Sie sind auf Seite 1von 36

Escaneo de puertos TCP

Instituto Tecnolgico
de Acapulco
Instituto Tecnolgico De
Acapulco



Administracin De La
Seguridad.



Nombre Del Catedrtico: Dr. Eduardo De La Cruz Gmez.
Prctica: Conexin a Sistemas Remotos de Acceso VPN.

Integrantes Del Equipo:
Carlos Salgado Hernndez 09320811
Fermn Villanueva Canseco 09320780
Carachure Rodrguez Vctor Jess 09320803



Acapulco Gro; A 2 de Diciembre Del 2013.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco

NDICE DE CONTENIDO

Introduccin. ....................................................................................................................................... 3
Antecedentes ...................................................................................................................................... 4
Desarrollo Terico ............................................................................................................................... 5
Qu es una VPN? ....................................................................................................................... 5
VENTAJAS DE UNA VPN: .................................................................................................................. 6
TIPOS DE VPN: ................................................................................................................................. 6
IPSEC (Internet Protocol Secure): ................................................................................................ 7
PPTP (Point to Point Tunneling Protocol): .................................................................................. 7
DIAGRAMAS: ................................................................................................................................... 8
REQUERIMIENTOS PARA EL ARMADO DE UNA VPN ....................................................................... 9
Desarrollo Prctico ............................................................................................................................ 23
Resultados ......................................................................................................................................... 35
Conclusin ......................................................................................................................................... 36
Bibliografa ........................................................................................................................................ 36










Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Introduccin.

Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un continente; contiene
una coleccin de mquinas dedicadas a ejecutar programas de usuario (aplicaciones).
En los ltimos aos las redes se han convertido en un factor crtico para cualquier organizacin.
Cada vez en mayor medida, las redes transmiten informacin vital, por tanto dichas redes cumplen
con atributos tales como seguridad, fiabilidad, alcance geogrfico y efectividad en costos.
Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las
empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas
con oficinas remotas a varios kilmetros de distancia, pero tambin es cierto que estas redes
remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y
las redes para obtener informacin confidencial. Por tal motivo la seguridad de las redes es de
suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN
VPN o "Virtual Private Network" es una tecnologa de red que permite una extensin de la red
local sobre una red pblica o no controlada, como por ejemplo Internet.
El ejemplo ms comn es la posibilidad de conectar dos o ms sucursales de una empresa
utilizando como vnculo Internet; tambin permitir a los miembros del equipo de soporte tcnico
la conexin desde su casa al centro de cmputos, o que un usuario pueda acceder a su equipo
hogareo desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la
infraestructura de Internet.
Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la
autenticacin, integridad y confidencialidad de toda la comunicacin.
Autenticacin y Autorizacin: Quin est del otro lado? Usuario/equipo y qu nivel de
acceso debe tener.
Integridad: La garanta de que los datos enviados no han sido alterados.
Confidencialidad: Dado que los datos viajan a travs de un medio hostil como Internet, los
mismos son susceptibles de interceptacin: por eso es fundamental el cifrado de los datos.
De este modo, la informacin no debe poder ser interpretada por nadie ms que los
destinatarios de la misma.








Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Objetivo
El objetivo de este laboratorio es:
Familiarizarse con las redes privadas virtuales y establecer una configuracin de
conectividad VPN en la plataforma Windows x en un S.O Linux x.
Hardware y software a utilizar
3 Equipos de Cmputo.
Microsoft Windows 2003 Server (o una versin mayor).
Analizador de protocolos (Sniffer).

Tareas a desarrollar
Se integrarn equipos de X alumnos y realizarn las siguientes tareas:
Leer la gua VPN de Microsoft:
http://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/defa
ult.aspx
Establecer una conexin VPN entre dos nodos con un S.O Windows versin x, tambin
pueden establecer la conexin con un S.O Linux.
Monitorear la operacin y los encabezados Ethernet con un analizador de protocolos.
Monitorear la operacin y los encabezados VPN con un analizador de protocolos.
Antecedentes
El concepto de VPN ha estado presente desde hace algunos aos en el mundo de la redes. A
mediados de los 80s, grandes portadoras fueron ofrecidas como VPN para servicios de voz, de
manera que las compaas podan tener la apariencia de una red privada de voz, mientras
compartan los recursos de una red mucho mayor. Este concepto se est aplicando ahora tanto
para voz como para datos de la misma manera. Esencialmente una VPN es una red de datos
aparentemente privada, pero la cual utiliza los recursos de un red de informacin mucho mayor.
La Internet es la plataforma ideal para crear una VPN.
En un principio existan dos tipos bsicos de tecnologas VPN, las cuales fueron la base de las VPN
hoy en da: VPN confiables y VPN seguras. Las VPN hbridas, surgieron como consecuencia de un
desarrollo tecnolgico y de los avances de la Internet.
Antes de que la Internet se volviera universal, una VPN consista en uno o ms circuitos rentados a
un proveedor de comunicaciones. Cada circuito rentado actuaba como un cable independiente, el
cual era manejado por el cliente. La idea bsica era que el cliente usara el circuito de la misma
manera en que usaba los cables fsicamente en su red local.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
La privacidad con la que contaban estas VPN no era ms que la que el proveedor del servicio de
comunicacin le otorgaba al cliente; nadie ms poda usar el mismo circuito. Esto permita a los
clientes tener su propia direccin IP y polticas de seguridad independientes. Un circuito rentado
corra sobre uno o ms switch de comunicacin, de los cuales, cualquiera poda ser comprometido
por algn operador que tratara de monitorear el trfico de las lneas. El cliente VPN tena que
confiar la integridad de los circuitos y de la informacin en el proveedor de servicio VPN; por este
motivo este tipo de redes era llamado VPN confiable.
Con el paso del tiempo la Internet se volvi ms popular como medio de comunicacin
corporativo, y la seguridad se volvi un tpico de mayor importancia. Con el antecedente de las
VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la informacin y
que incluyeran la integridad de los datos enviados. Se empezaron a crear protocolos que
permitieran la encriptacin del trfico en algn extremo de la red, que se moviera a travs de la
Internet como cualquier otra informacin, para luego ser descifrado cuando alcanzara la red de la
corporacin o al destinatario.
Desarrollo Terico
Qu es una VPN?
VPN (Virtual Private Network) es una extensin de una red local y privada que utiliza como medio
de enlace una red pblica como por ejemplo, Internet. Tambin es posible utilizar otras
infraestructuras WAN tales como Frame Relay, ATM, etc.
Este mtodo permite enlazar dos o ms redes simulando una nica red privada permitiendo as la
comunicacin entre computadoras como si fuera punto a punto.
Tambin un usuario remoto se puede conectar individualmente a una LAN utilizando una conexin
VPN, y de esta manera utilizar aplicaciones, enviar datos, etc. de manera segura.
Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la transmisin de datos
mediante un proceso de encapsulacin y en su defecto de encriptacin, esto es importante a la
hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas
telefnicas dedicadas para formar la red. Ms adelante se explicara ms en profundidad el
funcionamiento del tnel.
Una de las principales ventajas de una VPN es la seguridad, los paquetes viajan a travs de
infraestructuras pblicas (Internet) en forma encriptada y a travs del tnel de manera que sea
prcticamente ilegible para quien intercepte estos paquetes.
Esta tecnologa es muy til para establecer redes que se extienden sobre reas geogrficas
extensas, por ejemplo diferentes ciudades y a veces hasta pases y continentes. Por ejemplo
empresas que tienen oficinas remotas en puntos distantes, la idea de implementar una VPN hara
reducir notablemente los costos de comunicacin, dado que las llamadas telefnicas (en caso de
usar dial-up) seran locales(al proveedor de Internet) o bien utilizar conexiones DSL, en tanto que
de otra manera habra que utilizar lneas dedicadas las cuales son muy costosas o hacer tendidos


