Académique Documents
Professionnel Documents
Culture Documents
1.- Introducción:
Hace unos años no era tan necesario conectarse a Internet por motivos de trabajo. Conforme ha ido pasado el tiempo
las empresas han visto la necesidad de que las redes de área local superen la barrera de lo local permitiendo la
conectividad de su personal y oficinas en otros edificios, ciudades, comunidades autónomas e incluso países.
Desgraciadamente, en el otro lado de la balanza se encontraban las grandes inversiones que era necesario realizar
tanto en hardware como en software y por supuesto, en servicios de telecomunicaciones que permitiera crear estas
redes de servicio.
Afortunadamente con la aparición de Internet, las empresas, centros de formación, organizaciones de todo tipo e
incluso usuarios particulares tienen la posibilidad de crear una Red privada virtual (VPN) que permita, mediante
una moderada inversión económica y utilizando Internet, la conexión entre diferentes ubicaciones salvando la
distancia entre ellas.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de
carácter privado, únicamente a personal autorizado, de una empresas, centros de formación, organizaciones, etc.;
cuando un usuario se conecta vía Internet, la configuración de la red privada virtual le permite conectarse a la red
privada del organismo con el que colabora y acceder a los recursos disponibles de la misma como si estuviera
tranquilamente sentado en su oficina.
Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter
público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes
privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y
privado que permitirá trabajar al usuario como si estuviera en su misma red local.
En la mayoría de los casos la red pública es Internet, pero también puede ser una red ATM o Frame Relay
La comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles
virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e
integridad de los datos transmitidos a través de esa red pública. Debido al uso de estas redes públicas, generalmente
Internet, es necesario prestar especial atención a las cuestiones de seguridad para evitar accesos no deseados.
La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se encapsula un tipo de paquetes de
datos dentro del paquete de datos propio de algún protocolo de comunicaciones, y al llegar a su destino, el paquete
original es desempaquetado volviendo así a su estado original.
En el traslado a través de Internet, los paquetes viajan encriptados, por este motivo, las técnicas de autenticación son
esenciales para el correcto funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que están
intercambiando información con el usuario o dispositivo correcto.
La autenticación en redes virtuales es similar al sistema de inicio de sesión a través de usuario y contraseña, pero
tienes unas necesidades mayores de aseguramiento de validación de identidades.
La mayoría de los sistemas de autenticación usados en VPN están basados en sistema de claves compartidas.
La autenticación se realiza normalmente al inicio de una sesión, y luego, aleatoriamente, durante el transcurso de la
sesión, para asegurar que no haya algún tercer participante que se haya podido entrometer en la conversación.
Todas las VPNs usan algún tipo de tecnología de encriptación, que empaqueta los datos en un paquete seguro para su
envío por la red pública.
La encriptación hay que considerarla tan esencial como la autenticación, ya que permite proteger los datos
transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión.
Existen dos tipos de técnicas de encriptación que se usan en las VPN: Encriptación de clave secreta, o privada, y
Encriptación de clave pública.
Páginá 1
SISTEMAS DE TRANSMISION
En la encriptación con clave secreta se utiliza una contraseña secreta conocida por todos los participantes que van a
hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar como para desencriptar la
información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe
mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear
problemas de seguridad.
La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es
enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante
de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del
generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de
clave secreta.
En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta manera, los flujos de información
encriptada a través de una red lo son utilizando encriptación de clave secreta con claves que son válidas únicamente
para la sesión usada en ese momento.
Comencemos por la configuración del Servidor, y como ocurre siempre con Microsoft, para casi todas las
operaciones que se pueden realizar hay un asistente que nos ayuda. Para arrancar el asistente vemos la operativa en la
siguiente imagen:
Figura 1.
Pinchamos en Inicio ---> Configuración ---> Conexiones de red, lo que permitirá que aparezca la siguiente
pantalla:
Páginá 2
SISTEMAS DE TRANSMISION
Figura 2.
Hacemos doble click sobre el Asistente para conexión nueva para arrancarlo:
Figura 3.
Figura 4.
