WIXLIB

Universidad Central de VenezuelaFacultad de CienciasEscuela de ComputaciónLACOREANÁLISIS Y DISEÑO DE UNA SOLUCIÓN VPN ENTRE EL CAMPUS CARACAS DE LA UCV YSUS DEPENDENCIAS EXTRAMUROSBr. Elena EsquedaC.I. 16.887.066Br. Karem PérezC.I. 16.923.293TutoresProfa. Karima VelásquezProf. Daniel VillavicencioCaracas, Junio 2011

ResumenEl presente trabajo tiene como objetivo plantear una propuesta de diseño de una soluciónVPN que permita la transmisión de información sensible de forma segura entre el campusCaracas y las dependencias extramuros conectadas a la red corporativa de datos de laUniversidad Central de Venezuela. Para ello se realizó un levantamiento de informacióndel ambiente de la red corporativa de datos, con el objeto de establecer lasconsideraciones de diseño preliminares, así como una investigación de las característicastécnicas de las tecnologías VPN existentes con el fin de evaluar su aplicación en elescenario planteado. Atendiendo a estas consideraciones, se plantearon diferentespropuestas de solución VPN basadas en tres principales tecnologías: PPTP, IPSec yOpenVPN, para posteriormente implementar los escenarios de prueba correspondientesdonde se evaluaron las ventajas y desventajas de cada propuesta de diseño. Por último, serealizó una comparación de las propuestas de diseño de cada tecnología identificando lascaracterísticas relevantes, para finalmente recomendar el uso de OpenVPN como unaopción viable para la implantación de la solución VPN entre el campus Caracas de la UCV ysus dependencias extramuros.Palabras claves: VPN, PPTP, IPSec, OpenVPN, Seguridad.2

Tabla de ContenidoResumen. 21.Introducción . 82.El problema . 102.1.Planteamiento del problema . 102.2.Justificación . 102.3.Objetivos . 112.3.1.Objetivo general . 112.3.2.Objetivos específicos . 122.4.3.Alcances. 12Marco teórico . 133.1.Definición de VPN. 133.2.Elementos de una VPN . 143.3.Tipos de VPN . 153.3.1.VPN Sitio-a-Sitio (Site-to-Site VPN) . 153.3.2.VPN de Acceso Remoto o VPDN (Virtual Private Dial-up Network) . 153.3.3.VPN Firewall . 153.3.4.VPN Usuario-a-Usuario (User-to-User VPN). 163.4.Topologías de VPN . 163.4.1.Punto-a-Punto (Point-to-Point) . 163.4.2.Dispositivo-a-Dispositivo (Device-to-Device) . 163.4.3.Red-a-Red (Network-to-Network). 173.5.Categorías de VPN . 183.5.1.Intranet. 183.5.2.Extranet . 183.5.3.Internet. 183.6.Componentes de una conexión VPN . 193.7.Ventajas de una VPN . 203.8.Desventajas de una VPN . 203.9.Implementaciones de VPN . 213.9.1.PPTP (Point-to-Point Tunneling Protocol) . 213

4.3.9.2.L2TP (Layer 2 Tunneling Protocol). 253.9.3.L2TP/IPSEC. 263.9.4.GRE . 293.9.5.IPSec . 313.9.6.SSL/TLS . 413.9.7.OpenVPN . 45Marco metodológico . 514.1.Fase 1. Red de datos de la UCV . 524.1.1.Topología del Nodo Core . 524.1.2.Topología de los nodos de Ingeniería, Ciencias y Medicina . 534.1.3.Topología del backbone de entrada . 534.1.4.Descripción de los extramuros . 544.1.5.Descripción de los sistemas corporativos de la UCV . 564.2.Fase 2. Planteamiento de las consideraciones de diseño de una VPN . 584.2.1.Perfil de la red . 584.2.2.Escalabilidad . 624.2.3.Seguridad. 624.2.4.Topología de red . 634.3.Fase 3. Desarrollo de las propuestas de diseño de soluciones VPN . 644.3.1.PPTP con MPPE. 644.3.2.IPSec/GRE . 674.3.3.OpenVPN . 734.4.Fase 4. Implementación de los escenarios de prueba . 764.4.1.PPTP. 764.4.2.IPSec . 854.4.3.OpenVPN . 954.5.Fase 5. Comparación y selección de una propuesta de diseño VPN. . 1085.Conclusiones. 1136.Referencias . 1157.Glosario . 1164

