Instituto Profesional Duoc UC

Ingeniería en Conectividad y Redes

Integración de Redes

INFORME PROTOCOLOS VPN

L2TP – DIFF-SERV – IPSEC

Profesor: Jaime Aguilera

Alumnos: César Vivanco - Wilson Bucherenick - Marcelo Puebla

1
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

INDICE
INDICE
INTRODUCCIÓN
L2TP - LAYER 2 TUNNELING PROTOCOL
 DEFINICIÓN
 DESARROLLO
 ARQUITECTURA
 BENEFICIOS

DIFFSERV – SERVICIOS DIFERENCIADOS

 DEFINICIÓN
 CALIDAD DE SERVICIO (QoS)
 ARQUITECTURA
 PROTOCOLOS DE GESTIÓN DE POLITICAS (COPS)

IPSEC
 DEFINICIÓN
 PROTECCION CONTRA ATAQUES
 AH - CABECERA DE AUTENTICACIÓN
 ESP - CARGA DE SEGURIDAD ENCAPSULADA

CONCLUSIÓN

INTRODUCCIÓN

Las redes privadas virtuales (VPN) son redes que permiten enviar datos privados a través
de la red pública (Internet), los datos enviados por Internet son cifrados de manera que
toda la red es "virtualmente" privada. Un ejemplo típico será la red de una compañía
donde hay dos oficinas en ciudades diferentes. Usando Internet, las dos oficinas fusionan
en redes distintas, pero que al estar conectadas por VPN funcionan como una sola red
mediante el cifrado de esta red. Para realizar esta comunicación de un punto a otro, en el
mercado existen diferentes alternativas de protocolos y estándares, De los cuales en este
informe revisaremos en detalle sólo 3: L2TP, DIFFSERV e IPSec.

2
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

L2TP
LAYER 2 TUNNELING PROTOCOL

El protocolo L2TP (Layer Two Tunneling Protocol) standard establecido por la Internet
Engineering Task Force (IETF) es un protocolo que nace de la combinación de las
mejores características de 2 otros protocolos actualmente utilizados para establecer
conexiones VPN:

 L2F (Layer Two Forwarding – Reenvío de capa 2)

o Protocolo desarrollado por Cisco, que a diferencia del PPTP (Microsoft) no

depende de IP con lo cual es capaz de trabajar directamente bajo otros
protocolos.
o Utiliza PPP para la autenticación de usuarios remotos. Los túneles que
crea pueden soportar más de una conexión.

 PPTP (Point to Point Tunneling Protocol – Protocolo de túnel punto a punto)

o Protocolo desarrollado por Microsoft, que trabaja dentro del protocolo PPP
para conexiones punto a punto principalmente en redes remotas. Es un
túnel del tipo voluntario que trabaja en arquitecturas cliente-servidor.

L2TP AL ESTAR BASADO EN L2F Y PPTP SE CONSIDERA UN PROTOCOLO PPP (POINT TO POINT)
ESTÁNDAR FUNDAMENTAL UTILIZADO PARA LA CONEXIÓN DE LAS ACTUALES REDES VPN.

DESARROLLO

Las redes tradicionales de Internet por acceso telefónico sólo trabajan con direcciones IP
registradas, característica que limita los tipos de aplicaciones que se implementan sobre
las redes VPN. L2TP soporta múltiples protocolos y direcciones IP no registradas a través
de Internet.

Esto permite que las Infraestructuras de acceso existentes, tales como Internet, acceso
por módems, servidores de acceso, adaptadores puedan ser utilizadas. Además permite a

3
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

los clientes empresariales externalizar sus servicios de soporte, reduciendo

considerablemente los costos de mantención de equipos y de sistemas a través de la
WAN.

ARQUITECTURA

DEFINICIONES DEL ESQUEMA:

Concentrador de acceso L2TP (LAC):

Es un dispositivo el cual permite al cliente conectarse directamente mediante
tramas con el servidor de red L2TP (LNS). El LAC sólo necesita establecer los medios de
comunicación sobre la que L2TP comenzará pasar el tráfico entre uno o más LNSs. LAC
puede encaminar cualquier protocolo PPP que lleve dentro de su entramado. El LAC es el
iniciador de las llamadas entrantes y el receptor de llamadas salientes. Análoga a la Layer 2
Forwarding (L2F) de acceso al servidor de red (NAS).

