VPN = Virtual Private Network.

Se utilizan para garantizar la seguridad de los datos a través de Internet.

Una VPN se utiliza para crear un túnel privado a través de una red pública. Se puede proporcionar seguridad
a los datos mediante el uso de cifrado en este túnel a través de Internet y con autenticación para proteger los
datos contra el acceso no autorizado.

Definición.

Buen diseño de red: Confiabilidad, Escalabilidad, Rentabilidad y Seguridad.

 Una VPN es una red privada creada mediante tunneling a través de una red pública, generalmente
Internet.

 Una VPN es un entorno de comunicaciones en el que el acceso se controla de forma estricta para
permitir las conexiones de peers dentro de una comunidad de interés definida.

 Las organizaciones utilizan las VPN para crear una conexión de red privada de extremo a extremo a
través de redes externas como Internet o las extranets. El túnel elimina la barrera de distancia y
permite que los usuarios remotos accedan a los recursos de red del sitio central.

 Las primeras VPN eran exclusivamente túneles IP que no incluían la autenticación o el cifrado de los
datos. Las redes privadas virtuales generalmente se refieren a la implementación segura de VPN con
cifrado, como las VPN con IPsec.

Para implementar las VPN, se necesita un gateway VPN. El gateway VPN puede ser un router, un firewall o un
dispositivo de seguridad adaptable (ASA) de Cisco.

ASA = Dispositivo de Seguridad Adaptable.

Es un dispositivo de firewall independiente que combina la funcionalidad de firewall, concentrador VPN y

prevención de intrusiones en una imagen de software.

GRE = Encapsulación de routing genérico.

 Protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de tipos
de paquetes de protocolo de capa de red dentro de los túneles IP.

 Crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a través de una
internetwork IP.

Beneficios.

Una VPN utiliza conexiones virtuales que se enrutan a través de Internet desde la red privada de una
organización hasta el sitio remoto o el host del empleado.

La información de una red privada se transporta de manera segura a través de la red pública para formar una
red virtual.
Los beneficios de una VPN incluyen lo siguiente:

 Ahorro de costos: las VPN permiten que se utilice un transporte externo de Internet, mediante
tecnologías de banda ancha para conectar oficinas remotas y usuarios remotos a un sitio principal. Se
eliminan los costosos enlaces WAN dedicados.

 Escalabilidad: las VPN permiten que las organizaciones utilicen la infraestructura de Internet dentro de
los ISP lo que facilita la tarea de agregar nuevos usuarios; pueden agregar una gran cantidad de
capacidad sin necesidad de aumentar considerablemente la infraestructura.

 Compatibilidad con la tecnología de banda ancha: las redes VPN permiten que los empleados a
distancia aprovechen la conectividad por banda ancha de alta velocidad para acceder a las redes de sus
organizaciones. La conectividad por banda ancha proporciona flexibilidad y eficacia.

 Seguridad: las VPN pueden incluir mecanismos de seguridad que proporcionan el máximo nivel de
seguridad mediante protocolos de cifrado y autenticación avanzados que protegen los datos contra el
acceso no autorizado.

Tipos de VPN.

2 tipos de VPN: VPN de Sitio a Sitio y VPN de Acceso Remoto.

 VPN de Sitio a sitio

 Una VPN de sitio a sitio es una extensión de una red WAN clásica.

 Las VPN de sitio a sitio conectan redes enteras entre sí.

 Las VPN de sitio a sitio reemplazan a las conexiones de línea arrendada o de Frame Relay para
conectar sitios, ya que en la actualidad la mayoría de las empresas tienen acceso a Internet.

 Una VPN de sitio a sitio se crea cuando los dispositivos en ambos lados de la conexión VPN conocen
la configuración de VPN con anticipación.

 La VPN permanece estática y los hosts internos no saben que existe una VPN.

 En una VPN de sitio a sitio, los hosts terminales envían y reciben tráfico TCP/IP normal a través de un
“gateway” VPN.

Funcionamiento:

 El gateway VPN es el responsable de encapsular y cifrar el tráfico saliente.

 Después lo envía por un túnel VPN a través de Internet a un gateway VPN de peer en el sitio de
destino.
 Al recibirlo, el gateway VPN de peer elimina los encabezados, descifra el contenido y transmite el
paquete hacia el host de destino dentro de su red privada.
  VPN de Acceso remoto

 Las VPN de acceso remoto se utilizan para conectar hosts individuales que deben acceder a una red
privada de forma segura a través de Internet. Para esto utilizan conexiones de banda ancha de un
ISP.

 Una VPN de acceso remoto se crea cuando la información de VPN no se configura de forma estática,
pero permite el intercambio dinámico de información y se puede habilitar y deshabilitar.

 Las VPN de acceso remoto admiten una arquitectura cliente/servidor, en la que el cliente VPN (host
remoto) obtiene acceso seguro a la red empresarial mediante un dispositivo del servidor VPN en el
perímetro de la red.

 Es posible que se deba instalar un software de cliente VPN en la terminal del usuario móvil.

