Capítulo 2.

- Funcionamiento de las VPN

2
Funcionamiento de las
VPN

En este capítulo se explica la definición, arquitecturas, tipos y topologías de una

VPN. También se presenta el concepto de tunneling, que es la tecnología más
importante sobre las que operan las VPN y se explican los métodos de seguridad
(cifrado de datos, autenticación) que son utilizados para proteger los datos

43
Capítulo 2.- Funcionamiento de las VPN

2.1 Introducción a las VPN

2.1.1 Definición de Red Privada Virtual (VPN)

Como se pudo leer en el capítulo anterior, los métodos tradicionales de acceso

remoto y creación de WAN privadas resultan ser bastante costosos. Puesto que
las redes públicas resultan ser mucho más económicas que las privadas, se
buscaron maneras de poder establecer una red privada dentro de una red pública.
El resultado fue el surgimiento de las Redes Privadas Virtuales (VPN) las cuales
han ofrecido ventajas muy amplias a las corporaciones siendo la principal de ellas
la reducción de costos de instalación y mantenimiento de forma muy significativa.
Se puede definir a una VPN de la siguiente manera:

Una Red Privada Virtual (VPN, Virtual Private Network) es una red privada que
utiliza la infraestructura de una red pública para poder transmitir información.

Una VPN combina dos conceptos: redes virtuales y redes privadas. En una red
virtual, los enlaces de la red son lógicos y no físicos. La topología de esta red es
independiente de la topología física de la infraestructura utilizada para soportarla.
Un usuario de una red virtual no será capaz de detectar la red física, el sólo podrá
ver la red virtual. [19]

Desde la perspectiva del usuario, la VPN es una conexión punto a punto entre el
equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La
infraestructura exacta de la red pública es irrelevante dado que lógicamente
parece como si los datos se enviaran a través de un vínculo privado dedicado.
Esto se puede apreciar en la figura 2.1. [52][51][48]

44
Capítulo 2.- Funcionamiento de las VPN

Figura 2.1 VPN: una red virtual

Las redes privadas son definidas como redes que pertenecen a una misma
entidad administrativa. Un ejemplo típico de esta clase de red es una intranet
corporativa, la cual puede ser utilizada sólo por los usuarios autorizados. De los
conceptos de red privada y red virtual es como nace el concepto de red privada
virtual. [19]

Debido al hecho de ser una red privada que utiliza una red pública, la cuestión de
la seguridad en una VPN es muy importante, ya que la información que circula en
una red pública puede ser vista por cualquiera si no se toman las debidas
precauciones. Y en una red pública como Internet existen muchas personas
malintencionadas que siempre están dispuestas a robar información. Es por eso
que una VPN debe de poseer excelentes mecanismos de autenticación y de
encriptación de la información para que ésta viaje segura a través de una red
pública.

45
Capítulo 2.- Funcionamiento de las VPN

2.1.1.1 Historia del término VPN

Resulta confuso definir el término VPN. El problema radica en que cada fabricante
o proveedor de servicios VPN define a las VPN de diferentes maneras. No existen
estándares que definan los componentes de software o hardware de una VPN o
las tecnologías VPN, por lo que cada fabricante ofrece los servicios VPN que más
se adaptan a sus propias plataformas de hardware y aplicaciones de software.
Como la tecnología no está estandarizada, se ofrecen VPN en toda clase de
formas diferentes, como pueden ser firewalls, sistemas operativos, etc.2 Respecto
a la confusión para definir VPN un empresario de una importante empresa de
telecomunicaciones mencionó: “Las VPN tienden a ser ahora lo que el mercado
dice que son”. [60] [3] [16]

El tiempo también ha modificado el concepto de VPN. El término VPN comenzó a

aplicarse a las redes Frame Relay o ATM públicas, o a un servicio de acceso
remoto basado en la red pública de telefonía conmutada (PSTN). En el capítulo
anterior se explicó que las redes Frame Relay pueden implementarse de forma
pública o privada. Pues bien, a las redes públicas Frame Relay se les dio el
nombre de VPN, así como también a las redes públicas ATM. Estos servicios de
VPN eran proporcionados por un proveedor de servicios, el cual conectaba las
redes de diferentes organizaciones a su red ATM o Frame Relay. [42]

Otros proveedores utilizan el término en referencia a los servicios provistos sobre

sus redes de datos privadas (como es el caso de Telmex, Avantel y Alestra). Pero
las expectativas creadas por la utilización de Internet y de IP en general como
medio de transporte son tan altas que incluso algunos expertos han redefinido el
concepto de VPN como una red que soporta transporte de datos privados sobre
infraestructura IP pública. Y la infraestructura IP por excelencia es Internet, la red

2
Ver tipos de VPN para consultar las distintas soluciones VPN que se ofrecen

46
Capítulo 2.- Funcionamiento de las VPN

de datos más pública que existe. De esta forma, el término VPN se está aplicando
cada vez más a las redes privadas que transportan datos utilizando Internet.3 [46]

2.1.1.2 Componentes de una VPN

Los componentes básicos de una VPN aparecen en la figura 2.2 y son:

• Servidor VPN
• Túnel
• Conexión VPN
• Red pública de tránsito
• Cliente VPN

Figura 2.2 Componentes de una VPN [51]

