Concepto

Para poder alcanzar los objetivos de seguridad y de confiabilidad que se plantean en una VPN es necesario apelar a protocolos que se ocupen de la creación de un túnel lógico y a la encriptación y desencriptación de los paquetes que son transmitidos.

El túnel es un método por el cual se hace uso de una red intermedia para transferir datos de un extremo a otro. Los paquetes que se transmiten se encapsulan sobre otro encabezado correspondiente al protocolo de túnel, este nuevo encabezado contiene la información necesaria para que el paquete atravesando la red intermedia llegue al destino correspondiente, una vez llegados a destino son desencapsulados y dirigidos al destino final.

Un túnel es un canal virtual, configurado entre dos sistemas remotos que se encuentran en diferentes redes, sobre una conexión real que involucra más de un nodo intermedio.

La técnica de “tunneling” consiste en encapsular un mensaje de un protocolo dentro de sí mismo aprovechando ciertas propiedades del paquete externo con el objetivo de que el mensaje sea tratado de forma diferente a como habría sido tratado el mensaje encapsulado. De esta forma un paquete puede “saltar” la topología de una red. Por ejemplo, un túnel puede ser usado para evitar un firewall (con los peligros consecuentes de esta decisión). Esta es una consideración a tener en cuenta al configurar un túnel.

El túnel es creado encapsulando un protocolo de red dentro de los paquetes del mismo protocolo, que serán llevados por la red real. Adicionalmente, el paquete encapsulado es encriptado por el emisor, en acuerdo con el receptor (el sistema que se encuentra en del otro lado del túnel) de manera que sólo ambos extremos puedan acceder a los datos transportados. Éste tipo de comunicación solo es posible si el protocolo soporta esta facilidad, denominada modo túnel. La otra modalidad posible, modo transporte, provee protección sólo para protocolos de la capa superior.

De esta forma, el túnel es simplemente la ruta que toman los paquetes encapsulados (y encriptados), dentro de un paquete del mismo protocolo, entre las dos redes. Un atacante puede interceptar los mensajes que viajen por el túnel, pero los datos encapsulados están encriptados y solo pueden ser recuperados por el destinatario final.

En el sistema de destino, el mensaje encapsulado es extraído del paquete recibido, desencriptado, y reinyectado en la red a la que pertenece el receptor (en el caso de un gateway).

Gracias a esto, una organización puede usar de forma segura una red pública para comunicarse con sus usuarios o pares, ya que los paquetes son encriptados antes de ser enviados a través del “túnel”.

Con el uso en modo túnel, el encabezado IP interno (encapsulado) es encriptado, ocultando la identidad del destinatario y del origen del tráfico. Los mismos servicios pueden ofrecerse a un usuario móvil al cual se asigna un IP dinámicamente para una conexión de conexión telefónica: se establece un canal en modo túnel al firewall del ISP funcionando como un gateway de seguridad.

En relación con una conexión o canal seguro, cabe introducir un concepto importante: el de Asociación de Seguridad (Security Asociation - SA). Una asociación de seguridad (AS) es una instancia de una política de seguridad junto con componentes claves. Las SAs son identificadas de forma única por una dirección de destino, un protocolo de seguridad y un índice de parámetros de seguridad o SPI (un conjunto de atributos se seguridad). Las SAs son independientes entre ellas. Una conexión de datos protegida necesita un conjunto de SAs, una por cada dirección y protocolo. Las SAs pueden actuar en una dirección o en ambas. Una SA en modo túnel es una SA aplicada a un túnel, por ejemplo, un túnel IP.

Siempre que en una asociación de seguridad esté involucrado un gateway de seguridad, dicha SA debe operar en modo túnel; de otra forma, si sólo están involucrados sistemas finales (o gateways de seguridad que no actúen como tales –no transporte tráfico de datos, por Ej. comandos SNMP para administración de red–), puede operar también en modo transporte. Por esto, un sistema final (un host) también debe soportar ambos modos de operación, transporte y túnel (ya que puede comunicarse con un gateway, que operará en modo túnel).

Las características más importantes de los protocolos que soportan “tunneling” son encriptado de datos, autenticación, autorización e integridad de datos; muchas de estas características son posibles gracias al encriptado completo del paquete encapsulado.

Una distinción a destacar es que el hecho de que un paquete esté encapsulado en otro no implica que esté encriptado, tampoco lo inverso. De esta forma se obtienen distintos beneficios que responden a necesidades y conveniencias específicas.

En los protocolos de capa 2 (PPTP, L2F, L2PF) el túnel se negocia por ambos extremos de la conexión a la hora de la creación del mismo así también la asignación de direcciones o los parámetros de encriptación y/o de compresión.

Los datos o paquetes que se quieran transferir de un extremo al otro del túnel creado pueden ser paquetes de otros protocolos, podemos encontrar por ejemplo una red con protocolo Ipv6 conectada con otra Ipv6 y los datos transmitirse por medio de una red Ipv4 como Internet, o bien redes con protocolos similares que utilicen a Internet como comunicación entre ellas (Figura 12).

Podemos decir entonces que un túnel tiene dos extremos que son los extremos de la red intermedia, entre esos extremos se creará una conexión lógica con técnicas de seguridad que es por donde se hará el intercambio de paquetes de la comunicación.

Tunel

Figura 12

Se pueden destacar como requerimientos básicos de un protocolo de túnel que cumpla con las siguientes condiciones:

  • Autenticación de usuario.
  • Asignación dinámica de direcciones.
  • Compresión de datos.
  • Encriptación de datos.
  • Administración de llaves.
  • Soporte multiprotocolo.

Tipos de túneles

Túneles Voluntarios: Un usuario o estación de trabajo cliente puede emitir una petición VPN para configurar y crear un túnel voluntario. En este caso, el usuario es un terminal del túnel y actúa como el cliente del mismo.

Túneles Compulsivos: Una VPN con servidor con capacidad de acceso por llamada, configura y crea un túnel, donde el usuario no es un terminal del mismo. Otro dispositivo, el RAS (Servidor de Acceso Remoto), entre la computadora usuario y el servidor de túnel es la terminal del túnel y actuará como cliente.

Protocolos de Túnel

En el caso de las VPN los protocolos que se utilizan son a nivel de capa 2 o capa 3, se crea la conexión entre los dos puntos y se crea un túnel entre ellos como si pertenecieran a una misma red local.

Además de los protocolos de capa 2 que se verán en este trabajo, existen también los de capa 3 como el IPSec que encapsula paquetes de protocolo IP en otros de protocolo IP también.

Los protocolos sobre los que nos basaremos serán los siguientes:

  • L2F (Cisco's Layer Two Forwarding)
  • PPTP (Microsoft's Point-to-Point Tunneling Protocol)
  • L2TF

Dando también un paneo respecto de los protocolos que se utilizan como auxiliares de estos para diversas tareas.

Jue, 09/11/2006 - 19:44