Funcionamiento:

 Las VPN de acceso remoto admiten las necesidades de los empleados a distancia, usuarios móviles y
tráfico de extranet de cliente a empresa.

 Cuando el host intenta enviar cualquier tipo de tráfico, el software cliente VPN encapsula y cifra este
tráfico. Después, los datos cifrados se envían por Internet al gateway VPN en el perímetro de la red
de destino. Al recibirlos, el gateway VPN se comporta como lo hace para las VPN de sitio a sitio.

Software cliente VPN de Cisco:

 Cisco AnyConnect Secure Mobility Client.

 Cisco AnyConnect VPN Client.
 Cisco VPN Client.

Túneles GRE - conexión de sitio a sitio.

GRE = Encapsulación de enrutamiento genérico.

 GRE es un protocolo de tunneling VPN de sitio a sitio básico y no seguro.

 Desarrollado por Cisco, puede encapsular gran cantidad de paquetes de diferentes protocolos de
capa de red dentro de túneles IP.
 Crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a través de internet.
 Está diseñado para transportar tráfico multiprotocolo y de multidifusión IP entre 2 o más sitios con
conectividad IP.

Encabezado de capa 3 para GRE:

 Protocolo de pasajeros: Protocolo encapsulado, es el paquete IP original. (IP, IPv6)

 Portadora: protocolo de encapsulación (proveedor). (GRE)
 Protocolo de entrega de transporte: transporta el protocolo encapsulado. (IP)

*El tunneling IP que utiliza GRE habilita la expansión de la red a través de un entorno de backbone de
protocolo único.
Características de GRE:

 Se define como un estándar IETF (RFC 2784).

 En el encabezado IP externo, se utiliza el número 47 en el campo de protocolo para indicar que lo que
sigue es un encabezado GRE.
 La encapsulación de GRE utiliza un campo de tipo de protocolo en el encabezado GRE para admitir la
encapsulación de cualquier protocolo de capa 3 del modelo OSI. Los tipos de protocolo se definen en
RFC 1700 como “EtherTypes”.
 GRE no tiene estado, no incluye ningún mecanismo de control de flujo.
 GRE no incluye ningún mecanismo de seguridad sólido para proteger su contenido.
 El encabezado GRE, junto con el encabezado de tunneling IP, crea por lo menos 24 bytes de sobrecarga
adicional para los paquetes que se envían por túnel.

Configuración de un túnel GRE.

 GRE se utiliza para crear un túnel VPN entre dos sitios.

 Para implementar un túnel GRE se debe descubrir las direcciones IP de las terminales.

Pasos de configuración:

 Crear una interfaz de túnel:

Router(config)# interface tunnel 0

 Especificar la dirección IP de origen del túnel.

Router(config-if)# tunnel source dir-ip_interfaz_origen

 Especificar la dirección IP de destino del túnel.

Router(config-if)# tunnel destination dir-ip_interfaz_destino

  Configurar una dirección IP para la interfaz de túnel.

Router(config-if)# ip address dir_ip mask (dirección propia del enlace túnel gre)

 Especificar el modo de túnel GRE como modo de interfaz de túnel.

Router(config-if)# tunnel mode gre ip

*El modo de túnel GRE es el modo predeterminado de interfaz de túnel para el software IOS de Cisco.

Consideraciones para la configuración:

 Antes de que se cree un túnel GRE, ya se configuraron las interfaces físicas.

 Los comandos tunnel source y tunnel destination se refieren a las direcciones IP de las
interfaces físicas configuradas previamente.
 El comando ip address en las interfaces de túnel se refiere a una red IP especialmente diseñada
para los propósitos del túnel GRE.

Ejemplo:

R1(config)# interface tunnel 0

R1(config-if)# tunnel source 209.165.201.1
R1(config-if)# tunnel destination 198.133.219.87
R1(config-if)# ip address 192.168.2.1 255.255.255.0
R1(config-if)# tunnel mode gre ip
R1(config-if)# exit
R1(config)# router ospf 1
R1(config-router)# network 192.168.2.0 0.0.0.255. área 0

R2(config)# interface tunnel 0

R2(config-if)# tunnel source 198.133.219.87
R2(config-if)# tunnel destination 209.165.201.1
R2(config-if)# ip address 192.168.2.2 255.255.255.0
R2(config-if)# tunnel mode gre ip
R2(config-if)# exit
R2(config)# router ospf 1
R2(config-router)# network 192.168.2.0 0.0.0.255. área 0
  Verificación de configuración y funcionamiento GRE:

Router# show ip interface brief | include tunnel

Router# show interface tunnel 0
Router# show ip ospf neighborg

Resumen características GRE:

 GRE se considera una VPN porque es una red privada que se crea con tunneling a través de una red
pública.
 Mediante la encapsulación, un túnel GRE crea un enlace virtual punto a punto a los routers Cisco en
puntos remotos a través de una internetwork IP.
 GRE se puede utilizar para canalizar el tráfico que no es IP a través de una red IP, lo que permite la
expansión de la red mediante la conexión de subredes multiprotocolo en un entorno de backbone
de protocolo único.
 GRE admite el tunneling de multidifusión IP, se pueden utilizar los protocolos de routing a través del
túnel, lo que habilita el intercambio dinámico de información de routing en la red virtual.
 Es habitual crear túneles GRE IPv6 a través de IPv4, donde IPv6 es el protocolo encapsulado e IPv4 es
el protocolo de transporte.
 GRE no proporciona cifrado ni ningún otro mecanismo de seguridad. Los datos que se envían a través
de un túnel GRE no son seguros.
 Si se necesita una comunicación de datos segura se deben configurar redes VPN con IPsec o SSL.