Para emular un vínculo punto a punto en una VPN, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento
que permite a los datos recorrer la red pública hasta alcanzar su destino. Para
emular un vínculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pública no se pueden descifrar
si no se dispone de las claves de cifrado. La parte de la conexión en la cual los
datos privados son encapsulados es conocida como túnel. La parte de la conexión
en la que se encapsulan y cifran los datos privados se denomina conexión VPN.
[52] [51]

3
En adelante, esta monografía se centrará en las VPN basadas en redes IP, como Internet

47
Capítulo 2.- Funcionamiento de las VPN

2.1.1.3 Utilizar Internet para crear una VPN

El uso de Internet como una VPN permitió a los usuarios remotos acceder a la red
corporativa utilizando a un ISP. Puesto que ahora muchos ISP ofrecen acceso
ilimitado a Internet por un precio de $200 en promedio al mes para conexiones de
módem, el uso de Internet puede proporcionar muchos beneficios económicos
comparados con las tarifas de hacer llamadas de larga distancia. Por ejemplo, si la
llamada de larga distancia cuesta $1 por minuto, una hora de acceso por día para
un usuario viajero resultaría en un costo de $60 por día o $1200 al mes si se
trabajan 20 días al mes. Por lo tanto, un costo de $200 pesos al mes por tener
acceso ilimitado a Internet claramente demuestra el ahorro considerable de dinero
que se obtiene con el uso de una VPN.

Cuando una VPN es utilizada como un mecanismo para reemplazar redes

privadas, también se pueden obtener bastantes beneficios económicos. La figura
2.3 muestra a dos sucursales conectadas con la oficina corporativa. En el inciso a)
se muestra una red privada típica mientras que en el inciso b) se muestra una
VPN que usa Internet como red pública.

Figura 2.3 El uso de Internet para crear una VPN

En el inciso b) se muestra que cada LAN de la empresa se conecta a Internet a

través de un ISP local usando tres conexiones T1. La mayoría de los ISP tienen

48
Capítulo 2.- Funcionamiento de las VPN

presencia en varias ciudades y cobrarán una tarifa de $10000 al mes por una
conexión T1. Tanto las sucursales como la oficina principal utilizan una conexión
T1 a Internet a través de un ISP con el fin de interconectar sus redes LAN a través
de Internet.

Desde una perspectiva económica, se puede comparar el costo de usar Internet

con el costo de mantener una red privada con dos conexiones T1 como aparece
en el inciso a). Si se supone que cada red LAN se encuentra a 500 millas (804.67
Km.) de la otra, se requerirá de 1000 millas (1609.34 km.) de conexión T1 para
interconectar los tres sitios.

Aunque el costo de los circuitos T1 puede variar por distintos factores, un costo de
$30 por milla (1.61 km.) proporciona una aproximación razonable. De esta forma,
interconectar tres sitios como aparece en el inciso a) con dos conexiones T1
costaría $30000, si existe una distancia de 500 millas entre sitios. Hay que notar
que este costo iguala al costo de interconectar tres sitios utilizando Internet como
aparece en el inciso b).

Sin embargo, si se asume ahora que cada uno de esos tres sitios se encuentran a
una distancia de 3500 millas (5632.70 Km.) entre ellos; a un costo mensual de $30
por milla, el costo de dos líneas T1 para interconectar tres sitios como en el inciso
a) se incrementaría en 3500*30, o $105,000. Ahora si se asume que cada sitio se
interconecta con los otros usando la VPN del inciso b), el costo de conectar cada
sitio seguiría siendo de $10000 al mes, puesto que cada sitio se conecta con el
ISP local. Por lo tanto, el costo de usar la VPN del inciso b) permanecería en
$30000, mientras que con la red privada del inciso a) el costo sería de $105,000.
Está claro que con la VPN se lograría un ahorro de $75000. [8]

49
Capítulo 2.- Funcionamiento de las VPN

2.1.2 Arquitectura de una VPN

Existen básicamente dos tipos de arquitectura para una VPN. Estos son:
• VPN de acceso remoto
• VPN de sitio a sitio

La VPN de sitio a sitio también puede ser llamada VPN LAN a LAN o VPN POP a
POP. Las VPN de sitio a sitio se dividen a su vez en VPN extranet y VPN intranet.
Las VPN de acceso remoto se dividen en VPN Dial-up y VPN directas. [19]

2.1.2.1 VPN de acceso remoto

Esta VPN proporciona acceso remoto a una intranet o extranet corporativa. Una
VPN de acceso remoto permite a los usuarios acceder a los recursos de la
compañía siempre que lo requieran. Con el cliente VPN instalado en un
dispositivo, el usuario es capaz de conectarse a la red corporativa, no importa
donde se encuentre. La figura 2.4 muestra una VPN de acceso remoto. [63] [3]

Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios
sólo necesitan establecer una conexión con un ISP local, pagándose solamente la
llamada local y olvidándose de realizar llamadas de larga distancia. El cliente de
acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN
de la compañía. Una vez que se ha establecido el enlace, el usuario puede
acceder a los recursos de la intranet privada de la empresa. [51]

De acuerdo a la tecnología utilizada para establecer la conexión, las VPN de

acceso remoto se puede dividir en VPN dial-up y VPN directas.

VPN dial-up. En esta VPN, el usuario realiza una llamada local al ISP utilizando
un módem. Aunque se trata de una conexión lenta es todavía muy común. El uso
de este tipo de VPN se da más entre los usuarios móviles, ya que no en todos los

50
Capítulo 2.- Funcionamiento de las VPN

lugares a donde se viaja se pueden tener disponibles conexiones de alta

velocidad.