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
de cables que seran ms costosos aun.

Diagrama lgico de una VPN
VENTAJAS DE UNA VPN:
Seguridad: provee encriptacin y encapsulacin de datos de manera que hace que estos
viajen codificados y a travs de un tnel.
Costos: ahorran grandes sumas de dinero en lneas dedicadas o enlaces fsicos.
Mejor administracin: cada usuario que se conecta puede tener un numero de IP fijo
asignado por el administrador, lo que facilita algunas tareas como por ejemplo mandar
impresiones remotamente, aunque tambin es posible asignar las direcciones IP
dinmicamente si as se requiere.
Facilidad para los usuarios con poca experiencia para conectarse a grandes redes
corporativas transfiriendo sus datos de forma segura.
TIPOS DE VPN:
Las formas en que pueden implementar las VPNs pueden ser basadas en HARDWARE o a travs de
SOFTWARE, pero lo ms importante es el protocolo que se utilice para la implementacin.
Las VPNs basadas en HARDWARE utilizan bsicamente equipos dedicados como por ejemplo los
routers, son seguros y fciles de usar, ofreciendo gran rendimiento ya que todos los procesos
estn dedicados al funcionamiento de la red a diferencia de un sistema operativo el cual utiliza
muchos recursos del procesador para brindar otros servicios, en sntesis, los equipos dedicados
son de fcil implementacin y buen rendimiento, solo que las desventajas que tienen son su alto
costo y que poseen sistemas operativos propios y a veces tambin protocolos que son
PROPIETARIOS.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Existen diferentes tecnologas para armar VPNs:
DLSW: Data Link Switching(SNA over IP)
IPX for Novell Netware over IP
GRE: Generic Routing Encapsulation
ATMP: Ascend Tunnel Management Protocol
IPSEC: Internet Protocol Security Tunnel Mode
PPTP: Point to Point Tunneling Protocol
L2TP: Layer To Tunneling Protocol
Entre los ms usados y con mejor rendimiento estaran Ipsec y PPTP, aunque a este ltimo se le
conocen fallas de seguridad.
A continuacin se detallan su funcionamiento:
IPSEC (Internet Protocol Secure):
Es un protocolo de seguridad creado para establecer comunicaciones que proporcionen
confidencialidad e integridad de los paquetes que se transmiten a travs de Internet.
IPsec puede utilizar dos mtodos para brindar seguridad, ESP (Encapsulating Security Payload) o
AH (Authentication Header).
La diferencia entre ESP y AH es que el primero cifra los paquetes con algoritmos de cifrado
definidos y los autentica, en tanto que AH solo los autentica.
AH firma digitalmente los paquetes asegurndose la identidad del emisor y del receptor.
Ipsec tiene dos tipos de funcionamiento, uno es el modo transporte en el cual la encriptacin se
produce de extremo a extremo, por lo que todas las mquinas de la red deben soportar Ipsec, y el
otro es el modo tnel, en el cual la encriptacin se produce solo entre los routers de cada red.
Esta ltima forma seria la ms ordenada de organizar una red VPN basada en Ipsec.
PPTP (Point to Point Tunneling Protocol):
Este es uno de los protocolos ms populares y fue originalmente diseado para permitir el
transporte (de modo encapsulado) de protocolos diferentes al TCP/IP a travs de Internet. Fue
desarrollado por el foro PPTP, el cual est formado por las siguientes empresas:
Ascend Communications, Microsoft Corporations, 3 Com, E.C.I. Telematics y U.S. Robotics (ahora 3
Com).

Bsicamente, PPTP lo que hace es encapsular los paquetes del protocolo punto a punto PPP (Point
to Point Protocol) que a su vez ya vienen encriptados en un paso previo para poder enviarlos a


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
traves de la red.
El proceso de encriptacin es gestionado por PPP y luego es recibido por PPTP, este ltimo utiliza
una conexin TCP llamada conexin de control para crear el tnel y una versin modificada de la
Encapsulacin de Enrutamiento Generico (GRE, Generic Routing encapsulation) para enviar los
datos en formato de datagramas IP, que seran paquetes PPP encapsulados, desde el cliente hasta
el servidor y viceversa.
El proceso de autenticacin de PPTP utiliza los mismos mtodos que usa PPP al momento de
establecer una conexin, como por ejemplo PAP (Password Authenticaction Protocol) y CHAP
(Challenge-Handshake Authentication Protocol).
El mtodo de encriptacion que usa PPTP es el Microsoft Point to Point Encryption, MPPE, y solo es
posible su utilizacin cuando se emplea CHAP (o MS-CHAP en los NT) como medio de
autenticacin.
MPPE trabaja con claves de encriptacin de 40 o 128 bits, la clave de 40 bits es la que cumple con
todos los estndares, en cambio la de 128 bits est diseada para su uso en Norte Amrica. Cliente
y servidor deben emplear la misma codificacin, si un servidor requiere de ms seguridad de la
que soporta el cliente, entonces el servidor rechaza la conexin.

