cliente OpenVPN y Servidor
OpenVPN) y que tambin existe comunicacin entre los PCs de ambas oficinas (PC A y
PC B).
IP = 192.168.2.1
MASCARA = 255.255.255.0
GATEWAY = 192.168.2.254 IP = 192.168.1.1
MASCARA = 255.255.255.0
GATEWAY = 192.168.1.254
Aqu para poder establecer la VPN entre los dos sitios tenemos que configurar cada
uno de los routers (Oficina B y Oficina A).
Bsicamente la configuracin de los 2 routers es la misma con algunas cuantas
diferencias; la configuracin de dichos routers es la siguiente:
"
hostname R2
Le asigna el nombre al router de R2.
crypto isakmp policy 1
Define la poltica de intercambio de claves de Internet (IKE)
encr aes
Especifica que el AES ser de 256 bits.
Algoritmo de encriptacin dentro de una poltica IKE.
authentication pre-share
Especifica que se utiliza la autenticacin de clave pre-compartida.
group 2
Especifica el identificador de grupo del algoritmo de Diffie Hellman.
crypto isakmp key 0 address 212.128.44.254
Especifica el secreto compartido.
crypto ipsec security-association lifetime seconds 86400
Cambia los valores globales de tiempo de vida usado cuando se negocia con la
seguridad IPSec.
crypto ipsec transform-set yasser esp-aes esp-sha-hmac
Define el conjunto de transformacin a IPSec.
crypto map auda 100 ipsec-isakmp
Define el nombre de entrada del mapa criptogrfico de nombre "auda" que utilizar IKE
para establecer las asociaciones de seguridad (SA).
set peer 212.128.44.254
Especifica el par IPSec.
set pfs group2
Activa el secreto por adelantado.
set security-association lifetime seconds 86400
Define el tiempo de vida de las polticas de seguridad.
set transform-set yasser
Define el conjunto de transformacin como yasser.
match address ramzy
Casa la direccin IP con el nombre ramzy.
spanning-tree mode pvst
Habilita el modo PVST en su configuracion inicail.
interface FastEthernet0/0
Habilita la interface Ethernet 0/0 del router.
ip address 192.168.2.254 255.255.255.0
Le asigna la direccin IP y mascara a la interface activa.
duplex auto
Configura en forma automtica el modo de comunicacin bidireccional.
speed auto
Configura en forma automtica la velocidad.
interface FastEthernet0/1
Habilita la interface Ethernet 0/1 del router.
ip address 212.128.44.253 255.255.255.0
Le asigna la direccin IP y mascara a la interface activa.
duplex auto
Configura en forma automtica el modo de comunicacin bidireccional.
speed auto
Configura en forma automtica la velocidad.
crypto map auda
Crea un mapa criptogrfico con el nombre auda
interface Vlan1
Habilita la VLAN 1.
no ip address
No le asigna direccin IP a la VLAN.
Shutdown
Para el seguimiento del Puerto.
ip classless
Este comando permite al software el envi de paquetes que estn destinados para sub
redes desconocidas de las directamente conectadas a la red.
ip route 192.168.1.0 255.255.255.0 212.128.44.254
Este comando establece el ruteo esttico del rango de direcciones IP 192.168.1.X con
la mscara establecida a travs de la IP 212.128.44.254.
ip access-list extended ramzy
Establece la lista de acceso extendida ramzy.
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Permite el acceso del rango de la primera IP a la segunda.
line con 0
Empieza la configuracin de terminal en la lnea nmero 0.
line vty 0 4
Empieza la configuracin de la terminal virtual de la lnea numero 0 a la lnea nmero 4.
Login
Inicio de sesin.
End
Fin de la configuracin.
Como conclusin podemos decir que ya una vez configurado el sistema existe
comunicacin entre las PCs que son de distintas oficinas.
Esto lo podemos ver en la siguiente figura:
Y que dichas PCs a su vez tienen comunicacin con los routers que no son de su rea.