VPN directa. En esta VPN, se utilizan las tecnologías de conexión a Internet de

alta velocidad, tales como DSL y módem de cable las cuales ya ofrecen muchos
ISP. Este tipo de VPN se puede encontrar principalmente entre los
teletrabajadores. Actualmente se pueden obtener conexiones a Internet desde el
hogar utilizando estas tecnologías. [5]

Figura 2.4 VPN de acceso remoto

2.1.2.2 VPN de sitio a sitio

Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente
separados de una corporación. Como ya se explicó anteriormente, en las redes
tradicionales las distintas oficinas de una corporación son conectadas utilizando
tecnologías como T1, E1, ATM o Frame Relay.

Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El
envío de información se realiza a través de una conexión VPN. De esta forma, se
puede crear una WAN utilizando una VPN. Una empresa puede hacer que sus
redes se conecten utilizando un ISP local y establezcan una conexión de sitio a
sitio a través de Internet. [52][51] [54]

51
Capítulo 2.- Funcionamiento de las VPN

Los costos de la comunicación se reducen enormemente porque el cliente sólo

paga por el acceso a Internet. Las oficinas remotas se conectan a través de
túneles creados sobre Internet. Con el uso de la infraestructura de Internet, una
empresa puede desechar la difícil tarea de tener que estar administrando los
dispositivos como los que se utilizan en las WAN tradicionales. [19] [23]

En base a lo problemas comerciales que resuelven, las VPN de sitio a sitio pueden
subdividirse a su vez en VPN intranet y VPN extranet.

VPN intranet. Las VPN intranet se utilizan para la comunicación interna de una
compañía, como aparece en la figura 2.5. Enlazan una oficina central con todas
sus sucursales. Se disfrutan de las mismas normas que en cualquier red privada.
Un enrutador realiza una conexión VPN de sitio a sitio que conecta dos partes de
una red privada. El servidor VPN proporciona una conexión enrutada a la red a la
que está conectado el servidor VPN. [63] [52] [3]

Figura 2.5 VPN intranet

VPN extranet. Estas VPN enlazan clientes, proveedores, socios o comunidades

de interés con una intranet corporativa, como se muestra en la figura 2.6. Se
puede implementar una VPN extranet mediante acuerdo entre miembros de
distintas organizaciones. Las empresas disfrutan de las mismas normas que las de
una red privada. Sin embargo, las amenazas a la seguridad en una extranet son
mayores que en una intranet, por lo que una VPN extranet debe ser

52
Capítulo 2.- Funcionamiento de las VPN

cuidadosamente diseñada con muchas pólizas de control de acceso y acuerdos de

seguridad entre los miembros de la extranet. [3] [63] [19]

Figura 2.6 VPN extranet

2.1.3 Tipos de VPN

Existen diferentes formas de que una organización puede implementar una VPN.
Cada fabricante o proveedor ofrece diferentes tipos de soluciones VPN. Cada
corporación tendrá que decidir la que más le convenga. Los tipos diferentes de
VPN son:
• VPN de firewall
• VPN de router y de concentrador
• VPN de sistema operativo
• VPN de aplicación
• VPN de proveedor de servicios

2.1.3.1 VPN de firewall

Un firewall (llamado también cortafuegos o servidor de seguridad) es un sistema

[1]
de seguridad que implanta normas de control de acceso entre dos o más redes.
Se trata de un filtro que controla todas las comunicaciones que pasan de una red a
la otra y en función de lo que sean permite o deniega su paso. Para permitir o
denegar una comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del

53
Capítulo 2.- Funcionamiento de las VPN

servicio el firewall decide si lo permite o no. Además, el firewall examina si la

comunicación es entrante o saliente y dependiendo de su dirección puede
permitirla o no. Un firewall puede ser un dispositivo software o hardware. [33]

Es muy común que se utilice un firewall para proporcionar servicios VPN.

Empresas como Cisco Systems, Nortel Networks y 3Com ofrecen en muchos de
sus dispositivos firewall soporte para VPN. Una VPN basada en firewall tiene la
ventaja de que simplifica la arquitectura de la red al establecer un único punto de
control de seguridad. Además, los ingenieros de redes sólo tienen que hacerse
expertos en una tecnología, en lugar de tener que aprender a administrar un
firewall y la VPN de forma separada.

Entre los inconvenientes se puede mencionar que tener la VPN en un firewall

convierte al dispositivo en algo más complejo, por lo que se debe ser más
cuidadoso en su configuración o de lo contrario cualquier intruso podría tener
acceso no autorizado a la red. Otra desventaja ocurre debido a que tener firewall y
VPN juntos, se ejerce presión al rendimiento del firewall. Esto ocurre
principalmente si se tienen conectados cientos o incluso miles de usuarios. [16]

2.1.3.2 VPN de router y de concentrador

Empresas como Cisco, Nortel y 3Com entre otros también ofrecen servicios VPN
integrados dentro de un router o un dispositivo llamado concentrador VPN. Tanto
el router como el concentrador VPN están especialmente diseñado para las
conexiones VPN sitio a sitio y acceso remoto. Cuenta con las tecnologías VPN
más importantes y los métodos de autenticación y cifrado para proteger los datos
transmitidos. [2]

Este dispositivo está especialmente diseñado para las VPN, por lo que se trata de
la solución VPN más rápida. Resulta ser más fácil agregarles tarjetas con el fin de
incrementar el rendimiento. Dependiendo de la implementación, estas VPN

54
Capítulo 2.- Funcionamiento de las VPN

pueden configurarse para utilizar certificados, servicios de autenticación externos

o claves de seguridad.