Es posible establecer conexiones mediante tneles sin encriptacin, es decir, realizar solamente la
Encapsulacin, pero esto no est considerado que sea una VPN ya que los datos viajan de forma
insegura a travs de la red.
DIAGRAMAS:
Hay varias posibilidades de conexiones VPN, esto ser definido segn los requerimientos de la
organizacin, por eso es aconsejable hacer un buen relevamiento a fin de obtener datos como por
ejemplo si lo que se desea enlazar son dos o ms redes, o si solo se conectaran usuarios remotos.
Las posibilidades son:
DE CLIENTE A SERVIDOR (Client to Server):
Un usuario remoto que solo necesita servicios o aplicaciones que corren en el mismo servidor
VPN.






Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
DE CLIENTE A RED INTERNA (Client to LAN):
Un usuario remoto que utilizara servicios o aplicaciones que se encuentran en uno o ms equipos
dentro de la red interna.

DE RED INTERNA A RED INTERNA (LAN to LAN):
Esta forma supone la posibilidad de unir dos intranets a travs de dos enrutadores, el servidor VPN
en una de las intranets y el cliente VPN en la otra.
Aqu entran en juego el mantenimiento de tablas de ruteo y enmascaramiento.


REQUERIMIENTOS PARA EL ARMADO DE UNA VPN
Para el correcto armado de una VPN, es necesario cumplir con una serie de elementos y
conceptos que a continuacin se detallan:
Tener una conexin a Internet: ya sea por conexin IP dedicada, ADSL o dial-up.
Servidor VPN: bsicamente es una pc conectada a Internet esperando por conexiones de
usuarios VPN y si estos cumplen con el proceso de autenticacin, el servidor aceptara la
conexin y dar acceso a los recursos de la red interna.
Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN, tal como se


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
especifica en la seccin 1.4 (Diagramas).
Asegurarse que la VPN sea capaz de:
o Encapsular los datos
o Autentificar usuarios.
o Encriptar los datos.
o Asignar direcciones IP de manera esttica y/o dinmica.
COMPONENTES QUE CONFORMAN UNA VPN
Las VPN consisten en hardware y software, y adems requieren otro conjunto de componentes.
Estos componentes son simples requisitos que garantizan que la red sea segura, est disponible y
sea fcil de mantener. Son necesarios ya sea que un PSI proporcione la VPN o que usted haya
decidido instalar una por s mismo.
Disponibilidad: Se aplica tanto al tiempo de actualizacin como al de acceso.
Control: Suministra capacitacin, experiencia, supervisin meticulosa y funciones de alerta que
ofrece algunos proveedores de servicios administrados. Una consideracin significativa es que sin
importar que tan grande sea la organizacin, es probable que solo cuente con una VPN; puede
tener otros puntos de acceso pero seguir siendo una VPN corporativa.
Compatibilidad: Para utilizar tecnologa VPN e Internet como medio de transporte, la arquitectura
interna del protocolo de red de una compaa debe ser compatible con el IP nativo de Internet.
Seguridad: Lo es todo en una VPN, desde el proceso de cifrado que implementa y los servicios de
autenticacin que usted elige hasta las firmas digitales y las autoridades emisoras de certificados
que utilizan. Abarca el software que implementa los algoritmos de cifrado en el dispositivo de la
VPN.
Confiabilidad: Cuando una compaa decide instalar el producto VPN de un PSI, est a merced de
este.
Autenticacin de Datos y Usuarios: En datos Reafirma que el mensaje ha sido enviado
completamente y que no ha sido alterado de ninguna forma. En usuarios es el proceso que
permite que el usuario acceda a la red.
Sobrecarga de Trfico: En todo tipo de tecnologas existen sacrificios: velocidad contra
desempeo, seguridad contra flexibilidad. Las VPN caben en la misma categora cuando se hablan
de tamao de paquetes cifrados las sobre carga est en juego, ya que si mandamos varios
paquetes se incrementa el tamao de estos y por lo tanto se afecta la utilizacin del ancho de
banda.
Sin Repudio: Es el proceso de identificar positivamente al emisor de tal manera que no pueda
negarlo.



Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Herramientas de una VPN
VPN Gateway
Software
Firewall
Router
VPN Gateway
Dispositivos con un software y hardware especial para proveer de capacidad a la VPN
Software
Esta sobre una plataforma PC o Workstation, el software desempea todas las funciones de la
VPN.
TECNOLOGA DE TNEL
Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos a
esto se le conoce como encapsulacin adems los paquetes van encriptados de forma que los
datos son ilegibles para los extraos.

El servidor busca mediante un router la direccin IP del cliente VPN y en la red de transito se
envan los datos sin problemas.
a. Cmo funciona.?

En la figura anterior se muestra como viajan los datos a travs de una VPN ya que el servidor
dedicado es del cual parten los datos, llegando a firewall que hace la funcin de una pared para
engaar a los intrusos a la red, despus los datos llegan a nube de Internet donde se genera un
tnel dedicado nicamente para nuestros datos para que estos con una velocidad garantizada, con
un ancho de banda tambin garantizado y lleguen a su vez al firewall remoto y terminen en el
servidor remoto.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios mviles, con oficinas
remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM como lo muestra la
figura siguiente.

Aspectos bsicos de tneles
Trabajar en un sistema de tnel es un mtodo de utilizar una infraestructura de la red para
transferir datos de una red sobre otra; los datos que sern transferidos (o carga til) pueden ser
las tramas (o paquetes) de otro protocolo.
En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo de
tnel la encapsula en un encabezado adicional. ste proporciona informacin de entubamiento de
manera que la carga til encapsulada pueda viajar a travs de la red intermedia.
De esta manera, se pueden enrutar los paquetes encapsulados entre los puntos finales del tnel
sobre la red (la trayectoria lgica a travs de la que viajan los paquetes encapsulados en la red se
denomina tnel). Cuando las tramas encapsuladas llegan a su destino sobre la red se
desencapsulan y se envan a su destino final; ntese que este sistema de tnel incluye todo este
proceso (encapsulamiento, transmisin y desencapsulamiento de paquetes).
Existen muchos otros ejemplos de tneles que pueden realizarse sobre intranets corporativas. Y
aunque la Red de redes proporciona una de las intranets ms penetrantes y econmicas, las
referencias a Internet en este artculo se pueden reemplazar por cualquier otra intranet pblica o
privada que acte como de trnsito. Las tecnologas de tnel existen desde hace tiempo.
Algunos ejemplos de tecnologas maduras incluyen:
Tneles SNA sobre intranets IP. Cuando se enva trfico de la Arquitectura de la red del sistema
(SNA) a travs de una intranet IP corporativa, la trama SNA se encapsula en un encabezado UPN e
IP. Tneles IPX para Novell NetWare, sobre intranets IP. Cuando un paquete IPX se enva a un
servidor NetWare o ruteador IPX, el servidor o ruteador envuelve el paquete IPX en un
encabezado UDP e IP y luego lo enva a travs de una intranet IP.
Modo de tnel de seguridad IP (IPSec). Deja que se encripten las cargas tiles IP y luego se