Índice de FigurasFigura 2.1: Conexión VPN. . 13Figura 2.2: Túnel VPN. . 14Figura 2.3: Elementos de una VPN. . 15Figura 2.4: Conexión dispositivo-a-dispositivo. . 16Figura 2.5: Conexión red-a-red. . 17Figura 2.6: Diseños de redes VPN fully/partially-meshed. . 18Figura 2.7: Conexión PPTP. . 22Figura 2.8: Túneles voluntarios. . 24Figura 2.9: Túneles permanentes. . 24Figura 2.10: Estructura de un paquete PPTP. . 25Figura 2.11: Estructura de un paquete L2TP. . 25Figura 2.12: Mensaje de control L2TP. . 27Figura 2.13: Túnel de datos L2TP. . 28Figura 2.14: Ejemplo de acceso remoto con L2TP/IPSec. . 28Figura 2.15: Ejemplo de conexión de sucursales con L2TP/IPSec. . 29Figura 2.16: Estructura de un paquete GRE. . 29Figura 2.17: GRE header. . 30Figura 2.18: Paquete IPSec con el AH header. 32Figura 2.19: AH header. . 33Figura 2.20: Mecanismo de autenticación AH. . 34Figura 2.21: Un datagrama IPSec-AH en modo túnel. . 34Figura 2.22: Paquete IPSec con ESP header y ESP trailer. . 35Figura 2.23: Campos del paquete ESP. . 35Figura 2.24: Un paquete IPSec-ESP en modo túnel. . 36Figura 2.25: Asociación de seguridad. . 36Figura 2.26: Fases de ISAKMP/IKE. . 39Figura 2.27: SSL/TLS en la pila de protocolos OSI. 42Figura 2.28: Cifrado y formato de datos de aplicación con Record Protocol. . 44Figura 2.29: Formato del paquete encapsulado por OpenVPN. . 46Figura 2.30: Encapsulación del canal de datos en OpenVPN. . 47Figura 2.31: Formato del paquete de control de OpenVPN. . 47Figura 3.1: Topología del backbone principal de la red de datos de la UCV. . 53Figura 3.2: Backbone de la red corporativa de datos de la UCV. . 54Figura 3.3: Extramuros. . 55Figura 3.4: Captura de cuentas bancarias. . 59Figura 3.5: Captura de información académica. . 60Figura 3.6: Captura de información personal. . 60Figura 3.7: Captura de información SIGAS. . 61Figura 3.8: Captura de información de bases de datos. . 62Figura 3.9: Topología hub-and-spoke. . 63Figura 3.10: Escenario propuesto usando PPTP con MPPE. . 655

Figura 3.11: Ejemplo de conexión PPTP. . 66Figura 3.12: Ejemplo de conexión IPSec. . 70Figura 3.13: Ejemplo de conexión OpenVPN. 74Figura 3.14: Escenario de prueba PPTP. . 77Figura 3.15: Crear una conexión dial up. . 79Figura 3.16: Tipo de conexión de red. . 79Figura 3.17: Conexión de red. 79Figura 3.18: Nombre de conexión. . 80Figura 3.19: Selección de servidor VPN. . 80Figura 3.20: Finalización del asistente para conexión nueva. . 81Figura 3.21: Conexión de red privada virtual. . 81Figura 3.22: Par usuario/contraseña. . 82Figura 3.23: Captura conexión de control. . 82Figura 3.24: Captura de tráfico http con PPTP. . 83Figura 3.25: Captura comando ping. . 84Figura 3.26: Comando show vpdn. . 84Figura 3.27: Comando show vpdn history failure. . 85Figura 3.28: Escenario de prueba IPSec. 85Figura 3.29: Captura de paquetes Telnet. . 90Figura 3.30: Captura de sesión Telnet. . 90Figura 3.31: Captura de paquetes http. . 91Figura 3.32: Captura de paquetes IPSec. . 91Figura 3.33: Comando show crypto isakmp sa. . 92Figura 3.34: Comando show crypto ipsec sa. . 93Figura 3.35: Comando show crypto session. . 94Figura 3.36: Comando show crypto map. . 94Figura 3.37: Comando show crypto key. . 94Figura 3.38: Comando show crypto isakmp policy. . 94Figura 3.39: Escenario de prueba OpenVPN. . 95Figura 3.40: Interfaz virtual TUN/TAP. . 101Figura 3.41: Archivos a copiar en el cliente OpenVPN. . 102Figura 3.42: Archivo de configuración del cliente. . 102Figura 3.43: Inicialización del servidor OpenVPN. . 104Figura 3.44: Icono cliente OpenVPN. 104Figura 3.45: Consola cliente OpenVPN. . 105Figura 3.46: Icono interfaz virtual OpenVPN. . 105Figura 3.47: Establecimiento del túnel OpenVPN. . 106Figura 3.48: Comando netstat –rn. 107Figura 3.49: Captura de tráfico OpenVPN. . 1086