2.1.3.3 VPN de sistema operativo

Los sistemas operativos como Windows de Microsoft, Netware de Novell o Linux

en sus diferentes distribuciones (Red Hat, Debian,…) ofrecen servicios de VPN ya
integrados. La principal ventaja de esta solución es que resulta ser económica ya
que en un mismo sistema operativo se pueden contar con una gran variedad de
servicios (servidor Web, de nombres de dominio, acceso remoto, VPN) y además
mejora los métodos de autenticación y la seguridad del sistema operativo. Tiene la
desventaja de que es vulnerable a los problemas de seguridad del propio sistema
operativo. Estas VPN se utilizan más para el acceso remoto. [16]

2.1.3.4 VPN de aplicación

Este tipo de VPN es poco común. Una VPN de aplicación es un programa que
añade posibilidades VPN a un sistema operativo. Sin embargo, este programa no
queda integrado con el sistema operativo. La ventaja de este tipo de VPN es que
la aplicación añade seguridad extra a la que podría ofrecer una VPN integrada al
[16]
sistema operativo. Un ejemplo de esta VPN es el programa ViPNet de Infotecs.
[44]

La desventaja es que estas VPN no soportan una gran cantidad de usuarios y son
mucho más lentas que una VPN basada en hardware. Si se utilizan en Internet,
son vulnerables a las fallas de seguridad del sistema operativo que contiene a la
aplicación. [16]

55
Capítulo 2.- Funcionamiento de las VPN

2.1.3.5 VPN de proveedor de servicios

Este tipo de VPN es proporcionada por un proveedor de servicios. Al principio las

VPN de proveedor de servicios se basaban en tecnologías tales como X.25 y
Frame Relay, posteriormente ATM y SMDS y finalmente se ofrecen redes basadas
en IP. El proveedor de servicios es la empresa propietaria de la infraestructura
tales como equipos y líneas de transmisión que ofrece líneas dedicadas virtuales a
sus clientes.4

El cliente se conecta a la red del proveedor de servicios a través de un dispositivo

de equipo terminal del cliente (CPE) como puede ser un router. El CPE se conecta
a través de medios de transmisión al equipo del proveedor de servicios, que puede
ser X.25, Frame Relay, un conmutador ATM o un router IP. La línea virtual que se
le proporciona al cliente mediante el proveedor de servicios se le llama circuito
virtual (VC).

El proveedor de servicios puede cargar o una tarifa plana para el servicio VPN,
que habitualmente depende del ancho de banda disponible para el cliente, o una
tarifa basada en el uso, que puede depender del volumen de datos intercambiados
o de la duración del intercambio de datos. [14]

Acuerdos a nivel del servicio (SLA, Service Level Agreements). Los SLA son
contratos negociados entre proveedores VPN y sus abonados en los que se
plantean los criterios de servicio que el abonado espera tengan los servicios
específicos que reciba. La SLA es el único documento que está a disposición del
abonado para asegurar que el proveedor VPN entrega el servicio o servicios con
el nivel y calidad acordados. Si se ha de implementar una VPN basada en
proveedor de servicios, este documento es de vital importancia para asegurar un
buen servicio. [3]

4
Ver el Anexo 1 para consultar un listado de algunos proveedores de servicios VPN

56
Capítulo 2.- Funcionamiento de las VPN

2.1.4 Topologías de VPN

La topología VPN que necesita una organización debe decidirse en función de los
problemas que va a resolver. Una misma topología puede ofrecer distintas
soluciones en diferentes compañías u organizaciones. En una VPN podemos
encontrar las siguientes topologías:

Para las VPN de sitio a sitio:

• Topología radial
• Topología de malla completa o parcial
• Topología híbrida

Para las VPN de acceso remoto:

• Topología de acceso remoto

En las VPN basadas en ATM y Frame Relay, los enlaces que conectan las oficinas
centrales con sus sucursales son circuitos virtuales (VC), mientras que en las VPN
basadas en IP como Internet, estos enlaces son los túneles que se establecen a
través de Internet.

2.1.4.1 Topología radial

En una VPN de sitio a sitio, ésta es la topología más común. Aquí, las sucursales
remotas se conectan a un sitio central, como se puede ver en la figura 2.7. Las
sucursales podrían intercambiar datos entre ellas, sin embargo, este tipo de datos
resulta ser muy insignificante. La mayor parte del intercambio de datos se da con
las oficinas centrales de la compañía. Los datos intercambiados entre las
sucursales siempre viajan a través del sitio central.

57
Capítulo 2.- Funcionamiento de las VPN

Figura 2.7 Topología radial

2.1.4.2 Topología de malla completa o parcial

Esta topología es implementada en corporaciones que no tienen una estructura

demasiado jerárquica. Aquí, las diversas LAN de la compañía pueden realizar un
intercambio constante de datos entre ellas. Dependiendo de sus necesidades, una
empresa puede utilizar una topología de malla completa si todas las LAN se
comunican entre sí o una topología de malla parcial, si sólo algunas LAN
mantienen intercambio de datos. En la gran mayoría de los casos se utiliza sólo
malla parcial. La figura 2.8 muestra una topología de malla:

Figura 2.8 Topología de malla: a) completa b) parcial

2.1.4.3 Topología híbrida

Las redes VPN grandes combinan la topología radial con la topología de malla
parcial. Como ejemplo, una empresa multinacional podría tener acceso a redes

58
Capítulo 2.- Funcionamiento de las VPN

implementadas en cada país con una topología radial, mientras que la red
principal internacional estaría implementada con una tecnología de malla parcial.