Esto lo podemos ver en la siguiente figura:
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
DKDNKQITCHKC0"
Feilner Markus; OpenVPN. Building and Integrating Virtual Private Networks; 2006.
Viega John, Messier Matt & Pravir Chandra; Network Security with OpenSSL; 2002.
Snader Jon C.; VPNs Illustrated: Tunnels, VPNs and IPsec; 2005.
Comer Douglas E.; Internetworking with TCP/IP. Principles, protocols and architectures;
2006.
Yuan Ruixi y Strayer Timothy; Virtual Private Networks Technologies and Solutions;
2001.
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
INQUCTKQ"FG"VGTOKPQU0"
"
CFUN"*NKPGC"FG"CDQPCFQ"FKIKVCN"CUKOVTKEC+0"
Tecnologa de acceso a Internet de banda ancha que permite enviar voz y datos de
forma simultnea, todo ello a travs del mismo par trenzado de cobre que utiliza la lnea
telefnica convencional.
CGU"*GUVCPFCT"FG"EKHTCFQ"CXCP\CFQ+0"
Es un algoritmo de cifrado de clave simtrica, adoptado como estndar en el ao 1997
por el Instituto Nacional de Estndares y Tecnologa. Entre sus principales
caractersticas destacan su buena combinacin de seguridad, velocidad, eficiencia,
sencillez y flexibilidad.
CJ"*ECDGEGTC"FG"CWVGPVKHKECEKP+0"
Proporciona autentificacin e integridad de datos calculando un resumen sobre los
paquetes a enviar, por en cambio, no ofrece confidencialidad.
CTR"*RTQVQEQNQ"FG"TGUQNWEKP"FG"FKTGEEKQPGU+0"
Protocolo de red encargado de traducir direcciones de alto nivel (IP) a direcciones
fsicas (MAC).
CWVGPVKEKFCF0"
Caracterstica que trata de asegurar el origen de una informacin, evitando de esta
forma posibles suplantaciones. El trmino de autentificacin esta ligado a identidad, es
decir, se busca acreditar el conjunto de rasgos o atributos que caracterizan a un
mensaje fuente al titular del mismo.
EC"*CWVQTKFCF"FG"EGTVKHKECEKP+0"
Entidad de confianza responsable de emitir, revocar y suspender certificados digitales.
"
"
EER"*RTQVQEQNQ"FG"EQPVTQN"FG"EQORTGUKP+0"
Este protocolo tiene las funciones de activar, desactivar y configurar los algoritmos de
compresin de datos empleados en ambos extremos de un enlace punto a punto.
EJCR"*RTQVQEQNQ"FG"CWVGPVKECEKP"RQT"FGUCHQ"OWVWQ+0"
Protocolo de validacin basado en un proceso de desafo-respuesta. El servidor enva
una cadena de texto y el cliente emplea su propia clave privada para generar una firma
digital a partir del algoritmo MD5. El servidor remoto comprobar si el extracto digital es
o no vlido.
ETKRVQCPNKUKU0"
Conjunto de tcnicas y procesos destinados a averiguar la clave privada utilizada por
los participantes de una comunicacin confidencial.
ETKRVQITCHC0"
Arte de escribir con clave secreta o de un modo enigmtico.
ETN"*NKUVC"FG"TGXQECEKP"FG"EGTVKHKECFQU+0"
Lista de certificados anulados emitida por una Autoridad de Certificacin, en donde
aparecen los certificados digitales que han sido suspendidos antes de su periodo de
vencimiento.
FGU"*GUVPFCT"FG"GPETKRVCEKP"FG"FCVQU+0"
Algoritmo de cifrado de clave simtrica, encargado de cifrar un texto en claro a travs
de una cadena de permutaciones y sustituciones. El algoritmo utiliza una clave
simtrica de 64 bits, de los cuales 56 son empleados para el proceso de encriptacin y
los 8 restantes para la deteccin de errores.