Servidor de red L2TP (LNS):

Es el punto de término para el túnel L2TP y punto de acceso en caso de tramas PPP que
se procesan y se pasa a protocolos de la capa superior. Un LNS opera sobre cualquier plataforma
con capacidad de transmisión PPP. El LNS gestiona el lado del servidor del protocolo L2TP. L2TP
se basa sólo en los medios de comunicación sobre la que los túneles L2TP son transmitidos. El
LNS puede tener una sola LAN o interfaz WAN, y aún así ser capaces de terminar las llamadas
que llegan a cualquiera lugar de los países latinoamericanos con interfaces PPP (asincrónica y
sincrónica, RDSI, V.120, etc.) El LNS es el iniciador de las llamadas salientes y el receptor de las
llamadas entrantes. Análoga a la Layer 2 Forwarding (L2F) Home Gateway (HGW).

Con L2TP, un proveedor de servicios Internet (ISP) puede crear un túnel virtual para
conectar sitios remotos de atención al cliente o usuarios remotos con las redes
domésticas corporativa. El concentrador de acceso L2TP (LAC), ubicado en el punto
de presencia (POP) de el ISP y los intercambios de mensajes PPP con usuarios remotos,

4
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

se realizan por medio de peticiones y respuestas con clientes L2TP y servidores de red
L2TP (LNS) para establecer los túneles.

L2TP pasa el tráfico a la capa de paquetes del protocolo a través del túnel virtual entre los
extremos por conexiones de punto a punto. Los Frames enviados desde los usuarios
remotos son aceptados por los POP (Point of Presence) desde el ISP, encapsulándolas
en tramas L2TP y transmitiéndolas a través del túnel apropiado. El Gateway cliente
acepta estos frames L2TP, recibe la encapsulación L2TP, y procesa las tramas de
entrada para la interfaz adecuada.

En el siguiente esquema se muestra la estructura de comunicación del protocolo

BENEFICIOS:

 Interoperabilidad de proveedores.
 Puede ser una solución de gran escala que permite a los ISP, empresas de
telecomunicaciones o prestadores de servicios ofrecer servicios VPNs a otros
proveedores de servicios Internet (ISP) y otros proveedores de servicios
diferentes.
 Puede ser el inicio de una solución VPN, en donde los clientes empresariales que
utilizan un PC, puede utilizar el cliente L2TP iniciado por un tercero.
 Todas las características de valor agregado disponibles en la actualidad con el
protocolo L2F de Cisco, tales como el balanceo de carga y soporte de copia de
seguridad, estarán disponibles en futuras versiones de IOS que soporten L2TP.

5
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

DIFF-SERV
SERVICIOS DIFERENCIADOS

DEFINICIÓN

En la actualidad, razones económicas han surgido para diferenciar el tráfico;Internet se ha

puesto mucho más en uso y se ha convertido en una misión crítica para ciertas
compañías.

Las tendencias en Internet hoy en día son caracterizadas por un fuerte crecimiento, por
procurar ofrecer servicios diversos sobre la red y por buscar simplificar la operación y la
gestión.

Actualmente la gran mayoría de los sistemas informáticos se basan en redes de datos, las
cuales deben soportar cada vez más funciones y aplicaciones.

El Protocolo de Internet (IP), ha terminado imponiéndose como el protocolo más usado

para el transporte e intercambio de información entre redes. El desarrollo de estas redes
de datos se está enfocando hacia la provisión de Calidad de Servicio (QoS o IPQoS), la
cual permite priorizar, controlar y realizar un seguimiento de las estadísticas de control.
Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red.

La mayoría se las redes de datos no distinguen entre las diferentes aplicaciones que
transportan, por ejemplo, no diferencian entre una videoconferencia con determinado
requisito de ancho de banda y la navegación web de características completamente
diferentes.

