Untitled

PPTP y L2TP por Marisabel Rodriguez Bilardo
Los protocolos PPTP y L2TP nacieron para crear VPNs.
Además de permitir crear túneles a través de Internet, pueden
encriptar los datos enviados y autenticar a los usuarios.
Las VPNs conectan sitios remotos en forma segura y además bajan costos porque utilizan redes públicas en vez de líneas PPTP y L2TP son idénticos en la capa física y de enlace, pero punto a punto. Saber cómo funcionan los protocolos más utili- zados con los que se implementan, nos ayuda a aprovechar El protocolo PPTP encapsula paquetes IP para transmitirlos en una red IP. Los clientes PPTP usan el puerto destino 1723 para El término VPN se usa en los últimos años en forma muy crear un túnel. Este proceso tiene lugar en la capa de transpor- general, para designar una muy variada gama de implementa- te. Después de que el host y el cliente establecen un túnel, ciones. Básicamente se refiere a lograr que las comunicaciones envían paquetes de control de conexión PPTP de un extremo al entre determinadas redes o computadoras, sean virtualmente invisibles para observadores externos, mientras que se aprove- PPTP encapsula el frame PPP en un paquete GRE (Generic chan las ventajas de infraestructuras públicas. Lo que distingue Routing Encapsulation) que opera en la capa de red. GRE a una VPN de una red privada verdadera es la utilización de provee un método de encapsulamiento a los protocolos de capa una infraestructura compartida. La base de la aparición de las 3 como IPX, Apple Talk, y DECnet para redes IP, pero no esta- VPNs reside en la economía y la seguridad en las comunicacio- blece una sesión ni provee seguridad. Para eso se usa PPTP.
Usando GRE, se restringe el uso de PPTP a redes En este artículo, nos vamos a referir a las VPDN Lo que distingue basadas en IP.
(Virtual Private Dial-up Networks). Una VPDN a una VPN de Después de encapsular el frame PPP con un encabe-
permite a un usuario remoto conectarse a otro sitio zado GRE, PPTP encapsula el frame con un encabe- una red privada zado IP. Este encabezado IP contiene la dirección IP
El usuario se conecta a una red pública vía dial-up o verdadera es la origen y destino para el paquete. Luego, PPTP agrega
un link ISDN, y luego sus paquetes viajan en un túnel utilización
de un encabezado y un trailer PPP.
a través de la red pública, dando la impresión de que está conectado al sitio destino directamente. Una ca- una infraestruc- Generalmente hay tres dispositivos que intervienen en
racterística esencial de este tipo de conexiones es la tura compartida. la implementación de una VPN con PPTP:
necesidad de la autenticación del usuario, ya que cualquiera podría tratar de conectarse para obtener acceso al Un Network Access Server (lo llamaremos NAS) No se necesita un NAS para crear un túnel cuando el Cliente Túneles
PPTP y el Servidor PPTP están en la misma red.
Una implementación típica de PPTP, comienza con un cliente El proceso de crear un túnel consiste en enviar paquetes a una que necesita acceder a una LAN privada usando su conexión a computadora en una red privada, ruteándolos sobre otra red, El cliente se conecta a un NAS a través de la infraestructura de Los túneles en sí mismos, no proveen seguridad de datos; el red del ISP. Un NAS también se puede llamar FEP (Front End paquete original es simplemente encapsulado dentro de otro Processor), dial-in server, o POP (Point of Presence). Una vez protocolo, pero se puede ver el contenido con cualquier sniffer que se conecta puede enviar y recibir paquetes en Internet. si no está encriptado. Con “encapsular” nos referimos a agregar Luego de que el usuario hizo una primera conexión al ISP, se un encabezado y/o un trailer de un protocolo a un PDU (Packet necesita una segunda llamada que se realiza sobre la conexión Data Unit) que proviene de otra capa del modelo OSI.
PPP recién creada en la llamada anterior. Los datos enviados PPP es la base sobre la cual trabajan
en esta segunda conexión son datagramas PPP (paquetes PPP L2TP y PPTP son los protocolos más populares para crear La segunda llamada crea una conexión virtual privada sobre la VPNs. Al comparar cómo se comportan ambos en el modelo LAN privada de la Organización, lo cual se da en llamar túnel.
OSI, se encuentra una similitud muy importante: PPP es la base De esta forma se envían paquetes a una computadora en una de ambos y es el encargado de encapsular la transferencia de red privada ruteándolos sobre otra red, que puede ser Internet.