FO\"*\QPC"FGUOKNKVCTK\CFC+0"
Segmento de red aislado de otras zonas a travs de un firewall, y donde se ubican
aquellas mquinas que ofrecen servicios accesibles desde fuera de la red corporativa.
FPCV"*VTCFWEEKP"FG"FKTGEEKP"FG"TGF"FGUVKPQ+0"
Modificacin dela direccin IP" y/o puerto destino de los paquetes. Se emplea
normalmente para publicar un servicio desde la red privada.
FQK"*FQOKPKQ"FG"KPVGTRTGVCEKP+0"
Ed un documento donde se definen los formatos de los datos, los tipos de intercambio
de trfico de red y las convenciones de denominacin de la informacin relativa a la
seguridad en IPSec.
FTF"*FGVGEEKP"FG"ECFCU"FG"NC"EQPGZKP+0"
Sistema basado en temporizadores que tiene como objetivo detectar cadas de
conexin en una lnea de transmisin de datos.
FUC"*CNIQTKVOQ"FG"HKTOC"FKIKVCN+0"
Sistema de autentificacin formado por una pareja de claves pblica y privada utilizado
para generar firmas digitales.
FUU"*GUVPFCT"FG"HKTOC"FKIKVCN+0"
Sistema de firma digital adoptado como estndar por la organizacin de estndares de
EEUU.
GUR"*ECTIC"FG"UGIWTKFCF"GPECRUWNCFC+0"
Protocolo que proporciona autenticacin, integridad y confidencialidad, utilizando para
ello mecanismos giles de cifrado, y cuya fiabilidad reside en el intercambio previo de
las claves.
HSFP"*PQODTG"FG"FQOKPKQ"EQORNGVCOGPVG"EWCNKHKECFQ+0"
Nombre de dominio inequvoco, que especifica de forma absoluta e irrevocable la
posicin del nodo dentro de la jerarqua en el rbol del DNS.
"
"
HVR"*RTQVQEQNQ"FG"VTCPUHGTGPEKC"FG"HKEJGTQU+0"
Protocolo perteneciente al nivel de aplicacin y utilizado para transferir archivos entre
diferentes equipos, ubicados stos en redes basadas en TCP/IP.
IRN"*NKEGPEKC"RDNKEC"IGPGTCN+0"
Licencia creada por la Fundacin para el Software Libre y orientada principalmente a
trminos de empleo, modificacin y distribucin de software.
ITG"*GPECRUWNCEKP"FG"TWVC"IGPTKEC+0"
Protocolo perteneciente al nivel de red utilizado para encaminar paquetes de datos
sobre redes IP, pudiendo tener esquemas de direccionamiento diferentes.
JFNE"*EQPVTQN"FG"GPNCEG"FG"FCVQU"C"CNVQ"PKXGN+0"
Protocolo de datos punto a punto perteneciente al nivel de enlace dentro del modelo de
referencia OSI. Ofrece una comunicacin segura entre los dos extremos, aportando
para ello mecanismos de control de la informacin.
KECPP" *EQTRQTCKP" FG" KPVGTPGV" RCTC" NC" CUKIPCEKP" FG" PQODTGU" ["
POGTQU+0"
Organizacin presente a nivel mundial y encargada de asignar espacio de direcciones
numricas para los protocolos de Internet e identificadores de protocolo, y de las
funciones de administracin pertenecientes al sistema de nombres de dominio de
primer nivel y de cdigos de pases, as como la generacin de los servidores raz.
KEOR"*RTQVQEQNQ"FG"EQPVTQN"FG"OGPUCLGU"FG"KPVGTPGV+0"
Protocolo utilizado para gestionar mensajes de error y de control entre los distintos
elementos de la red.
"
KFGC"*CNIQTKVOQ"KPVGTPCEKQPCN"FG"EKHTCFQ"FG"FCVQU+0"
Algoritmo de cifrado de clave simtrica diseado en 1991. Este algoritmo aplica una
clave de 128 bits sin paridad a bloques de datos de 64 bits, realizando complejas
operaciones matemticas sobre bloques ms pequeos de 16 bits.