El objetivo de la Calidad de Servicio en una red es cuantificar el tratamiento que un

paquete debe esperar a medida que circula por la red. El objetivo de una QoS
diferenciada (Diff-Serv), es el dar a ciertos paquetes un mejor trato y a otros un peor
trato.

CALIDAD DE SERVICIO (QOS)

Las redes IP reparten paquetes con un tipo de servicio conocido como “best effort” (BE),
lo cual equivale a “lo más posible, lo antes posible”. Los paquetes con este tipo de servicio
tienen la misma expectativa de tratamiento a medida que transita la red.

6
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

La calidad de servicio consiste en la capacidad de la red para reservar o priorizar algunos

de los recursos disponibles para un tráfico determinado con la intención de proporcionar
un determinado servicio. Debemos tener en cuenta que en la red se pueden utilizar
diferentes tecnologías de transporte (como pueden ser Frame Relay, X.25, SDH, ATM,
etc.) de manera que la implementación de QoS implica la interacción con estas
tecnologías y con los equipos de conmutación (Router y Switch), que son los que
finalmente determinarán el nivel de QoS alcanzado.

En telefonía IP un protocolo QoS prioriza paquetes provenientes del servicio de VoIP

frente a los demás para asegurar una buena calidad de voz, aun cuando el trafico de red
es alto.

Principalmente existen dos tipos de tecnologías que proporcionan calidad de servicio.

Una basada en reserva asignando recursos basándose en flujos de tráfico y otra basada
en la priorización de determinado tipo de tráfico. En comunicaciones IP se traduce en 2
modelos:

 Intserv: basado en la utilización de algún protocolo de reserva (RSVP,

ReSerVation Protocol) que permite la reserva de recursos a lo largo de los
dispositivos de comunicación (Routers y Switch) implicados en la comunicación.

 Diffserv: se basa en la división del tráfico en diferentes clases, y en la asignación

de prioridades a los paquetes de datos. Utiliza diferente información de la
cabecera de los paquetes (por ejemplo, DSCP – Diffserv

Code Point) para distinguir clasificar los paquetes y conocer el tratamiento

que debe recibir el tráfico en los distintos puntos de la red Diffserv.

Los servicios diferenciados (Diffserv) proporcionan mecanismos de calidad de servicio

para reducir la carga en dispositivos de la red a través de un mapeo entre flujos de tráfico
y niveles de servicio. Los paquetes que pertenecen a

una determinada clase se marcan con un código específico (DSCP – Diffserv

CodePoint). Este código es todo lo que necesitamos para identificar una clase de tráfico.
La diferenciación de servicios se logra mediante la definición de comportamientos
específicos para cada clase de tráfico entre dispositivos de interconexión, hecho conocido
como PHB (Per Hop Behavior).

Estas redes necesitan la incorporación de un servidor de recursos (o Bandwidth Broker)

por cada dominio DiffServ.

7
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

Diffserv plantea asignar prioridades a los diferentes paquetes que son enviados a la red.
Los equipos intermedios (routers y switch) tendrán que analizar estos paquetes y tratarlos
según sus necesidades. Esta es la razón principal por la que Diffserv ofrece mejores
características de escalabilidad que Intserv.

El grupo de trabajo de Diffserv de la IETF, se define en el campo DS (Differentiated

Services) donde se especificarán las prioridades de los paquetes. En el subcampo DSCP
(Differentiated Setvice CodePoint) se especifica la prioridad de cada paquete. Estos
campos son validos tanto para IPv4 como IPv6.

ARQUITECTURA

Nodos extremos DS: realiza diferentes funciones como el acondicionamiento de tráfico

entre los dominios Diffserv interconectados. Debe clasificar y establecer las condiciones
de ingreso de los flujos de tráfico en función de: dirección IP y puerto (origen y destino),
protocolo de transporte y DSCP, este clasificador se conoce como MF (Multi-Field
Classifier). Una vez marcados adecuadamente, los nodos internos deberán seleccionar el
PHB definido para cada flujo de datos.

Los nodos DS de entrada serán responsables de asegurar que el tráfico de entrada

cumple los requisitos de algún TCA (Traffic Conditioning Agreement), que es un
derivado del SLA, entre los dominios interconectados.