Seleccionamos la opción Configurar una conexión avanzada y volvemos a pulsar el botón siguiente que nos lleva a
la siguiente pantalla:
Páginá 3
SISTEMAS DE TRANSMISION
Figura 5.
En este caso, seleccionamos la opción Aceptar conexiones entrantes y pulsamos el botón Siguiente. Aparecerá otra
ventana:
Figura 6.
Aquí debemos mantener desmarcada la casilla de verificación y pulsamos de nuevo el botón Siguiente y aparecerá
otra ventana:
Figura 7.
En esta ventana seleccionamos Permitir conexiones privadas virtuales, pulsamos de nuevo el botón Siguiente y
pasaremos a la otra ventana:
Páginá 4
SISTEMAS DE TRANSMISION
Figura 8.
En esta ventana nos parecerán los usuarios definidos en la máquina y debemos seleccionar el que vamos a usar para
acceder desde el exterior.
Hemos creado un usuario nuevo desde el administrador de usuarios y le hemos asignado una contraseña. En caso de
no querer usar el administrador de usuarios podemos pinchar en el botón Agregar y podremos crear uno con la
contraseña que deberá usar para acceder, tal y como vemos en la siguiente imagen:
Figura 9.
Si pulsamos en el botón Aceptar nos crea la cuenta de usuario. Si no queremos crear ningún usuario o lo hemos
creado previamente, sólo hay que seleccionarlo como podemos ver que ocurre en la Imagen08 con el usuario
EXTERNO y a continuación pulsamos de nuevo el botón Siguiente para pasar de pantalla:
Figura 10.
En esta pantalla mantenemos activas todas las opciones y volvemos a pulsar en el botón Siguiente para terminar:
Páginá 5
SISTEMAS DE TRANSMISION
Figura 11.
Vemos la última pantalla en la que pulsamos en el botón Finalizar para crear definitivamente la conexión y cerrar el
asistente.
Una vez finalizado el proceso, en la pantalla Conexiones de red veremos creada la nueva conexión
Figura 12 .
que hemos resaltado en color verde para destacarla.
En lo que se refiere a la parte servidora, es decir la máquina a la que vamos a acceder, podemos dar por terminada la
configuración, aunque es cierto que si el equipo se encuentra en una red interna y detrás de un router habrá que
realizar el mapeo de puertos para que la conexión funcione y además habrá que tener en cuenta que si tenemos
activado el Firewall debemos marcar la casilla Conexión entrante VPN (PPTP) para que no quede bloqueada.
Mencionaremos que el puerto de trabajo para el protocolo PPTP es el 1723, que será el que debemos incluir en la
configuración del router.
No damos detalles sobre cómo realizar esta operación ya que depende del modelo de router que se use. También
destacar que el número de protocolo que corresponde al PPTP es el 47. Si usamos L2TP el puerto a configurar es el
1701. Si se va a utilizar además IPSec, se debe abrir el puerto UDP 500 y los protocolos de Id. 50 (IPSec ESP) y 51
(IPSec AH).
Páginá 6
SISTEMAS DE TRANSMISION
Figura 13 .
Seleccionamos la opción de Conectarsea la red de mi lugar de trabajo y pulsamos en el botón Siguiente para
avanzar:
Figura14.
Seleccionamos la opción de Conexión de red privada virtual y pulsamos en el botón Siguiente para avanzar:
Figura 15.
En esta pantalla vamos a asignarle un nombre a la conexión y de nuevo pulsamos en el botón Siguiente para avanzar:
Páginá 7
SISTEMAS DE TRANSMISION
Figura16.
Vemos que nos aparece una caja de texto para que pongamos la dirección IP que tendrá en internet el servidor al que
nos queremos conectar de tal forma que NNN.NNN.NNN.NNN serán los número que forman esa dirección IP por
ejemplo, 83.83.84.185 si fuera el caso. A continuación pulsamos en el botón Siguiente para avanzar:
Figura 17.
Seleccionamos la opción Sólo para mi uso y volvemos a pulsar en el botón Siguiente para avanzar, apareciendo esta
última ventana:
Figura 18.