KGVH"*ITWRQ"FG"VTCDCLQ"GP"KPIGPKGTC"FG"KPVGTPGV+0"
Organizacin mundial de organizacin que tiene como principal objetivo la
estandarizacin de la arquitectura de red y los protocolos tcnicos de Internet, en
diversas reas tales como el transporte, la seguridad y el encaminamiento.
KMG"*IGUVKP"FG"ENCXGU"GP"KPVGTPGV+0"
Protocolo que genera y administra las claves de autenticacin utilizadas para proteger
la informacin de una comunicacin segura, empleando el puerto 500 de UDP.
KRUGE"*RTQVQEQNQ"FG"UGIWTKFCF"FG"KPVGTPGV+0"
Entorno de estndares abiertos basados en el protocolo IP, que ofrecen servicios de
autenticacin, cifrado e integridad de datos para asegurar las comunicaciones a travs
de dicho protocolo.
KRZ"*KPVGTECODKQ"FG"RCSWGVGU"GPVTG"TGFGU+0"
Protocolo de red no orientado a conexin, empleado para enviar y recibir informacin
entre las distintas mquinas de una red Novell.
NER"*RTQVQEQNQ"FG"EQPVTQN"FG"GPNCEG+0"
Protocolo encargado de establecer, configurar y comprobar una conexin de enlace de
datos.
"
NFCR"*RTQVQEQNQ"NKIGTQ"FG"CEEGUQ"CN"FKTGEVQTKQ+0"
Protocolo de red que permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversa informacin en un entorno de red.
N4H"*GZRGFKEKP"FG"NC"ECRC"FQU+0"
Protocolo de nivel de enlace desarrollado por Cisco. Permite establecer tneles entre
usuarios remotos y redes corporativas, pudiendo utilizar para ello medios de transporte
como Frame Relay o ATM.
N4VR"*RTQVQEQNQ"FG"VPGN"FG"PKXGN"FQU+0"
Protocolo estndar de tnel para internet basado en los protocolos L2F de Cisco y
PPTP. Es utilizado para encapsular los mensajes PPP entre nodos remotos a travs del
puerto 1701 UDP.
OF7"*CNIQTKVOQ"FG"TGUWOGP"FGN"OGPUCLG"7+0"
Algoritmo de autenticacin que toma como entrada un mensaje de longitud arbitraria y a
continuacin, genera un resumen de 128 bits, tambin conocido como huella digital.
ORRG"*GPETKRVCEKP"RWPVQ"C"RWPVQ"FG"OKEQUQHV+"
Este protocolo es empleado por PPTP para dotar de confidencialidad a los paquetes
PPP transmitidos a travs del tnel.
PCV"*VTCFWEEKP"FG"FKTGEEKP"FG"TGF+0"
Estndar que utiliza una o mas direcciones IP para conectar varias computadoras a otra
red, modificando las direcciones IP de los paquetes y corrigiendo la informacin
necesaria en los encabezados.
RMK"*KPHTCGUVTWEVWTC"FG"ENCXG"RDNKEC+0"
Conjunto de protocolos, servicios y estndares globales que soportan aplicaciones
basadas en criptografa de clave pblica. Ofrece registro, almacenamiento, seleccin y
recuperacin de claves, revocacin de certificados digitales y evaluacin de la
confianza.
"
RRR"*RTQVQEQNQ"FG"RWPVQ"C"RWPVQ+"
Protocolo que permite establecer una comunicacin a nivel de enlace entre dos
computadoras, a travs de una lnea sncrona o asncrona.
RRVR"*RTQVQEQNQ"FG"VPGN"RWPVQ"C"RWPVQ+"
Protocolo que permite la transferencia segura de datos desde el equipo remoto a una
red corporativa, creando para ello una red privada virtual sobre una red fsica de datos
TCP/IP. La conexin de control se realiza sobre el puerto 1723 (TCP).