Los nodos DS de salida deberán realizar funciones de acondicionamiento de tráfico o TC

(Traffic Conformation) sobre el tráfico transferido al otro dominio DS conectado.

Nodos internos DS: podrá realizar limitadas funciones de TC, tales como remarcado de
DSCP.

Los nodos DS internos solo se conectan a nodos internos o a nodos externos de su propio
dominio. A diferencia de los nodos externos para la selección del PHB solo ser tendrá en
cuenta el campo DSCP, conocido como clasificador BA (Behavior Aggregate
Classifier).

8
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

PROTOCOLO DE GESTIÓN DE POLÍTICAS (COPS)

Dentro de este escenario que define Diffserv necesitamos algún modo de comunicación
para distribuir las políticas de calidad de servicio entre los elementos de red que las
necesiten. Existe un protocolo creado para tal efecto que nos permitirá resolver este
problema de comunicación.

El protocolo COPS (Common Open Policy Service) especificado, define un modelo

sencillo de clienteservidor que proporciona control de políticas para protocolos

con señalización de calidad de servicio.

El protocolo COPS se basa en sencillos mensajes de petición y respuesta utilizados para

intercambiar información acerca de políticas de tráfico entre un servidor de políticas y
distintos tipos de clientes.

El protocolo emplea un modelo cliente/servidor en el que el PEP (PEP, Policy

Enforcement Points) envía peticiones y actualizaciones al PDP (PDP, Policy Decision
Point), y el PDP responde con las decisiones tomadas.

El protocolo utiliza TCP como protocolo de transporte para asegurar así fiabilidad en el
intercambio de mensajes entre los clientes y el servidor.

COPS proporciona seguridad a nivel de mensaje mediante autenticación, protección

frente al reenvío (replay) e integridad de mensaje.

COPS permite además reutilizar otros protocolos de seguridad existentes para

proporcionar autenticación y proteger el canal entre el PEP y el PDP.

Debemos tener en cuenta que un dominio Diffserv puede estar formado por más de una
red, de manera que el encargado de la administración de esta, será responsable de
repartir adecuadamente los recursos de acuerdo con el contrato de servicio (SLA –
Service Level Agreement) entre el cliente y el proveedor del servicio.

9
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

IPSEC
SEGURIDAD EN IP (INTERNET PROTOCOL SECURITY)

DEFINICION

IPSEC es una extensión del protocolo IP y un conjunto de protocolos cuya

función es asegurar las comunicaciones sobre IP. Fue diseñado en un principio
para IPv6, pero luego fue portado a IPv4, pudiéndose utilizar en ambas
versiones del protocolo IP.

IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas

superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS
operarán en capas superiores a la capa 3 del modelo OSI de ISO. Como
también es el caso de TCP y UDP, protocolos de transporte, ya que estos son
encapsulados por la capa tres donde actúa IPSec.

IPSec emplea dos protocolos diferentes - AH y ESP - para asegurar la

autenticación, integridad y confidencialidad de la comunicación. Puede proteger
el datagrama IP completo o sólo los protocolos de capas superiores. Estos
modos se denominan, respectivamente, modo túnel y modo transporte.

 Modo Túnel: el datagrama IP se encapsula completamente dentro de

un nuevo datagrama IP que emplea el protocolo IPSec.
 Modo Transporte: IPSec sólo maneja la carga del datagrama IP,
insertándose la cabecera IPSec entre la cabecera IP y la cabecera del
protocolo de capas superiores.

Para proteger la integridad de los datagramas IP, los protocolos IPsec

emplean códigos de autenticación de mensaje basados en resúmenes (HMAC -
Hash Message Authentication Codes). Para el cálculo de estos HMAC los
protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para
calcular un resumen basado en una clave secreta y en los contenidos del
datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el

10
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

receptor del paquete puede comprobar el HMAC si tiene acceso a la clave

secreta.

Para proteger la confidencialidad de los datagramas IP, los protocolos IPsec

emplean algoritmos estándar de cifrado simétrico como 3DES, AES y Blowfish.