En la que podemos elegir si queremos un acceso directo a la conexión en el propio escritorio y a continuación
pulsamos en el botón Finalizar para crear definitivamente la conexión y cerrar el asistente.
Páginá 8
SISTEMAS DE TRANSMISION
Una vez finalizado el proceso, en la pantalla Conexiones de red veremos creada la nueva conexión:
Figura 19.
Figura 20.
Como vemos hay que introducir los datos del usuario que autorizamos al configurar la parte servidora y la contraseña
corresponderá a la misma que se le estableció en el momento de su creación. Pinchamos en el botón Conectar y
vemos como inicia las comunicaciones.
Figura 21.
Si todo ha ido bien conectaremos con el servidor y podremos trabajar con él si problemas.
Páginá 9
SISTEMAS DE TRANSMISION
6.- CONCLUSIONES
En conclusión las VPN, hace posible que los empleados de una compañía accedan remotamente a sus redes
y servidores sin que se vea comprometida la seguridad.
Otra de sus virtudes es que no se trata de servicios demasiado caros y que incluso encontramos opciones
que merecen la pena de manera gratuita.
Para acabar, son fáciles de utilizar, nos dejan conectarnos y desconectarnos fácilmente a nuestro antojo (una
vez configurada) y funciona con múltiples aplicaciones enrutando todo el tráfico de Internet.
Páginá 10
SISTEMAS DE TRANSMISION
Ya sabemos que el servidor cuenta con 2 tarjetas de red, una que será nuestra WAN y otra que será nuestra LAN.
Sólo para recalcar, ya que esto deberían de saberlo, WAN es la interfaz de red que se conectará al router y de la que
nuestro servidor se conectará a internet, y LAN es la interfaz de red a la que nuestros clientes se conectarán,
incluyendo nosotros ya que vendríamos a ser clientes del servidor.
Tal como se ve en la imagen de arriba, se puede conectar un switch a la tarjeta LAN para así poder conectar todos los
dispositivos que queramos, ya sean Access Points, PC's, Equipos VoIP, etc.
1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de red WAN) para que nuestro servidor se puede
comunicar con el router. Para eso nos vamos a IP -> Addresses y agregamos una nueva regla (+)
Páginá 11
SISTEMAS DE TRANSMISION
Address, aquí colocaremos el WAN IP del servidor, este IP tiene que estar en el mismo rango de red que la IP de
nuestro router, del ejemplo, el IP es: 192.168.1.2, Quizá se estén preguntando qué quiere decir el "/24" que se
encuentra al final del IP; bueno, el "/24" corresponde a a máscara de subred, en este caso quiere decir 255.255.255.0.
Interface, seleccionamos a qué interfaz de red asignaremos esta IP, en este caso elegiremos ether1, que está haciendo
referencia a WAN. Esta referencia sólo aparecerá si hemos colocado un comentario a las "ether#" en Intefaces. Para
saber más de esto último, sugiero dar lectura a esta guía.
Network y Broadcast, no es necesario configurarlas manualmente ya que al momento de colocar el "/24" en Address,
estas 2 opciones se configurarán automáticamente al momento de hacer click en el botón Apply u OK.
2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de red LAN) para que podamos conectarnos al servidor.
Esta IP será nuestra nueva puerta de enlace, y tiene que ser una red diferente a WAN, por lo tanto no podrá ser
192.168.1.X.
El proceso es similar al anterior, salvo que aquí utilicé, como opcional, el botón Comment para dejar un comentario a
la regla que acabo de crear y así poder reconocerla fácilmente.
3.- Una vez que tengamos las IP's configuradas para cada tarjeta, tocará hacer el "enmascarado", para eso vamos a IP
-> Firewall -> Pestaña NAT, y agregamos una nueva regla (+)
Páginá 12
SISTEMAS DE TRANSMISION
Chain, seleccionamos scrnat. Aunque siempre está así por defecto cuando se crea una nueva regla...
Action, eligiremos masquerade que nos permitirá enmascarar nuestras conexiones a detrás de la WAN IP, y así aislar
nuestra red LAN. En realidad existen muchas maneras de trabajar el enmascarado, aunque personalmente uso y
recomiendo esta, así que no se sorprendan si ven una manera diferente de enmascaramiento en otras guías.