2.1.4.4 Topología de acceso remoto

Esta topología consiste en un enlace punto a punto entre el usuario remoto y la

oficina central utilizando tramas tunneling PPP intercambiadas entre el usuario
remoto y el servidor VPN. El usuario y el servidor establecen conectividad usando
un protocolo de capa 3, siendo el más común IP, sobre el enlace PPP entunelado
e intercambian paquetes de datos sobre él. [14]

2.1.5 Requerimientos de una VPN

Una VPN debe de contar con ciertos requerimientos que permitan que valga la
pena el uso de esta tecnología. Sin estos requerimientos, las VPN no podrán
ofrecer la calidad necesaria que requieren las organizaciones para un desempeño
óptimo. Una solución VPN debe ofrecer los siguientes requerimientos:
• Autenticación de usuarios
• Control de acceso
• Administración de direcciones
• Cifrado de datos
• Administración de claves
• Soporte a protocolos múltiples
• Ancho de banda

2.1.5.1 Autenticación de usuarios

La autenticación es uno de los requerimientos más importantes en una VPN. Cada

entidad participante en una VPN debe de identificarse a sí misma ante otros y
viceversa. La autenticación es el proceso que permite a los diversos integrantes
de la VPN verificar las identidades de todos.

59
Capítulo 2.- Funcionamiento de las VPN

Existen muchos mecanismos de autenticación pero el más popular de todos ellos

es la Infraestructura de Claves Públicas (PKI, Public Key Infraestructure), el cual
es un sistema basado en la autenticación por medio de certificados. Cada
integrante de una VPN se autentica intercambiando los certificados de cada uno,
los cuales están garantizados por una autoridad de certificación (CA, Certification
Authority) en la que todos confían.

El proceso de autenticación también involucra el intercambio de información

secreta, como una clave o un desafío ante un Servidor de Acceso a Red (NAS,
Network Access Server), el cual consultará a un servidor RADIUS. Un servidor
RADIUS administra la autenticación en una red que lo requiere.

2.1.5.2 Control de acceso

El control de acceso en una red está definido como el conjunto de pólizas y

técnicas que rigen el acceso a los recursos privados de una red por parte de
usuarios autorizados. Una vez que un usuario ha sido autenticado, se debe definir
a qué recursos de la red puede tener acceso dicho usuario. Los diferentes tipos de
VPN, ya sea de firewalls, sistemas operativos, etc; son responsables de gestionar
el estado de la conexión del usuario. La VPN debe administrar el inicio de una
sesión, permitir el acceso a ciertos recursos, continuar una sesión, impedir el
acceso de recursos y terminar una sesión.

El conjunto de reglas y acciones que definen el control de acceso se denomina

póliza de control de acceso. Un servidor RADIUS puede administrar el control de
acceso basándose en la póliza. Un ejemplo de una regla de control de acceso
sería que el servidor permitiera el acceso sólo los usuarios de acceso remoto que
no han rebasado un determinado uso de horas de la red.

El principal propósito de una VPN es permitir acceso seguro y selectivo a los

recursos de una red. Con un buen sistema de cifrado y autenticación pero sin

60
Capítulo 2.- Funcionamiento de las VPN

control de acceso, la VPN sólo protege la integridad del tráfico transmitido y evita
que usuarios no autorizados ingresen a la red, pero los recursos de ésta no
quedan protegidos. Es por eso que el control de acceso es importante.

2.1.5.3 Administración de direcciones

Un servidor VPN debe de asignar una dirección IP al cliente VPN y asegurarse de

que dicha dirección permanezca privada. Está claro que IP no es un protocolo
seguro y se puede ver esto en la inseguridad de Internet. Las direcciones deben
ser protegidas con fuertes mecanismos de seguridad, esto es, deben usarse
técnicas que permitan la ocultación de la dirección privada dentro de una red
pública.

La tecnología más utilizada para ocultar la información es el tunneling. El tunneling

es una técnica que encapsula los datos (incluyendo la dirección destino privada)
dentro de otro conjunto de datos. Así, el contenido de los paquetes encapsulados
se vuelve invisible para una red pública insegura como Internet. Existen muchas
tecnologías de tunneling, cada una de ellas con sus ventajas y desventajas. Otra
tecnología alterna al tunneling es MPLS, donde se hace uso de un sistema de
etiquetas para transmitir información. MPLS es una tecnología que realizará
grandes cambios a los métodos tradicionales de enrutamiento y de la forma de
crear túneles.5 [19]

2.1.5.4 Cifrado de datos

Cifrar o encriptar los datos es una tarea esencial de una VPN. Aunque se puedan
encapsular los datos dentro de un túnel, estos todavía pueden ser leídos si no se
implementan fuertes mecanismos de cifrado de la información. El cifrado es un
conjunto de técnicas que intentan hacer inaccesible la información a personas no

5
Esta monografía se centrará sólo en los protocolos de tunneling convencionales como PPTP y L2TP por ser
los más populares

61
Capítulo 2.- Funcionamiento de las VPN

autorizadas. El texto sin cifrar se le denomina texto nativo, mientras que el texto
cifrado se le denomina texto cifrado. Antes de enviar la información, el servidor
VPN cifra la información convirtiéndolo en texto cifrado. El receptor de la
información descifra la información y la convierte en texto nativo. [49] [23]

Al principio los algoritmos de encriptación se mantenían en secreto. Sin embargo,

cuando el algoritmo era roto, toda la información protegida con dicho algoritmo se
volvía vulnerable. Por consiguiente, actualmente los algoritmos se hacen públicos.
Existen muchos tipos de algoritmos de cifrado muy fuertes utilizados en las VPN
entre los que podemos encontrar 3DES, Diffie-Hellman, MD5, RSA y SHA-1.