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
encapsulen en un encabezado IP, para enviarse a travs de una red corporativa IP o una red
pblica IP como Internes
Protocolo de tneles
Para que se establezca un tnel, tanto el cliente de ste como el servidor debern utilizar el mismo
protocolo de tnel.
La tecnologa de tnel se puede basar en el protocolo del tnel de Nivel 2 o Nivel 3; estos niveles
corresponden al Modelo de referencia de interconexin de sistemas abiertos (OSI).
Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como su
unidad de intercambio. PPTP y L2TP y el envo de nivel 2 (L2F) son protocolos de tnel de Nivel 2,
ambos encapsulan la carga til en una trama de Protocolo de punto a punto (PPP) que se enviar a
travs de la red.
Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo
de tnel de seguridad IP (IPSec) son ejemplos de los protocolos de tnel de Nivel 3; stos
encapsulan los paquetes IP en un encabezado adicional antes de enviarlos a travs de una red IP.
Los protocolos y los requerimientos bsicos del tnel
Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP v
L2TP) heredan un conjunto de funciones tiles. Como se seala adelante, estas funciones y sus
contrapartes de Nivel 3 cubren los requerimientos bsicos de la VPN
Autenticacin de usuario. Los protocolos de tnel Nivel 2 hereda los esquemas de autenticacin
del usuario de PPP.
Muchos de los esquemas de tnel de Nivel 3 suponen que los puntos finales han sido bien
conocidos (y autenticados) antes de que se estableciera el tnel. Una excepcin es la negociacin
IPSec ISAKMP que proporciona una autenticacin mutua de los puntos Finales del tnel. (Ntese
que la mayor parte de las implementaciones IPSec dan soporte slo a certificados basados en
equipo, ms que en certificados de usuarios; como resultado, cualquier usuario con acceso a uno
de los equipos de punto final puede utilizar el tnel. Se puede eliminar esta debilidad potencial de
seguridad cuando se conjunta el IPSec con un protocolo de Nivel 2, como el L2TP.)
Soporte de tarjeta de seales. Al utilizar el Protocolo de autenticacin ampliable (EAP), los
protocolos de tnel Nivel 2 pueden ofrecer soporte a una amplia variedad de mtodos de
autenticacin, incluidas contraseas de una sola vez, calculadores criptogrficos y tarjetas
inteligentes. Los protocolos de tnel Nivel 3 pueden utilizar mtodos similares; por ejemplo, IPSec
define la Autenticacin de los certificados de llaves pblicas en su negociacin ISAKMP/Oakley.
Asignacin de direccin dinmica. El tnel de Nivel 2 da soporte a la asignacin dinmica de
direcciones de clientes basadas en un mecanismo de negociacin de protocolos de control de la
red en general los esquemas del tnel de nivel 3 suponen que ya se ha asignado una direccin
antes de la iniciacin del tnel. Cabe mencionar que los esquemas para la asignacin de


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
direcciones en el modo de tnel IPSec estn actualmente en desarrollo, por lo que an no estn
disponibles.
Compresin de datos. Los protocolos de tnel Nivel 2 proporcionan soporte a esquemas de
compresin basados en PPP Por ejemplo, las implementaciones de Microsoft tanto de PPTP como
L2TP utilizan Microsoft Point to Point Compression (MPPC). La IETF est investigando mecanismos
similares (como la compresin IP) para los protocolos de tnel Nivel 3.
Encriptacin de datos. Los protocolos de tnel Nivel 2 dan soporte a mecanismos de encriptacin
de datos basados en PPP. Por su parte, la implementacin de Microsoft de PPTP da soporte al uso
opcional de Microsoft Point to Point Encription (MPPE), basado en el algoritmo RSA/RC4. Los
protocolos de tnel Nivel 3 pueden utilizar mtodos similares; por ejemplo, IPSec define varios
mtodos de Encriptacin opcional de datos que se negocian durante el intercambio
ISAKMP/Oaklev.
La implementacin de Microsoft del protocolo L2TP utiliza la encriptacin IPSec para proteger el
flujo de datos del cliente al servidor del tnel.
Administracin de llaves. MPPE, un protocolo de Nivel 2, se basa en las claves iniciales generadas
durante la Autenticacin del usuario y luego las renueva en forma peridica. IPSec negocia
explcitamente una llave comn durante el intercambio ISAKMP y tambin las renueva de manera
peridica.
Soporte de protocolo mltiple. El sistema de tnel de Nivel 2 da soporte a protocolos mltiples
de carga til, lo que facilita a los clientes de tnel tener acceso a sus redes corporativas utilizando
IP, IPX, NetBEUI, etc.
En contraste, los protocolos de tnel Nivel 3, como el modo de tnel IPSec, por lo comn dan
soporte slo a redes objetivo que utilizan el protocolo IP.
PROTOCOLOS DE PUNTO A PUNTO
Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadas
para PPP, vale la pena examinar este protocolo ms de cerca.
PPP se dise para enviar datos a travs de conexiones de marcacin o de punto a punto
dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luego
transmite los paquetes encapsulados del PPP a travs de un enlace punto a punto. Es utilizado
entre un cliente de marcacin y un NAS.
Existen cuatro fases distintivas de negociacin en una sesin de marcacin del PPP, cada una de
las cuales debe completarse de manera exitosa antes de que la conexin del PPP est lista para
transferir los datos del usuario. Estas fases se explican posteriormente.
a. Fase 1: Establecer el enlace del PPP
PPP utiliza el Protocolo de Control de Enlace (LCP) para establecer, mantener y concluir la