TCTR"*RTQVQEQNQ"FG"TGUQNWEKP"FG"FKTGEEKQPGU"KPXGTUQ+0"
Protocolo de red encargado de traducir direcciones fsicas (MAC) a direcciones de alto
nivel (IP).
TE7"*EKHTCFQ"FG"TKXGUV+0"
Algoritmo de cifrado de clave simtrica desarrollado en 1995. El sistema criptogrfico
aplica una serie de operaciones sucesivas de tipo XOR sobre bloques de datos rotados,
pudiendo ser de 32, 64 o 128 bits.
TKR"*RTQVQEQNQ"FG"KPHQTOCEKP"FG"GPTWVCOKGPVQ+0"
Protocolo de encaminamiento que utiliza algoritmos de vector de distancia para calcular
la mtrica de las rutas entre nodos vecinos.
TUC"*TKXGUV."UJCOKT."CFNGOCP+0"
Algoritmo criptogrfico asimtrico basado en una pareja de claves (pblica y privada),
que pueden ser utilizadas al mismo tiempo tanto para cifrar una comunicacin como
para autentificar a sus participantes.
UC"*CUQEKCEKP"FG"UGIWTKFCF+0"
Acuerdo unidireccional entre los participantes de una VPN, referido a los mtodos y
parmetros empleados en la estructura del tnel, destinados stos a garantizar la
seguridad de los datos transmitidos.
UEGR"*RTQVQEQNQ"FG"KPUETKREKP"FG"EGTVKHKECFQ"UKORNG+0"
Protocolo orientado a ofrecer servicios de certificacin a dispositivos involucrados en el
establecimiento de redes privadas virtuales.
UER"*RTQVQEQNQ"FG"EQRKC"FG"UGIWTKFCF+0"
Protocolo seguro empleado para transferir ficheros entre un cliente y un servidor,
basndose en el protocolo SSH a la hora de realizar las labores de autenticacin y
cifrado.
UHVR"*RTQVQEQNQ"FG"VTCPUHGTGPEKC"UGIWTC"FG"CTEJKXQU+0"
Protocolo empleado para transferir archivos entre un cliente y un servidor basndose en
la arquitectura del protocolo FTP, pero cifrando los comandos y datos transmitidos, y a
su vez, dotando de autenticacin al sistema, todo ello a travs del protocolo SSH.
UJC/3"*CNIQTKVOQ"FG"JCUJ"UGIWTQ+0"
Algoritmo de autenticacin que toma como entrada un mensaje de longitud arbitraria y a
continuacin, genera un resumen de 128 bits, tambin conocido como huella digital.
URCR"*RTQVQEQNQ"FG"CWVGPVKECEKP"FG"EQPVTCUGC"UJKXC+0"
Protocolo de autenticacin empleado por PPTP y cuyo funcionamiento consiste en
enviar la contrasea encriptada desde el cliente al servidor a travs de un algoritmo de
cifrado bidireccional.
UUJ"*KPVGTHC\"FG"WUWCTKQ"UGIWTC+"
Protocolo que permite la autenticacin y el intercambio de la informacin a travs de un
canal seguro entre distintas mquinas de la red.
UUN"*ECRC"FG"EQPGZKP"UGIWTC+0"
Sistema de seguridad ideado para acceder a la informacin, garantizando la
confidencialidad de los datos mediante tcnicas de encriptacin modernas.
"
"
"
VNU"*UGIWTKFCF"RCTC"NC"ECRC"FG"VTCPURQTVG+0"
Protocolo que garantiza la privacidad de las comunicaciones entre aplicaciones y
usuarios en internet.
WFR"*RTQVQEQNQ"FG"FCVCITCOC"FG"WUWCTKQ+0"
Protocolo no orientado a conexin que permite el envi de datagramas a travs de la
red, sin que se haya establecido previamente una conexin.
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
CDTGXKCVWTCU"["CETQPKOQU0"
"
CGU: Estndar de Cifrado Avanzado Advanced Encryption Standard.
"
CEN<"Lista de Control de Acceso Access Control List.