Puesto que el algoritmo de cifrado es conocido por todos, es necesario

implementar técnicas para poder mantener los datos seguros. Esto se logra
mediante el uso de claves. Una clave es un código secreto que el algoritmo de
encriptación utiliza para crear una única versión de texto cifrado. Mientras la
longitud en bits de esta clave sea más grande, más difícil será descifrar una
información.

Las VPN requieren del uso de claves con una cierta longitud, de tal manera que
resulta prácticamente imposible descifrar los datos (teóricamente tardaría millones
de años, a no ser que se posean cientos de procesadores trabajando al mismo
tiempo para encontrar la clave y aunque ésta se encontrara, los algoritmos están
diseñados de forma que no se garantizaría totalmente el éxito). Aunque de hecho,
el uso de claves muy largas no es recomendable porque se afecta mucho el
rendimiento de un procesador. Para eso se utilizan métodos como el uso de
claves simétricas y asimétricas. [23]

Con una clave simétrica, se usa la misma clave para cifrar y descifrar la
información que viaja por un túnel. Tanto el emisor como el receptor de los datos
poseen la misma clave privada. Con una clave asimétrica, la información se cifra
con una clave y se descifra con otra diferente. Una de las claves sólo es conocida

62
Capítulo 2.- Funcionamiento de las VPN

por el usuario, la cual es conocida como clave privada. La otra clave es conocida
por todos y se le llama clave pública.

Las claves públicas permiten el uso de firmas digitales para autenticar información.
Una clave pública es distribuida libremente a cualquiera que requiera enviar
información cifrada o firmada. La clave privada debe ser bien resguardada por el
usuario y no darla a conocer nunca.

2.1.5.5 Administración de claves

En una VPN, es importante la administración de claves. Para asegurar la

integridad de una clave pública, ésta es publicada junto con un certificado. Un
certificado es una estructura de datos firmada digitalmente por una organización
conocida como autoridad de certificación (CA) en la cual todos confían. Una CA
firma su certificado con su clave privada. Un usuario que utiliza la clave pública de
la CA podrá comprobar que el certificado le pertenece a dicha CA y por lo tanto, la
clave pública es válida y confiable. [51]

En una VPN pequeña no es muy necesario establecer una infraestructura de

administración de claves. Sin embargo, las grandes compañías obtendrán muchos
beneficios si hacen crean una Infraestructura de Claves Públicas (PKI) para poder
crear y distribuir certificados. Una corporación puede crear su propia CA o confiar
en una CA de terceros. Una PKI es muy útil en aquellas organizaciones que
requieren de mucha seguridad y acceso limitado a sus usuarios. [23]

2.1.5.6 Soporte a protocolos múltiples

Para que una solución VPN sea viable, es necesario también que ésta pueda
ofrecer soporte a múltiples protocolos. Esto incluye el soporte a protocolos de red
que no sean IP como pueden ser AppleTalk, IPX y NetBEUI. PPTP soporta varios
protocolos de red. IPSec sólo puede ser utilizado en redes basadas en IP, pero

63
Capítulo 2.- Funcionamiento de las VPN

siempre es posible encapsular los protocolos no compatibles dentro de un paquete

IP, de modo que puedan ser transportados. En cuanto a L2TP, este protocolo VPN
no sólo puede ser implementado en redes IP, sino también en ATM y Frame
Relay.

2.1.5.7 Ancho de banda

El ancho de banda es también un requerimiento importante en una VPN. En el

mundo de las redes existe un concepto que define la forma de administrar el
ancho de banda con el fin de que el tráfico de una red fluya de forma eficiente.
Dicho concepto es la Calidad de Servicio (QoS, Quality of Service). La QoS es una
característica muy importante de una VPN. Una solución VPN no estará completa
si no proporciona formas para el control y administración del ancho de banda. [29]

La calidad del servicio también se refiere al número de conexiones simultáneas (la

cantidad de túneles que pueden ser establecidos entre un sitio remoto y el sitio
central) que puede soportar una VPN y la forma cono ésta afecta al rendimiento de
la VPN. [64]

Es preciso también asegurarse que una VPN puede cifrar y descifrar los paquetes
transmitidos a una velocidad adecuada, ya que algunos algoritmos de cifrado son
lentos y si no se tiene un buen procesador el rendimiento se verá afectado. Es
importante mencionar que el valor nominal de velocidad de los dispositivos de
redes (por ejemplo 100 Mbps) nunca se cumple en la realidad y que eso habrá
que tomarse en cuenta a la hora de implementar una VPN. [9]

La calidad de las conexiones a Internet también es importante. Las técnicas de

encriptación incrementan el deterioro del rendimiento de la comunicación por las
sobrecargas. Las pérdidas de paquetes y la latencia en conexiones a Internet de
baja calidad afecta más al rendimiento, que la carga añadida por la encriptación.
[34]