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
conexin fsica. Durante la fase LCP inicial, se seleccionan las opciones bsicas de comunicacin.
Ntese que durante la fase de establecimiento de enlace (Fase i), se seleccionan los protocolos de
Autenticacin, peto no se implementan efectivamente hasta la fase de Autenticacin de conexin
(Fase 2). De manera similar, durante el LCP se toma una decisin respecto a que si dos iguales
negociarn el uso de compresin y/o encriptacin. Durante la Fase 4 ocurre la eleccin real de
algoritmos de compresin/encriptacin y los otros detalles.
b. Fase 2: Autenticar al usuario
En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso
remoto. Por su parte, un esquema seguro de Autenticacin proporciona proteccin contra ataques
de reproduccin y personificacin de clientes remotos. (Un ataque de reproduccin ocurre cuando
un tercero monitoriza una conexin exitosa y utiliza paquetes capturados para reproducir la
respuesta del cliente remoto, de manera que pueda lograr una conexin autenticada.
La personificacin del cliente remoto ocurre cuando un tercero se apropia de una conexin
autenticada.
La gran parte de la implementaciones del PPP proporcionan mtodos limitado, de Autenticacin,
tpicamente el Protocolo de autenticacin de contrasea (PAP), el
Protocolo de autenticacin de saludo Challenge (CHAP) Y Microsoft Challenge Handshake
Authentication Protocol (MSCHAP).
i. Protocolo de autenticacin de contrasea (PAP). El PAP es un esquema simple y claro de
autenticacin de texto: el NAS solicita al usuario el nombre y la contrasea y el PAP le contesta el
texto claro (no encriptado).
Obviamente, este esquema de autenticacin no es seguro ya que un tercero podra capturar el
nombre y la contrasea para tener sea del usuario Y til os un acceso subsecuente al NAS y todos
los recursos que proporciona el mismo cuando se ha escrito la contrasea del usuario, PAP no
proporciona proteccin contra ataques de reproduccin o personificacin de cliente remoto.
ii. Protocolo de autenticacin de saludo Challenge (CHAP). El CHAP es un mecanismo encriptado
que evita la transmisin de contraseas reales en la conexin. El NAS enva un Challenge, que
consiste de una identificacin de sesin y una extensin arbitraria al cliente remoto. Por su parte,
el cliente remoto deber utilizar el algoritmo de control unidireccional MD5 para devolver el
nombre i del usuario y una encriptacin del challenge, la identificacin de la sesin y la contrasea
del cliente.
El CHAP es una mejora sobre el PAP en cuanto a que no se enva la contrasea de texto
transparente sobre el enlace. En su lugar, se utiliza la contrasea a fin de crear una verificacin
encriptada del challenge original. El servidor conoce la contrasea del texto transparente del
cliente y, por tanto, puede duplicar la operacin y comparar el resultado con la contrasea
enviada en la respuesta del cliente.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
El CHAP protege contra ataques de reproduccin al utilizar una extensin challenge arbitraria para
cada intento de autenticacin. Asimismo, protege contra la personificacin de un cliente remoto al
enviar de manera impredecible challenges repetidos al cliente remoto, a todo lo largo de la
duracin de la conexin.
Durante la fase 2 de la configuracin del enlace del PPP, el NAS recopila los datos de autenticacin
y luego valida los datos contra su propia base de datos del usuario o contra un servidor central
para la autenticacin de base de datos, como el que mantiene un Controlador del dominio
primario Windows NT, un servidor de Servicio remoto de usuario con marcacin de autenticacin
(RA, DIUS).
c. Fase 3:
Control de interaccin del PPP
La implementacin de Microsoft del PPP incluye una Fase opcional de control de interaccin. Esta
fase utiliza el protocolo de control de iteracin (CBCP) inmediatamente despus de la fase de
autenticacin.
Si se configura para iteracin, despus de la autenticacin, le desconectan tanto el cliente remoto
como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el nmero telefnico
especificado, lo que proporciona un nivel adicional de seguridad a las redes de marcacin.
El NAS permitir conexiones partir de los clientes remotos que fsicamente residan slo en
nmeros telefnicos especficos.
d. Fase 4: Invocar los Protocolos a nivel de Red
Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red
(NCP), que se seleccionaron durante la fase de establecimiento de enlace (fase i) para configurar
los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control
de IP (IPCP) puede asignar una direccin dinmica a un usuario de marcacin.
En la implementacin del PPP de Microsoft, el protocolo de control de compresin se utiliza para
negociar tanto la compresin de datos (utilizando MPPC) como la encriptacin de stos (utilizando
MPPE), por la simple razn de que ambos se implementan en la misma rutina.
e. Fase de transferencia de datos
Una vez que hayan concluido las cuatro fases de negociacin, PPP empieza a transferir datos hacia
y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado del
PPP, que elimina el sistema receptor. Si se seleccion la compresin de datos en la fase 1 y se
negoci en la fase 4, los datos se comprimirn antes de la transmisin.
Pero si se seleccion y se negoci de manera similar la encriptacin de datos, stos (comprimidos
opcionalmente) se encriptarn antes de la transmisin.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
MODO DEL TUNEL DE SEGURIDAD DE PROTOCOLOS PARA INTERNET
El IPSec es un estndar de protocolo de Nivel 3 que da soporte a la transferencia protegida de
informacin a travs de una red IR En su conjunto se describe con mayor detalle en la seccin de
Seguridad avanzada.
Hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de tnel: adems de
su definicin de mecanismos de encriptacin para trfico IP, IPSec define el 1 formato de paquete
para un modo de tnel IP sobre IP, generalmente referido como un modo de tnel IPSec.
Un tnel IPSec consiste en un cliente de tnel v un servidor de tnel, ambos configurados para
utilizar los tneles IPSec y un mecanismo negociado de encriptacin. El modo del tnel del IPSec
utiliza el mtodo de seguridad negociada (de existir) para encapsular y encriptar todos los
paquetes IP, para una transferencia segura a travs de una red privada o pblica IP. As, se vuelven
a encapsular la carga til encriptada con un encabeza do IP de texto Y se enva en la red para su
entrega a un servidor de tnel. Al recibir este datagrama, el servidor del tnel procesa y descarta
el encabezado IP de texto y luego desencripta su contenido, a fin de recuperar el paquete original
IP de carga til. En seguida, se procesa el paquete IP de carga til de manera normal y se en ruta
su destino en la red objetivo.
El modo de tnel IP tiene las siguientes funciones y limitaciones:
Solo da soporte a trfico IP
Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles
ms altos hereda su comportamiento.
Est controlado por una Poltica de seguridad (un conjunto de reglas que se cumplen a
travs de filtros). Esta poltica de seguridad establece los mecanismos de encriptacin y de
tnel disponible en orden de preferencia, as como los mtodos de autenticacin
disponibles, tambin en orden de preferencia. Tan pronto como existe trfico, ambos
equipos realizan una autenticacin mutua, y luego negocian los mtodos de encriptacin
que se utilizarn. Posteriormente, se encripta todo el trfico de encriptacin, y luego se
envuelve en un encabezado de tnel.
PROTOCOLO DE TUNEL DE PUNTO A PUNTO
El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP para
transmisin sobre una red IP, como la de Internet. Tambin se puede utilizar en una red privada de
LAN a LAN.
El Protocolo de tnel de punto a punto (PPTP) utiliza una conexin TCP, para mantenimiento del
tnel y tramas encapsuladas del PPP de Encapsulamiento de entubamiento genrico (GRE) para
datos de tnel. Se pueden encriptar y/o comprimir las cargas tiles de las tramas del PPP
encapsulado.
La forma en que se ensambla el paquete del PPTP antes de la transmisin (el dibujo exhibe un


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
cliente de marcacin que crea un tnel a travs de una red). El diseo de la trama final muestra la
encapsulamiento para un cliente de marcacin (controlador de dispositivo PPP).
a. Reenvo de nivel 2 (L2F)
Una tecnologa propuesta por cisco, es un protocolo de transmisin que permite que los
servidores de acceso de marcacin incluyan el trfico de marcacin en el PPP, y lo transmitan
sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor L2F envuelve los
paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido.
Ntese que L2F funciona slo en tneles obligatorios (para un anlisis detallado de los tneles
voluntarios y obligatorios, vase la seccin "Tipos de tnel", ms adelante en este artculo).
b. Protocolo de tnel de nivel 2 (L2TP)
Es una combinacin del PPTP y L2F. Sus diseadores esperan que el L2TP represente las mejores
funciones del PPTP y L2E, L2TP es un protocolo de red encapsula las tramas de] PPP que viajan
sobre redes IP, x.25, Frame Relay, o modo de transferencia ATM.
Cuando est configurado para utilizar al IP como su transporte de datagrama, L2TP se puede
utilizar como un protocolo de tnel sobre Internet. Tambin se Puede utilizar directamente sobre
varios medios WAN (como Frame Relay), sin nivel de transporte IP.
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes para el mantenimiento de tnel.
Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados
por el tnel; se pueden encriptar Y/O comprimir las cargas tiles de las tramas PPP encapsuladas.
c. PPTP comparado con el L2TP
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los datos, y
luego incluir encabezados adicionales a fin de transportarlos a travs de la red. Aunque ambos
protocolos son muy similares, existen diferencias entre ellos:
El PPTP requiere que la red sea de tipo IP, y el L2TP requiere slo que los medios del tnel
proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar L2TP
sobre IP (utilizando UDP), circuitos virtuales permanentes (PVC), circuitos virtuales X25 (VC) o VC
ATM.
El PPTP slo puede soportar un tnel nico entre puntos terminales, y el L2TP permite el uso de
varios tneles entre puntos terminales. Con el L2TP es posible crear diferentes tneles para
diferentes calidades de servicio.
L2TP proporciona la compresin de encabezados. Cuando se activa la compresin de encabezado,
el L2TP opera slo con 4 bytes adicionales, comparado con los 6 bytes para el PPTP.
L2TP proporciona la autenticacin de tnel, no as el PPTP. Sin embargo, cuando se utiliza
cualquiera de los protocolos sobre IPSec, se proporciona la autenticacin de tnel por el IPSec, de


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
manera que no sea necesaria la autenticacin del tnel Nivel 2.
TIPOS DE TUNEL
Se pueden crear tneles en diferentes formas.
Tneles voluntarios: Una computadora de usuario o de cliente puede emitir una solicitud VPN para
configurar y crear un tnel voluntario. En este caso, la computadora del usuario es un punto
terminal del tnel y acta como un cliente de ste.
Tneles obligatorios: Un servidor de acceso de marcacin capaz de soportar una VPN configura y
crea un tnel obligatorio. Con uno de stos, la computadora del usuario deja de ser un punto
terminal del tnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora del
usuario y el servidor del tnel, es el punto terminal del tnel y acta como el cliente del mismo.
A la fecha, los tneles voluntarios han robado ser el tipo ms popular de tnel. Las siguientes
secciones describen cada uno de estos tipos con mayor detalle.
a. Tneles voluntarios
Un tnel voluntario ocurre cuando, una estacin de trabajo o un servidor de entubamiento utilizan
el software del cliente del tnel, a fin de crear una conexin virtual al servidor del tnel objetivo;
para lograr esto se debe instalar el protocolo apropiado de tnel en la computadora cliente. Para
los protocolos que se analizan en este artculo, los tneles voluntarios requieren una conexin IP
(ya sea a travs de una LAN o marcacin).
En determinadas situaciones, el cliente debe establecer una conexin de marcacin con el objeto
de conectarse a la red antes de que el cliente pueda establecer un tnel (ste es el caso ms
comn). Un buen ejemplo es el usuario de Internet por marcacin, que debe marcar a un ISP y
obtener una conexin a Internet antes de que se pueda crear un tnel sobre Internet.
Para una PC conectada a una LAN, el cliente ya tiene una conexin a la red que le puede
proporcionar un entubamiento a las cargas tiles encapsuladas al servidor del tnel LAN elegido.
Este sera el caso para un cliente en una LAN corporativa, que inicia, un tnel para alcanzar una
subred privada u oculta en la misma LAN (como sera el caso de la red de Recursos Humanos).
Es falso que las VPN requieran una conexin de marcacin, pues slo requieren de una red IP.
Algunos clientes (como las PC del hogar) utilizan conexiones de marcacin 1 Internet para
establecer transporte IP; esto es un paso preliminar en la preparacin para la creacin de un tnel,
y no es parte del protocolo del tnel mismo.
b. Tneles obligatorios
Diversos proveedores que venden servidores de acceso de marcacin han implementado la
capacidad para crear un tnel en nombre del cliente de marcacin. La computadora o el
dispositivo de red que proporciona el tnel para la computadora del cliente es conocida de varias
maneras: Procesador frontal (FEP) en PPTP, un Concentrador de acceso a L2TP (LAC) en L2TP o un


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
gateway de seguridad IP en el IPSec. En este artculo, el trmino FEP se utilizar para describir esta
funcionalidad, sin importar el protocolo de tnel.
Para realizar esta funcin, el FEP deber tener instalado el protocolo apropiado de tnel y ser
capaz de establecer el tnel cuando se conecte la computadora cliente.
En el ejemplo de Internet, la computadora cliente coloca una llamada de marcacin al NAS
activado por los tneles en el ISP; puede darse el caso de que una empresa haya contratado un ISP
para instalar un conjunto nacional de FEP.
Esta configuracin se conoce como "tnel obligatorio" debido a que el cliente est obligado a
utilizar el tnel creado por FER Cuando se realiza la conexin inicial, todo el trfico de la red de y
hacia el cliente se enva automticamente a travs del tnel.
En los tneles obligatorios, la computadora cliente realiza una conexin nica PPP, y cuando un
cliente marca en el NAS se crea un tnel y todo el trfico se enruta de manera automtica a travs
de ste. Es posible configurar un FEP para hacer un tnel a todos los clientes de marcacin hacia
un servidor especfico del tnel. De manera alterna, el FEP podra hacer tneles individuales de los
clientes basados en el nombre o destino del usuario.
A diferencia de los tneles por separado creados para cada cliente voluntario, un tnel entre el
FEP y servidor puede estar compartido entre varios clientes de marcacin. Cuando un segundo
cliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crear
una nueva instancia del tnel entre el FEP y el servidor del tnel.
Las VPNs proveen hoy ahorros de un 50 a un 75 por ciento en los costos de comunicaciones, y
permiten mantener la arquitectura de las redes flexible para adaptarse a los nuevos mecanismos
de negocio de las empresas.
Estudios de mercado asignan a las VPNs oportunidades de negocio por U$S 1.1 mil millones a nivel
mundial para el ao 2001, con un crecimiento anual del 72 por ciento.
Esto lo vemos reflejado en nuestro mercado local, dado que los principales vendedores
comenzaron a ofrecer este tipo de servicio.
TIPOS DE REDES VIRTUALES PRIVADAS
Las redes privadas virtuales se dividen en 3 categoras de acuerdo con el servicio de conectividad
que brinden:
a.. VPN de Acceso Remoto.
(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativo a travs de una
infraestructura pblica, conservando las mismas polticas, como seguridad y calidad de servicio,
que en la red privada. Permite el uso de mltiples tecnologas como discado, ISDN, xDSL, cable, o
IP para la conexin segura de usuarios mviles, telecommuters o sucursales remotas a los recursos


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
corporativos (ver figura1 "VPN de acceso").
Caractersticas:
Outsourcing de acceso remoto
llamadas locales o gratuitas (n 900)
ubicuidad del acceso
Instalacin y soporte del PS (Proveedor de servicio)
Acceso nico al nodo central (elimina la competencia por puertos)
Tecnologas de acceso RTC, ISDN, xDSL
Movilidad IP
Seguridad reforzada por el cliente
- AAA en el ISP proporciona 1 y posiblemente 2 nivel de seguridad.
b. VPN de Intranet.
Vincula la oficina remota o sucursal a la red corporativa, a travs de una red pblica, mediante
enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red
privada: seguridad, calidad de servicio y disponibilidad, entre otras (ver figura 2. "Intranet VPN").
Caracterstica:
Extiende el modelo IP a travs de la WAN compartida.
c. VPN de Extranet.
Permite la conexin de clientes, proveedores, distribuidores o dems comunidades de inters a la
intranet corporativa a travs de una red pblica (ver figura "Extranet VPN").
Caractersticas:
Extiende la conectividad a proveedores y clientes
sobre una infraestructura compartida
usando conexiones virtuales dedicadas
Los pharters tienen diferentes niveles de autorizacin


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
accses control lists, firewalls, filtros, segn decida la empresa
TECNOLOGA DE LAS REDES PRIVADAS VIRTUALES
La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnologa para proteger
la privacidad, mantener la calidad y confiabilidad, y asegurar la operatoria de la red en toda la
empresa. Estos elementos son:
a. Seguridad: uso de tneles, encriptacin de datos, autenticacin de usuarios y paquetes, control
de acceso.
b. Calidad de Servicio: uso de colas, manejo de congestin de red, priorizacin de trfico,
clasificacin de paquetes.
c. Gestin: implementacin y mantenimiento de las polticas de seguridad y calidad de servicio a lo
largo de la VPN.
Seguridad en las VPNs
Un punto fundamental es el particionamiento de las redes pblicas o de uso compartido para
implementar las VPN que son disjuntas. Esto se logra mediante el uso de tneles que no son ni ms
ni menos que tcnicas de encapsulado del trfico. Las tcnicas que se utilizan son: GRE, que
permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro
protocolo, tpicamente IP; L2TP que permite el armado de tneles para las sesiones PPP remotas, y
por ltimo IPSec para la generacin de tneles con autenticacin y encriptado de datos.
La calidad de servicio permite la asignacin eficiente de los recursos de la red pblica a las
distintas VPNs para que obtengan una performance predecible. A su vez, las VPNs asignarn
distintas polticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes
tecnolgicas bsicas son:
a. Clasificacin de Paquetes: asignacin de prioridades a los paquetes basados en la poltica
corporativa. Se pueden definir hasta siete clases de prioridades utilizando el campo de IP
precedence dentro del encabezado del paquete IP.
Committed Access Rate (CAR): garantiza un ancho de banda mnimo para aplicaciones o usuarios
basndose en la poltica corporativa.
Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en base a la
prioridad asignada a stos, mediante el encolado de los paquetes.
Weighted Random Early Detection (WRED): complementa las funciones de TCP en la prevencin y
manejo de la congestin de la red, mediante el descarte de paquetes de baja prioridad.
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el fin de reducir
posibles congestiones de la red que tengan como consecuencia el descarte de paquetes.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Desarrollo Prctico
Instalando lo necesario para tener el servidor VPN
Para que nuestro servidor Windows server 2008 funcione como servidor VPN, primero
realizamos una serie de pasos mostrados abajo:
Lo primero que se tiene que hacer antes de configurar el servidor VPN, es, instalar algunas
funciones del que nos ofrece Windows Server 2008:
Agregar la funcin Servicios de Dominio de Active Directory: esta funcin nos va
permitir agregar los usuarios que harn uso del VPN.
Servidor DNS: esta funcin se agrega por default cuando agregamos la funcin
Servicios de Dominio de Active Directory.
Servicios de acceso directivas de redes: esta funcin nos permitir agregar y
configurar el servidor VPN.
Como se muestra en la imagen:



Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Configurando el Servidor VPN.
Una vez que tenemos lo necesario instalado acedemos a la siguiente ruta:
Inicio herramientas Adm. Enrutamiento y acceso remoto. A continuacin se
abrir: donde daremos clic derecho en el nombre del servidor Conf. Y hab. Enr. Y Acc.
Remoto.








