ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Red Privada Virtual (VPN)

Host-to-LAN VPN

La creciente movilidad de los usuarios de una organización junto con la necesidad de estos usuarios para acceder a su red local como si estuvieran conectados físicamente, aun cuando lejos de sus oficinas, ha llevado al desarrollo de Host-to-LAN VPN. Este tipo de conexión incluye un túnel cifrado que, a través de Internet, se conecta el cliente externo a un servidor VPN dentro de la LAN. Una conexión punto a punto se inicia dentro de este túnel con los dos extremos asigna direcciones IP pertenecientes a la organización. De esta manera el cliente remoto aparece dentro del firewall y por lo tanto pueden dialogar con la LAN sin el riesgo de ser filtrada.

Para implementar este tipo de VPN Zeroshell utiliza el protocolo L2TP/IPSec. La autenticación es a través de RADIUS en MS-Chap2 con el mismo nombre de usuario y la contraseña utilizada para autenticar el Kerberos 5 servicios. Este tipo de VPN se seleccionó porque por L2TP/IPSec hay clientes para todas las plataformas y la mayoría de los sistemas de Microsoft ya incluyen un soporte integrado.

LAN-to-LAN VPN

La presencia de sucursales dentro de una organización, junto con el alto costo de las líneas de comunicación dedicado ha llevado a la necesidad de utilizar Internet como un medio para el intercambio de datos. Por otra parte, ya que la red pública sea abierta e insegura, que no garantiza la confidencialidad de los datos que viajan en él. Así, la generalización del modelo de VPN visto en el párrafo anterior se utiliza.

LAN a LAN (o de sitio a sitio) VPN es un túnel cifrado que conecta dos redes de área local (separadas geográficamente) a través de Internet. En otras palabras una VPN puede ser pensado como un cable virtual que conecta dos LAN: no importa cómo muchos routers son necesarios para cruzar a través de Internet, las dos redes LAN aparecerán separados por un único segmento de red.

Túneles VPN se pueden clasificar en función de si contienen encapsulado de capa 2 (enlace de datos) o los paquetes de capa 3 (red) paquetes. En el primer caso las dos redes de área local son generalmente un bridge y por lo tanto cualquier nivel 3 del protocolo (IP, IPX, Apple Talk) puede pasar a través de ellos. Naturalmente, el nivel 2 de broadcast también se propaga entre las dos redes LAN.
En cambio, en el segundo tipo de VPN, un único protocolo de capa 3 pueden transitar (generalmente IP) y el tráfico se enruta a través de rutas estáticas. De esto se puede deducir que las dos redes de área local deben pertenecer a subredes separadas.

Protocolos estándar Existen diferentes para construir VPNs. El más conocido de tipo VPN IP es definitivamente IPSEC, donde para cada paquete único de la cabecera es autenticado por el protocolo AH y la carga útil encriptada por el protocolo ESP. Sin embargo, el hecho de cifrar la carga útil, que también contiene la fuente y el número de puerto de destino del nivel TCP/UDP de transmisión, crea problemas para los routers intermedios efectuar NAT. Estos últimos, además, generar errores de suma de comprobación para el protocolo de autenticación AH al cambiar la fuente de paquetes IP. La solución, conocida como NAT Traversal (NAT-T), es generalmente para encapsular IPSEC en datagramas UDP en el puerto 4500. Otro problema de IPSEC es que con el fin de ser capaz de autentificar y encriptar los paquetes de una estructura de intercambio de claves llamado IKE (Internet Key Exchange) es necesario. Este servidor, que responde en el puerto UDP 500, en general, admite la autenticación con claves previamente compartidas o con certificados X.509.

Zeroshell prefiere para encapsular datagramas Ethernet en túneles TLS autenticado mediante certificados X509 en ambos extremos como una solución a la VPN de sitio a sitio. Esta solución no estandarizados requiere el uso de una caja Zeroshell tanto en LAN u otro sistema con el software libre OpenVPN. Esta solución ha sido elegida porque tiene las siguientes ventajas:

  • Al crear una conexión Ethernet (nivel 2) entre las dos redes de área local, además de rutas, bridge de las redes es posible garantizar el paso de cualquier protocolo de nivel 3 (IP, IPX, Apple Talk);
  • El protocolo 802.1Q VLAN es compatible. Esto significa que si una red se divide en redes LAN virtuales, este último también puede ser transportado en la red de pares con un único túnel VPN;
  • BOND de dos o más redes privadas virtuales (Bonding) es compatible con el equilibrio de carga o tolerancia a fallos de configuración. Esto significa, por ejemplo, que si hay dos o más conexiones ADSL, una red privada virtual se pueden crear para cada conexión y se puede combinar el aumento de la banda o la confiabilidad
  • Gracias para el algoritmo de compresión lzo en tiempo real, los datos se comprimen en una forma de adaptación. En otras palabras, la compresión sólo se produce cuando los datos de la VPN puede ser realmente comprimido;
  • El uso de túneles de TLS en los puertos TCP o UDP permite transitar por el router en el que se permitió a la NAT sin problemas.



    Copyright (C) 2005-2012 by Fulvio Ricciardi