VPN de Acceso remoto.

Existen dos métodos principales para implementar VPN de acceso remoto:

 Capa de sockets seguros (SSL)

 Seguridad IP (IPsec)

El tipo de método VPN implementado se basa en los requisitos de acceso de los usuarios y en los procesos de
TI de la organización.

Tanto la tecnología de VPN con SSL como la de VPN con IPsec ofrecen acceso a prácticamente cualquier
aplicación o recurso de red.

Las VPN con SSL ofrecen características como una fácil conectividad desde las computadoras de escritorio que
no administra la empresa, un escaso o nulo mantenimiento del software de escritorio y portales web
personalizados por el usuario al iniciar sesión.
VPN con SSL del IOS de Cisco

Es la primera solución de VPN con SSL de cisco.

Ofrece conectividad desde cualquier ubicación, no solo desde los recursos administrados por las empresas,
sino también desde las computadoras de los empleados, las computadoras de escritorio de los contratistas o
de los socios de negocios, y los quioscos de Internet.

Admite diversos algoritmos criptográficos para las operaciones, como la autenticación del servidor y el cliente
entre sí, la transmisión de certificados y el establecimiento de claves de sesión.

Las soluciones de VPN con SSL de Cisco se pueden personalizar para empresas de cualquier tamaño.

Características:

 Acceso total a la red, sin clientes y basado en Web, sin software de escritorio instalado previamente.

 Protección contra virus, gusanos, spyware y piratas informáticos en una conexión VPN mediante la
integración de la seguridad de la red y de las terminales en la plataforma VPN con SSL de Cisco.
 Uso de un único dispositivo tanto para VPN con SSL como para VPN con IPsec.

 Facilita servicios VPN sólidos de acceso remoto y de sitio a sitio desde una única plataforma con
administración unificada.

Proporciona acceso remoto mediante un navegador web y el cifrado SSL nativo del navegador web.
Alternativamente, puede proporcionar acceso remoto mediante el software Cisco AnyConnect Secure
Mobility Client.

Cisco ASA proporciona dos modos principales de implementación que se encuentran en las soluciones de VPN
con SSL de Cisco, como se muestra en la ilustración:

 Cisco AnyConnect Secure Mobility Client con SSL: requiere el cliente Cisco AnyConnect.

 Cisco Secure Mobility Clientless SSL VPN: requiere un explorador de Internet.

Cisco AnyConnect Secure Mobility Client con SSL

Las VPN con SSL basadas en el cliente proporcionan acceso total de red del estilo de LAN para los usuarios
autenticados. Sin embargo, los dispositivos remotos requieren la instalación de una aplicación cliente, como
el cliente Cisco VPN o el más reciente AnyConnect, en el dispositivo para usuarios finales.

En un Cisco ASA básico configurado para el tunneling completo y una solución de VPN con SSL de acceso
remoto, los usuarios remotos utilizan Cisco AnyConnect Secure Mobility Client para establecer un túnel SSL
con Cisco ASA.
Después de que Cisco ASA establece la VPN con el usuario remoto, este usuario puede reenviar tráfico IP por
el túnel SSL. Cisco AnyConnect Secure Mobility Client crea una interfaz de red virtual para proporcionar esta
funcionalidad. El cliente puede utilizar cualquier aplicación para acceder a cualquier recurso, sujeto a las reglas
de acceso, detrás del gateway VPN de Cisco ASA.

VPN con SSL de Cisco Secure Mobility sin clientes

El modelo de implementación de VPN con SSL sin clientes permite que las empresas proporcionen acceso a
los recursos corporativos incluso cuando la empresa no administra el dispositivo remoto. En este modelo de
implementación, Cisco ASA se usa como dispositivo proxy de los recursos en red. Proporciona una interfaz de
portal web para que los dispositivos remotos naveguen la red mediante capacidades de reenvío de puertos.

En una solución de VPN con SSL básica sin clientes de Cisco ASA, los usuarios remotos utilizan un navegador
web estándar para establecer una sesión SSL con Cisco ASA, como se muestra en la figura 2. Cisco ASA presenta
al usuario un portal web por el que puede acceder a los recursos internos. En la solución básica sin clientes,
el usuario puede acceder solo a algunos servicios, como las aplicaciones web internas y los recursos de
intercambio de archivos basados en el explorador, como se muestra en la figura 3.

Para establecer un túnel desde una PC hacia un dispositivo Cisco ASA se utiliza Cisco Anyconnect.