Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Redes Privadas Virtuales

Última Actualización: 19 de Octubre de 1.999 - Martes

EN OBRAS!!!
En obras. Si tienes alguna sugerencia o añadido (se agradecen :-), házmelo saber.


Una Red Virtual Privada (VPN - Virtual Private Network) es aquella red privada construida sobre una red pública. Las razones que empujan el mercado en ese sentido son, fundamentalmente de costes: resulta mucho más barato interconectar delegaciones utilizando una infraestructura pública que desplegar una red físicamente privada. En el otro extremo, por supuesto, es necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al uso de la criptografía.

En general existen dos tipos de redes privadas virtuales:

  • Enlaces Cliente-Red:

    En estos enlaces se encapsula, típicamente, PPP (Point-to-Point Protocol). Las tramas del cliente se encapsulan en PPP, y el PPP resultante se encapsula para crear el VPN. Se emplean, entre otras muchas cosas, para:

    • Acceso seguro de un cliente a la red.
    • Clientes móviles (para independizarlos de la topología física).
    • Puntos de acceso remoto. Por ejemplo, un "pool" de módems en otra ciudad, o clientes nuestros entrando por otro ISP.
    • Rutado de tramas no utilizables en Internet. Por ejemplo, tramas NetBEUI, IPX, SNA o DECNET.

  • Enlaces Red-Red:

    En estos casos se está encapsulando el tráfico de una red local, por lo que nos ahorramos el paso PPP anterior. Las tramas de la LAN se encapsulan directamente para crear el VPN. Se utiliza para:

    • Fundir dos redes locales a través de Internet, para que parezcan una sola.
    • Establecer canales con privacidad, autenticidad y control de integridad, entre dos redes independientes.
    • Rutado de tramas no utilizables en Internet. Por ejemplo, tramas NetBEUI, IPX, SNA o DECNET.


PPTP (Point-to-Point Tunneling Protocol)

Encapsulado de tramas PPP en datagramas IP, utilizando una versión extendida del GRE (Generic Routing Encapsulation, protocolo IP 47). La conexión de control se realiza sobre TCP, puerto 1723.

Actualmente este protocolo, aunque muy popular en el mundo Microsoft, está siendo sustituido por el L2TP. La implementación de Microsoft, además, sufre de varios importantísimos errores de diseño que hacen que su protección criptográfica sea inefectiva para alguien más motivado que un simple observador casual. No debería ser utilizada, por tanto.


L2TP (Layer 2 Tunnelling Protocol)

Encapsulado de tramas PPP sobre cualquier medio, no necesariamente redes IP. En el caso IP se usa UDP, puerto 1701. Tras un largo proceso como borrador, L2TP pasa a ser una propuesta de estándar en Agosto de 1.999.


L2F (Layer 2 Forwarding)

Este sistema es el precursor del L2TP, y es utilizado en los routers CISCO, pero los trabajos en el L2TP lo han dejado obsoleto. Resulta útil, no obstante, si tenemos routers Cisco a nuestra disposición. Como L2TP, encapsula tramas PPP sobre medios arbitrarios.


IPSec

IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6. Aunque IPv6 está muy poco difundido en este momento, la tecnología marco IPSec se está utilizando ya, lo que asegura, entre otras cosas, la interoperatividad de los sistemas de diversos fabricantes. Al menos en teoría. IPSec integra confidencialidad, integridad y autentificación en un mismo marco interoperante.

En general, cualquier VPN de nueva creación debería utilizar tecnología IPSec.


IPIP (IP-in-IP)

IPIP define un encapsulado mínimo de los datagramas IP ya que, esencialmente, sólo se les añade una cabecera al principio. Este sistema es utilizado en redes "mobile-IP", para independizar las direcciones IP de la topología física de la red en un momento dado. No define ningún mecanismo de cifrado o autentificación.

Linux soporta IP-in-IP de forma nativa a partir de los Kernel 2.0.x y 2.1.x, usando los LKM (Loadable Kernel Module) "ipip.o" y "tunnel.o". Puede consultarse su documentación en "/usr/src/linux/drivers/net/README.tunnel".


Otras Soluciones

La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec.

Otras posibilidades:


Historia

  • 19/Oct/99: Un año sin actualizar...

    Revisión de enlaces, y añadido el análisis del PPTPv2.
    L2TP ha pasado a la standard track. ¡¡Por fin!!.

  • 23/Oct/98:

  • 14/Ago/98: Añadidos SWAN (Linux), FreeS/WAN(Linux), IPSec para NetBSD y Photuris (OpenBSD).

  • 12/Ago/98: Añadida la sección IPIP, IPSec y "Otras Soluciones".

  • 11/Ago/98: Primera versión de este documento.



Python Zope ©1998 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS