alvaro.gonzalezsotillo@educa.madrid.org

Redes privadas virtuales

Álvaro González Sotillo

Created: 2025-01-30 jue 19:08

1. VPN

  • Virtual Private Network
  • La interconexión entre dos sistemas se realiza a través de una red insegura
  • Pero garantizando la seguridad de la comunicación
    • Confidencialidad
    • Integridad

1.1. Encriptación

  • Consiste en ocultar la información que se envía
  • Sólo el receptor puede interpretar la información del emisor
  • Para el resto de sistemas intermedios los datos no significan nada
  • Esto aumenta la confidencialidad
  • Al dificultar la modificación de la información por sistemas intermedios, mejora la integridad

1.2. Autentificación

  • Consiste en saber con quién nos conectamos
  • El sistema remoto deben autentificarse
    • Los clientes suelen usar contraseñas
    • Los servidores suelen usar certificados
  • Aumenta la confidencialidad
  • Al evitar que otras personas operen en nuestra red mejora integridad

1.3. Datos sobre los datos (metadatos)

  • La encriptación oculta los datos que se transmitan
    • Pero los routers intermedios siguen enrutando cada paquete
    • Pueden saber
      • Cuántos paquetes se envían
      • A qué horas
      • Con cuántos datos
  • Para evitar este problema se puede usar tráfico de relleno
    • No se podrá distinguir información real de la de relleno
    • Problema: mayor consumo de ancho de banda

2. Tipos de VPN

  • Acceso remoto
  • Punto a punto
  • Interna (VPN over LAN)

2.1. Acceso remoto

  • Usuarios finales utilizan una VPN para conectarse a la LAN de su empresa
  • Se utiliza cualquier red final disponible
    • Particular, 3G, aeropuertos, hoteles…

image/svg+xml Central Usuarios remotos Internet

Figura 1: VPN de acceso remoto

By Ludovic.ferre Own work CC BY-SA 4.0

2.2. Punto a punto

  • Los LAN de la misma empresa utilizan un enlace de VPN a modo de red local
  • Permite a diferentes sedes trabajar como si estuviesen en la central

image/svg+xml Central Sucursal Sucursal Internet

Figura 2: VPN de acceso punto a punto

By Ludovic.ferre Own work CC BY-SA 4.0

2.3. VPN over LAN

  • Los accesos a la LAN pueden ser poco seguros
    • Wifi
    • Puntos de red no vigilados
  • La LAN puede segmentarse (por ejemplo, VLAN), y permitir solo conexiones a la LAN más interna por una VPN

image/svg+xml Central Wifi Insegura

Figura 3: VPN over LAN

By Ludovic.ferre Own work CC BY-SA 4.0

3. Tunnelling

3.1. Encapsulación de protocolos

  • Según el modelo ISO/OSI, unos protocolos se encapsulan dentro de otros
  • Los protocolos superiores solo son datos para los inferiores

image/svg+xml Datos Datos Cab IP Cab TCP Datos Cab TCP Cab Ether. Datos Cab TCP Cab IP Aplicación Transporte Red Ethernet

Figura 4: Pila típica de protocolos

3.2. Encriptación de datos

  • Cualquier capa puede encriptar los datos que envía
  • Y los datos son los protocolos superiores

3.3. Tunnelling

  • Un nivel de red puede encriptarse y volver a meterse como datos a cualquier nivel
  • Los extremos de la comunicación utilizan interfaces virtuales
    • Los datos enviados por esa interfaz se encriptan y se envían por una interfaz real

image/svg+xml Datos Datos Cab IP Cab TCP Datos Cab TCP $#@ªª1***¿Ç¨{{+-?%%&@!|as% Aplicación Transporte Red (VPN) Cifrado Cab IP $#@ªª1***¿Ç¨{{+-?%%&@!|as% Red (real) Cab Ether. Cab IP $#@ªª1***¿Ç¨{{+-?%%&@!|as% Ethernet

Figura 5: Ejemplo de tunneling en el nivel 3

4. Tunnelling (ejemplo a nivel de red)

image/svg+xml Cab Ether. Cab IP $#@ªª1***¿Ç¨{{+-?%%&@!|as% eth0 Cab IP $#@ªª1***¿Ç¨{{+-?%%&@!|as% $#@ªª1***¿Ç¨{{+-?%%&@!|as% Interfaz virtual Cab IP Datos Cab TCP Aplicación VPN Datos Cab TCP

Figura 6: Ejemplo de proceso para tunnelling a nivel 3

5. Tunneling: Nivel

  • VPN a nivel de enlace (ethernet)
    • Se transmiten los broadcasts de ethernet
    • Funcionan: DHCP, ARP,…
    • Drivers TAP
  • VPN a nivel de red (IP)
    • Se transmiten paquetes IP y broadcasts IP
    • Funcionan: TCP, UDP, ICMP, enrutamiento…
    • Drivers TUN
  • VPN a nivel de transporte (TCP)
    • La VPN conecta con un programa en la otra red (dirección IP y puerto TCP)

Túneles SSH

6. VPN: Protocolos

  • PPTP
    • Muy extendido
    • Puede encapsular cualquier protocolo
    • Seguridad más débil
  • L2TP
    • Utiliza IPSec para el cifrado
  • IPSec
    • Soportado por OSI
    • Más complejo, pero más flexible
    • Fácil implementación en sistemas Windows

6.1. Ejercicio: VPN en Windows

  • Crea un servidor VPN Windows en la red interna 1
  • Conéctate desde un cliente VPN en la red interna 2
  • Comprueba con pathping que a través de la VPN solo se da un salto

image/svg+xml Servidor VPN Cliente VPN Router VPN Red interna 2 Red interna 1

Figura 7: Diagrama lógico de la red con VPN

  • Red interna 1: 192.168.1.0/24
  • Red interna 2: 192.168.2.0/24
  • Los ordenadores son los primeros de la red. El router es el último de la red.

6.2. Ejercicio: VPN con SSH

  • Crea un servidor VPN SSH en la red interna 1
  • Conéctate desde un cliente VPN en la red interna 2
  • Comprueba con pathping que a través de la VPN solo se da un salto

image/svg+xml Servidor VPN Cliente VPN Router VPN Red interna 2 Red interna 1

Figura 8: Diagrama lógico de la red con VPN

  • Red interna 1: 192.168.1.0/24
  • Red interna 2: 192.168.2.0/24
  • Los ordenadores son los primeros de la red. El router es el último de la red.
  • Red VPN: 10.0.0.0/24

https://help.ubuntu.com/community/SSH_VPN

7. Referencias