4.- Como cuarto y último paso: hacer el ruteo a una puerta de enlace disponible, en realidad es bastante simple ya que
sólo hay que especificar el Gateway o puerta de enlace donde el servidor se conectará a internet, de nuestro ejemplo,
la puerta de enlace para el servidor, será la IP del router; del ejemplo, es 192.168.1.1, para eso nos vamos a IP ->
Routes.
Páginá 13
SISTEMAS DE TRANSMISION
Ya en la ventana Route List, veremos que hay 2 reglas que nosotros no agregamos. Esto es normal ya que ahí se
agregan las rutas de las IP's que asignamos previamente a las tarjetas de red en Address List. Para agregar la puerta de
enlace que usará nuestro servidor, vamos a la pestaña Routes y agregamos una nueva regla.
Gateway, aquí sólo colocaremos la puerta de enlace del router (el IP del router), de esta manera le estamos diciendo
al servidor de dónde tiene que sacar internet para repartirlo a nuestros clientes. Como opcional, le coloqué un
comentario a la regla con la ayuda del botón Comment.
Con esto la interfaz de red LAN (ether2 en este ejemplo) ya debería de tener internet si es que conectamos los cables
correctamente (ver primera imagen), sólo hay configurar las tarjetas de red de los clientes para para iniciar conexión.
Teniendo en cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces el cliente debería de tener esta
configuración de acuerdo a ese rango de red. Un ejemplo desde un cliente con Windows 7.
Páginá 14
SISTEMAS DE TRANSMISION
Dirección IPv6
Una Dirección de Internet Protocol Versión 6 (Dirección IPv6) es una etiqueta numérica usada para identificar un
interfaz de red (elemento de comunicación/conexión) de un ordenador o nodo de red participando en una red IPv6.
Las direcciones IP se usan para identificar de manera única una interfaz de red de un Host, localizarlo en la red y de
ese modo encaminar paquetes IP entre hosts. Con este objetivo, las direcciones IP aparecen en campos de la cabecera
IP indicando el origen y destino del paquete.
IPv6 es el sucesor del primer protocolo de direccionamiento de Internet, Internet Protocol versión 4 (IPv4). A
diferencia de IPv4, que utiliza una dirección IP de 32 bits, las direcciones IPv6 tienen un tamaño de 128 bits. Por lo
tanto, IPv6 tiene un espacio de direcciones mucho más amplio que IPv4.
Las direcciones anycast no se identifican fácilmente pues tienen el mismo formato que las unicast, diferenciándose
únicamente por estar presente en varios puntos de la red. Casi cualquier dirección unicast puede utilizarse como
dirección anycast.
• Una dirección multicast también es usada por múltiples hosts, que consiguen la dirección multicast participando en
el protocolo de multidifusión (multicast) entre los routers de red. Un paquete enviado a una dirección multicast es
entregado a todos los interfaces que se hayan unido al grupo multicast correspondiente.
IPv6 no implementa direcciones broadcast. El mismo efecto puede lograrse enviando un paquete al grupo de
multicast de enlace-local todos los nodos (all-nodes) ff02::1. Sin embargo, no se recomienda el uso del grupo all-
nodes, y la mayoría de protocolos IPv6 usan un grupo multicast de enlace-local exclusivo en lugar de molestar a
todos los interfaces de la red.
A la larga, IPv6 sustituirá a IPv4 como estándar de Internet. Por lo tanto, su empresa decide implementar IPv6 para
sus operaciones financieras y adquiere una nueva aplicación de contabilidad que utiliza IPv6 para la conectividad. La
aplicación necesita conectarse con otra instancia de la aplicación situada en un servidor diferente conectado a la red
de área local (LAN) Ethernet de la ubicación. Su tarea consiste en configurar su servidor para IPv6, de forma que su
empresa pueda empezar a utilizar la aplicación de contabilidad. La imagen siguiente ilustra la configuración de la red
en este caso práctico..
Páginá 15
SISTEMAS DE TRANSMISION
CONCLUSIONES
Páginá 16