64
Capítulo 2.- Funcionamiento de las VPN

2.2 Tunneling

2.2.1 Definición de tunneling

El tunneling6 es un método utilizado para encapsular paquetes (conocidos como

datos de usuario) dentro de otros paquetes los cuales son enviados utilizando la
tecnología de la red por la que viaja. Esto ofrece grandes ventajas, ya que permite
el transporte de protocolos con diferente esquema de direccionamiento y que por
lo tanto no son compatibles con una red que utiliza otros protocolos de
direccionamiento dentro de paquetes que sí reconoce la red. [19]

2.2.1.1 Funcionamiento del tunneling

Por ejemplo, un paquete IPX o AppleTalk no puede ser transportado en una red
basada en IP, como Internet. Sin embargo, si este paquete es encapsulado dentro
de un paquete IP, entonces podrá ser transportado como cualquier otro paquete
IP. Lo que hace este proceso es simplemente agregarles un encabezado
adicional.

Después de agregar el encabezado, se envía el paquete encapsulado a través de

una ruta lógica denominada túnel. El túnel es la ruta de información lógica a través
de la cual viajan los paquetes encapsulados. Para los interlocutores de origen y de
destino originales, el túnel suele ser transparente y aparece simplemente como
otra conexión punto a punto en la ruta de acceso a la red. A estos puntos que
están en cada extremo del túnel se les denomina interfaces de túnel. Los
interlocutores desconocen los routers, switches, servidores proxy u otras puertas
de enlace de seguridad que pueda haber entre los extremos del túnel.

6
Se podría traducir al español como “entunelamiento”

65
Capítulo 2.- Funcionamiento de las VPN

Cuando el paquete llega a su destino, éste es desencapsulado para que pueda ser
utilizado. En resumen, el tunneling es un proceso que consta de los siguientes
pasos:
• Encapsulación
• Transmisión
• Desencapsulación

El uso de un túnel abarca todo el proceso de encapsulación, enrutamiento y

desencapsulación. El túnel envuelve, o encapsula, el paquete original dentro de un
paquete nuevo. Este paquete nuevo puede contener nueva información de
direccionamiento y enrutamiento, lo que le permite viajar por la red. Si el túnel se
combina con la confidencialidad de datos, los datos del paquete original (así como
el origen y el destino originales) no se muestran a quienes observen el tráfico en la
red. Cuando los paquetes encapsulados llegan a su destino, se quita la
encapsulación y se utiliza el encabezado original del paquete para enrutar éste a
su destino final. [48]

2.2.1.2 Protocolo pasajero, encapsulador y portador

El proceso de tunneling involucra tres protocolos diferentes (Ver Figura 2.9):

• Protocolo pasajero: Representa el protocolo que debe encapsularse.
Como ejemplos de protocolos pasajeros tenemos PPP y SLIP.
• Protocolo de encapsulamiento: Es el que será empleado para la
creación, mantenimiento y destrucción del túnel. Ejemplos de protocolo de
encapsulamiento son L2F, L2TP, PPTP.
• Protocolo portador: Es el encargado de realizar el transporte del protocolo
de encapsulamiento. El principal ejemplo de protocolo portador es IP puesto
que este tiene amplias capacidades de direccionamiento y es en el que está
basado Internet. [31]

66
Capítulo 2.- Funcionamiento de las VPN

Figura 2.9 Estructura general de un paquete de tunneling

2.2.2 Tunneling y VPN

Cuando el uso de túneles se combina con el cifrado de los datos, puede utilizarse
para proporcionar servicios de VPN. Las VPN utilizan el tunneling para poder
ofrecer mecanismos seguros de transporte de datos. Dentro del contexto de las
VPN, el tunneling involucra tres tareas principales:
• Encapsulación
• Protección de direcciones privadas
• Integridad de los datos y confidencialidad de éstos

Para que el proceso del tunneling pueda ser llevado a cabo, existen diversos
protocolos llamados protocolos de túnel los cuales se encargan de encapsular y
desencapsular los datos que viajan dentro de una red privada virtual. Los
protocolos de túnel usados por las VPN como PPTP y L2TP son usados para
encapsular tramas de la capa de enlace de datos (PPP). Protocolos de túnel como
IP sobre IP e IPSec en modo túnel son utilizados para encapsular paquetes de la
capa de red.

Es posible colocar un paquete que utiliza una dirección IP privada dentro de un

paquete que usa una dirección IP global única para poder extender una red
privada sobre una red pública como Internet. Puesto que los contenidos del
paquete entunelado sólo pueden ser interpretados por las interfaces de túnel, las
direcciones IP privadas pueden ser ocultadas completamente de las redes IP
públicas.