Despus en la ventana que aparece elegimos la opcin Configuracin personalizada. Y
hacer clic en siguiente.













Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Posteriormente activamos la opcin Acceso a VPN.

En la ventana que aparece hacemos clic en finalizar y nos pedir que iniciemos el servicio que
estamos configurando. Los iniciamos y nuevamente hacemos clic en finalizar.




Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Configurar el intervalo de direccionamiento IPv4: aqu tenemos que especificar el rango
de direcciones IP que le asignaremos a los equipos que van a ser uso de la VPN. Nosotros
le dimos un rango de 10 direcciones IP vlidas.
Para lograr lo anterior hacer clic derecho sobre el nombre del servidor Propiedades
IPv4.












Una vez configurado lo necesario nuestro servidor VPN, queda configurado.










Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Agregar un usuario de Active Directory.

Para agregar un usuario accedemos a la siguiente ruta: inicio Herramientas Adm.
Usuarios y equipo de Active Directory.
Estando dentro Usuarios y equipo de Active Directory, desplegamos el nombre del
Domino: seguridad.com, y hacemos clic derecho sobre Users Nuevo Usuario.

Agregamos los campos necesarios del usuario que har uso del servidor VPN y hacemos
clic en siguiente.









Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Posteriormente nos pide que le asignemos una contrasea al nuevo usuario. Y hacemos
clic en siguiente. Y la ventana que aparece solo hacer clic en finalizar.

Para que el usuario que acabamos de crear pueda acceder al servicio VPN tenemos que
configurarlo previamente de la siguiente manera: hacer clic derecho sobre el nombre del
usuario Propiedades.
En la ventana que aparece seleccionar la pestaa Marcado. Y activar la opcin Permitir
acceso. Y clic en aceptar.










Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Configuracin del Cliente VPN

Una vez que ya tenemos configurado nuestro servidor VPN en el Windows server 2008
procederemos a hacer la configuracin para que un cliente pueda conectarse a este servidor
desde un equipo remoto. En este caso haremos dicha configuracin en un equipo con Windows 7.
Para comenzar debemos entrar a centro de redes y recursos compartidos. Para hacer eso
podemos seguir esta ruta abrimos el Panel de control > Redes e Internet >Centro de redes y
recursos compartidos. Y nos aparecer una ventana como la siguiente:

Damos clic a configurar una nueva conexin o red


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco

Una vez dentro debemos elegir una opcin de conexin es decir cmo vamos a conectarnos,
elegimos conectarse a un rea de trabajo que es la asignada para crear conexiones VPN y damos
clic en siguiente.
En el siguiente paso el asistente preguntara si deseamos crear una nueva conexin o usar una ya
existente en este caso activamos la casilla de No, crear una nueva conexin y damos clic en


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
siguiente.
Posteriormente indicamos con un clic que deseamos conectarnos mediante una VPN (Virtual
Private Network) o Red Privada Virtual en espaol.
El asistente tratara de indicarnos que nos conectemos a internet pero como ese no es el objetivo
de esta prctica lo que haremos ser activar la casilla de Decidir ms tarde y damos clic en
siguiente.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Ahora escribimos la direccin IP a la que vamos a conectarnos, en este caso es la direccin IP del
servidor VPN previamente configurado, pero en la realidad esta es una direccin que tu proveedor
de servicios VPN debe indicarte. Como nombre de destino podemos escribir lo que sea yo lo
dejare como Conexin VPN 3 y la casilla de configurar para conectarse ms tarde debe estar
activada. Damos clic en siguiente.
Lo siguiente es configurar con que usuario entraremos a la red, debe ser un usuario previamente
creado en el dominio del servidor VPN en el Server 2008. En este caso mi usuario es cara,
escribir su debida contrasea y el dominio SEGURIDAD, aunque este ltimo es opcional en este
lado de la conexin.


Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Ahora la conexin esta creada y lista para usarse.
Antes de conectarnos a la red nos conviene ir a las propiedades de la conexin VPN y especificar
en la pestaa de seguridad el tipo de VPN que queremos, en este caso el Protocolo de Tnel de
Punto a Punto PPTP que es el ms recomendado para estas conexiones VPN por su seguridad.













Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Procedemos a conectarnos a la red para eso damos clic al icono de redes en la barra de tareas
seleccionamos nuestra conexin VPN y damos clic en conectar. Debe aparecer una ventana como
la siguiente:












Aqu solo tenemos que teclear nuestro nombre de usuario, contrasea y dominio y dar clic en
conectar para tener acceso a la red VPN. Una vez que finalice el proceso estaremos ya conectados
y para comprobarlo damos clic al icono de red en la barra de tareas y vemos que efectivamente
estamos conectados a la red mediante una conexin VPN llamada Conexin VPN 3.







Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Resultados
En la siguiente imagen podemos observar el cliente que est conectado a la VPN y nos muestra
algunos datos:
Nombre del usuario y al dominio que pertenece dicho usuario.
El tiempo de la conexin.












Escaneo de puertos TCP
Instituto Tecnolgico
de Acapulco
Conclusin
Con la realizacin de esta prctica logramos comprender la el funcionamiento y la importancia
que tienen las VPNs hoy en da ya que como sabemos la seguridad es una de las preocupaciones
ms grandes que tienen las empresas y las conexiones VPN nos ofrecen una solucin para cuando
los empleados deben conectarse desde una red insegura como lo es la internet. Haciendo uso de
protocolo PPTP que nos permite hacer la conexin entre dos host en una VPN y tambin el
funcionamiento del protocolo de cifrado en una vpn, como lo es PPP.
Haciendo uso de los protocolos mencionados arriba las VPNs nos proporcionan seguridad,
confidencialidad e integridad de los datos, adems reducen significativamente el costo de la
transferencia de datos de un lugar a otro. Aunque demos tener en claro las polticas de seguridad
y de acceso porque si esto no est bien definido pueden existir consecuencias serias.




FALTA MAS CONCLU..

Bibliografa
http://html.rincondelvago.com/red-vpn.html
http://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.html