PROTECCIÓN CONTRA ATAQUES

Para protegerse contra ataques por denegación de servicio, los

protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un
número de secuencia y sólo se acepta su recepción si el número de paquete se
encuentra dentro de la ventana o es posterior. Los paquetes anteriores son
descartados inmediatamente. Esta es una medida de protección eficaz contra
ataques por repetición de mensajes en los que el atacante almacena los
paquetes originales y los reproduce posteriormente.

Para que los participantes de una comunicación puedan encapsular y

desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar
las claves secretas, algoritmos y direcciones IP involucradas en la
comunicación. Todos estos parámetros se almacenan en asociaciones de
seguridad (SA - Security Associations). Las asociaciones de seguridad, a su
vez, se almacenan en bases de datos de asociaciones de seguridad (SAD -
Security Asocciation Databases).

La familia de protocolos IPsec está formada por dos protocolos: el AH

(Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated
Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP
independientes. A continuación se explicara brevemente la funcionalidad de los
protocolos AH y ESP

AH - CABECERA DE AUTENTICACIÓN

El protocolo AH protege la integridad del datagrama IP. Para

conseguirlo, el protocolo AH calcula una HMAC (Hash Message
Authentication Codes) basada en la clave secreta, el contenido del paquete
y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras
esto, añade la cabecera AH al paquete.

El protocolo de cabecera de autenticación (AH) ofrece autenticación del origen

de los datos, integridad de los datos y protección contra la reproducción. Sin

11
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

embargo, AH no ofrece confidencialidad de datos, lo que significa que todos los

datos se enviarán como texto legible.

AH asegura la integridad de los datos mediante la suma de comprobación que

genera un código de autenticación de mensajes, como por ejemplo MD5. Para
asegurar la autenticación del origen de los datos, AH incluye una clave
compartida secreta en el algoritmo que utiliza para la autenticación. Para
asegurar la protección contra la reproducción, AH utiliza un campo de números
de secuencia dentro de la cabecera AH. Es importante observar que, a
menudo, estas tres funciones distintas se concentran y se conocen como
autenticación. En términos más sencillos, AH asegura que no se han
manipulado los datos mientras se dirigían a su destino final.

A pesar de que AH autentica el datagrama IP en la mayor medida posible, el

destinatario no puede predecir los valores de ciertos campos de la cabecera IP.
AH no protege estos campos, conocidos como campos mutables. Sin embargo,
AH siempre protege la carga útil del paquete IP.

ESP - CARGA DE SEGURIDAD ENCAPSULADA

El protocolo ESP puede asegurar la integridad del paquete empleando

una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera
y añade al paquete tras cifrarlo y calcular su HMAC.

El protocolo ESP proporciona autenticidad de origen, integridad y protección de

confidencialidad de un paquete. ESP también soporta configuraciones de sólo
cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está
altamente desaconsejado porque es inseguro. Al contrario que con AH, la
cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo
túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo
la cabecera interna; la cabecera externa permanece sin proteger). ESP opera
directamente sobre IP.

12
Instituto Profesional Duoc UC
Ingeniería en Conectividad y Redes
Integración de Redes

CONCLUSIÓN
Con este informe podemos concluir que para todo proceso de comunicación que requiera
algún tipo de acceso de calidad privada y con disponibilidad de acceso remoto. El uso de
VPN nos permite conectar mediante protocolos PPP para establecer conexión virtual a
través de túneles que viajan por la WAN para conectar con servicios que antiguamente
solo podrían haber sido utilizados de manera local.

Pudimos conocer 3 tipos de protocolos VPN, los cuales son muy similares en
características pero varían directamente en el tipo de aplicación y de servicios que se
requieran comunicar.

Basándose en el concepto de conexiones Point to Point, Estos protocolos pueden

establecer conexiones virtuales locales y privadas a través de internet, dependiendo del
protocolo, por distintas capas de transmisión de tramas o paquetes según sea el caso. De
esta manera, se define el tipo y la calidad de servicio y las aplicaciones que serán
transimitidas a través de la Internet.

13