67
Capítulo 2.- Funcionamiento de las VPN

Los mecanismos de integridad y confidencialidad garantizan que ningún usuario

no autorizado pueda alterar los paquetes entunelados durante la transmisión sin
que el ataque pueda ser detectado y que los contenidos del paquete permanecen
protegidos de acceso no autorizado. Además, el tunneling opcionalmente puede
proteger la integridad de la cabecera del paquete IP externo, mediante técnicas de
autenticación. Por ejemplo, si se utiliza IPSec los protocolos AH y ESP pueden
proporcionar autenticación de los paquetes transmitidos. [19]
Tres protocolos de túnel son los más usados para la creación de una VPN:
• Protocolo de Túnel punto a punto (PPTP)
• Protocolo de Túnel de Capa 2 (L2TP)
• Protocolo de Seguridad IP [9]

Los protocolos PPTP y L2TP se enfocan principalmente a las VPN de acceso

remoto, mientras que IPSec se enfoca mayormente en las soluciones VPN de sitio
a sitio. La figura 2.10 resume cómo se lleva a cabo el tunneling en una VPN. [62]

Figura 2.10 Tunneling en una VPN

2.2.3 Tipos de túneles

Los túneles se clasifican de acuerdo a cómo se establece la conexión entre dos

hosts. En base a esto, existen dos tipos de túneles. Éstos son:
• Túnel voluntario
• Túnel obligatorio

68
Capítulo 2.- Funcionamiento de las VPN

2.2.3.1 Túnel voluntario

Un equipo usuario o cliente puede emitir una petición VPN para configurar y crear
un túnel voluntario. En este caso, el equipo del usuario es un extremo del túnel
que funciona como cliente de túnel. El túnel voluntario se produce cuando una
estación de trabajo o un router utilizan software de cliente de túnel para crear una
conexión VPN con el servidor de túnel de destino. Para ello, debe instalar el
protocolo de túnel correspondiente en el equipo cliente. Un túnel voluntario puede
ser creado de dos maneras a través de una conexión dial-up o a través de una
LAN. La figura 2.11 muestra un túnel voluntario.

A través de una conexión dial-up. En este caso, el usuario primero hace una
llamada a su ISP para conectarse a Internet y entonces posteriormente podrá ser
creado el túnel. Esta suele ser la situación más común. La conexión a Internet es
un paso preliminar para crear el túnel pero no forma parte del proceso de creación
del túnel. [52]

A través de una LAN. En este caso, el cliente ya posee una conexión a la red, por
lo que el túnel puede ser creado con cualquier servidor túnel deseado. Este es el
caso de un usuario de una LAN que crea un túnel para acceder a otra LAN. [51]

Figura 2.11 Túnel voluntario

69
Capítulo 2.- Funcionamiento de las VPN

2.2.3.2 Túnel obligatorio

El túnel obligatorio es la creación de un túnel seguro por parte de otro equipo o

dispositivo de red en nombre del equipo cliente. Los túneles obligatorios se
configuran y crean automáticamente para los usuarios sin que éstos intervengan ni
tengan conocimiento de los mismos. Con un túnel obligatorio, el equipo del usuario
no es un extremo del túnel. Lo es otro dispositivo entre el equipo del usuario y el
servidor de túnel que actúa como cliente de túnel.

Algunos proveedores que venden servidores de acceso telefónico facilitan la

creación de un túnel en nombre de un cliente de acceso telefónico. El dispositivo
que proporciona el túnel para el equipo cliente se conoce como procesador cliente
(FEP) o PAC en PPTP, concentrador de acceso (LAC) de L2TP en L2TP o puerta
de enlace (gateway) de Seguridad IP en IPSec. Para realizar su función, el
dispositivo que proporciona el túnel debe tener instalado el protocolo de túnel
adecuado y debe ser capaz de establecer el túnel cuando el equipo cliente intenta
establecer una conexión. [52]

Esta configuración se conoce como túnel obligatorio debido a que el cliente está
obligado a utilizar el túnel creado por el dispositivo que proporciona el túnel. Una
vez que se realiza la conexión inicial, todo el tráfico de la red de y hacia el cliente
se envía automáticamente a través del túnel. En los túneles obligatorios, la
computadora cliente realiza una conexión única PPP y, cuando un cliente se
conecta en el NAS, se crea un túnel y todo el tráfico se enruta automáticamente a
través de éste. Se puede configurar un el dispositivo que proporciona el túnel para
hacer un túnel a todos los clientes hacia un servidor específico del túnel. De
manera alterna, el dispositivo que proporciona el túnel podría hacer túneles
individuales de los clientes basados en el nombre o destino del usuario.

A diferencia de los túneles por separado creados para cada cliente voluntario, un
túnel entre el dispositivo que proporciona el túnel y el servidor del túnel puede

70
Capítulo 2.- Funcionamiento de las VPN

estar compartido entre varios clientes. Cuando un segundo cliente se conecta al

dispositivo que proporciona el túnel para alcanzar un destino para el cual ya existe
un túnel, no hay necesidad de crear una nueva instancia del túnel entre el
dispositivo que proporciona el túnel y el servidor del túnel. El tráfico de datos para
el nuevo cliente se transporta sobre el túnel existente. Ya que puede haber varios
clientes en un túnel único, el túnel no se termina hasta que se desconecta el último
usuario del túnel. [47]

Una compañía puede contratar a un ISP para que implemente un conjunto de

dispositivos que proporcionen túneles por todos los territorios donde existan LAN
de la compañía. Estos dispositivos pueden establecer túneles a través de Internet
hasta un servidor VPN conectado a la red privada de la organización,
consolidando así las llamadas de zonas geográficamente dispersas en una sola
conexión a Internet en la red de la organización.
Existen dos formas de crear túneles obligatorios. En la primera forma, el túnel se
crea antes de autenticar al cliente de acceso. Una vez creado el túnel, el cliente de
acceso se autentica en el servidor de túnel. En la segunda forma, el túnel se crea
después de que el dispositivo que proporciona el túnel autentica al cliente de
acceso. La figura 2.12 muestra cómo se compone un túnel obligatorio.

Figura 2.12 Túnel obligatorio [52]

71