Índice de TablasTabla 2.1: Algoritmos de cifrado soportados por SSL/TLS. . 45Tabla 3.1: Capacidades de los enlaces extramuros. . 56Tabla 3.2: Sistemas corporativos UCV utilizados por usuarios extramuros. . 57Tabla 3.3: Consideraciones preliminares IPSec. . 68Tabla 3.4: Comparación de las propuestas de diseño. . 1097

1. IntroducciónLas empresas de hoy en día requieren que sus redes superen la barrera de lo localpermitiendo la conectividad de su personal y oficinas en otros edificios, ciudades,comunidades autónomas e incluso países. Este es el caso de la Universidad Central deVenezuela, que cuenta con dependencias ubicadas en el exterior del campus universitario,denominadas dependencias extramuros, cada una de las cuales requiere mantener unestrecho vínculo de comunicación con las dependencias centrales, facultades y entre sí,para el desarrollo de actividades administrativas y académicas de docencia, investigación yextensión en los niveles de pregrado y postgrado. Como en el resto de las organizaciones,hasta ahora esto ha sido posible mediante el uso de redes de área local tradicionales queson esencialmente restringidas, por lo cual se intercambia información entre lasestaciones de trabajo usualmente sin pensar en la seguridad de la información como unasunto crítico, por lo que es imprescindible la búsqueda de una alternativa que permita unintercambio de información de manera segura para los usuarios y sistemas de las distintasdependencias.Actualmente una de las soluciones más convenientes es lo que se conoce como redprivada virtual o VPN (Virtual Private Network), tecnología que permite un acceso seguroa los servicios de una organización como la Universidad a través de una red insegura comoInternet. Las redes privadas virtuales se implementan usando protocolos especiales deseguridad que permiten a los usuarios obtener acceso a servicios de carácter privado.Mediante estos protocolos todas las conexiones de red serán encaminadas a través de unenlace seguro. Esta comunicación está cifrada, por lo que se garantiza la confidencialidade integridad de los datos transmitidos. Antes de establecer el túnel se requiere laautenticación del usuario, asegurando que los datos serán transmitidos o recibidos desdedispositivos remotos autorizados.El objetivo de esta investigación consiste en desarrollar una propuesta de diseño de unasolución VPN entre el campus Caracas y las dependencias extramuros conectadas a la redde datos corporativa de la Universidad Central de Venezuela, para lo cual este documentoha sido estructurado en cuatro capítulos:En el Capítulo 1 se presenta el problema, la justificación y se definen los objetivos logradosy el alcance del Trabajo Especial de Grado para finalmente mencionar los factores quelimitaron el desarrollo del mismo.En el Capítulo 2 se provee un conjunto de definiciones asociadas a las Redes PrivadasVirtuales, así como se describen los diversos elementos técnicos que influyen en sufuncionamiento y las características de los protocolos más importantes de esta tecnología.En el Capítulo 3 se presenta la metodología de investigación utilizada, y en atención a estamodalidad de investigación, se introducen cinco fases en el estudio a fin de cumplir conlos requisitos involucrados en este proyecto. En la fase 1 se realiza una descripción de la8

red corporativa de datos de la UCV y sus dependencias extramuros; en la fase 2 seplantean las consideraciones de diseño para implementar una VPN; en la fase 3 sedesarrollan las propuestas de diseño de conexiones VPN atendiendo a los resultados de lafase anterior y evaluando las opciones y tecnologías existentes que mejor se adaptan a losrequerimientos planteados por la Universidad; en la fase 4 se implementan los escenariosde prueba de cada una de las tecnologías utilizadas. Por último, en la fase 5 se seleccionala propuesta de diseño VPN evaluando ciertas características comunes y aspectos críticos,dando una respuesta viable al problema planteado.Para finalizar, se cierra este estudio con un conjunto de conclusiones y recomendacionesque deben tomarse en cuenta si se desea continuar con la implementación exitosa de esteproyecto.9