Los routers de esta otra red no pueden acceder a la computa- PPP es un protocolo de la capa de enlace de datos del modelo dora que está en la red privada. Sin embargo, el túnel permite OSI, que se diseñó en un principio para encapsular datos y en- a la red origen, hacer llegar los paquetes a un dispositivo de la red intermedia como el Servidor PPTP, que se conecta tanto a Un subconjunto de protocolos PPP maneja las operaciones de la red que rutea los paquetes como a la red privada.
conexión: el LCP (Link Control Protocol), establece, configura, Cuando el Servidor PPTP recibe el paquete, lo manda a la com- mantiene y termina una conexión punto a punto, y el NCP putadora correspondiente en al red privada. El Servidor (Network Control Protocol) establece y configura varios protoco- procesa el paquete PPTP para obtener el nombre o la direc- E:\TMP\Página_54.nex
ción de la computadora de la red privada, información que está estos datos para finalmente crear la conexión virtual.
encapsulada en el paquete PPP. El paquete PPP encapsulado Esta negociación resulta para el usuario como si el intercambio puede contener varios protocolos como TCP/IP, IPX o NetBEUI. fuera solamente entre él y el LNS, y no hubiera un dispositivo in- En qué se basa la seguridad en ambos protocolos
L2TP es una combinación de PPTP de Microsoft y un consorcio de empresas (entre las que se encuentran US Robotics y La VPN se puede establecer a 20 hops de distancia del destino a- 3COM) y L2F de CISCO. PPTP soporta túneles sobre PPP, y travesando muchas redes distintas, y sin embargo se configura para acceder de manera directa a una LAN privada. ¿Cómo nos L2F permite túneles sobre SLIP y PPP. Después de que CISCO diseñara L2F, la IETF (Internet Engineering Task Force) pidió a podemos asegurar de que nadie ajeno a la compañía está viendo la compañía que combine PPTP y L2F en un protocolo para evitar confusiones y permitir la compatibilidad entre productos Para dar autenticación de usuario, PPTP usa varios protocolos de existentes en el mercado. Se supone que L2TP tiene las autenticación basados en PPP, que incluyen Extensible mejores características de cada uno.
Authentication Protocol (EAP), Microsoft Challenge Handshake Uno de los mejores avances de L2TP es que corre sobre redes Authentication Protocol (MSCHAP) versión 1 y versión 2, no basadas en IP, incluyendo ATM, X.25 y Frame Relay. Sin Challenge Handshake Authentication Protocol (CHAP), Shiva embargo, no se puede contar con esta característica en algunas Password Authentication Protocol (SPAP), y Password plataformas que solamente soportan IP, como por ejemplo Authentication Protocol (PAP). MSCHAP versión 2 y EAP Transport Layer Security (TLS) son más seguros porque proveen autenticación mutua, en la cual el Servidor VPN y el cliente verifican la identidad de la otra parte.
La encriptación PPTP asegura que nadie puede ver los datos que viajan a través de Internet. MPPE (Microsoft Point to Point Encription) negocia la encriptación sobre una conexión PPP y puede ser usado solamente con MSCHAP (versión 1 y versión 2) y EAP-TLS. Se puede utilizar uno de los tres métodos de encriptación MPPE: 40 bits, 56 bits, o 128 bits. PPTP cambia las claves de encriptación con cada paquete L2TP puede utilizar o no IPSec para implementar el túnel, pero IPSec recibido. MPPE fue diseñado para enlaces punto a punto en permite agregar autenticación y encripción.
donde cada paquete de datos llega secuencialmente y en Usando L2TP, un ISP u otro servicio de acceso puede crear un donde pocos paquetes se pierden. En ese entorno, la clave túnel virtual para unir un sitio remoto con una red privada cor- de encriptación de un paquete puede depender de la desencripta- porativa. El LAC (L2TP Access Connector) que se encuentra en el POP (Point of Presence) del ISP intercambia mensajes PPP En el entorno VPN, esta configuración no funciona porque los pa- con los usuarios remotos y se comunica utilizando mensajes de quetes de datos frecuentemente llegan fuera de secuencia. Por control con el LNS (L2TP Network Server) para configurar el eso PPTP desencripta paquetes independientemente del orden y túnel. L2TP pasa mensajes de control a través del túnel virtual usa un número de secuencia para alterar las claves de encripta- entre los dos extremos de una comunicación punto a punto. ción para desencriptar el paquete anterior.
Un LAC es típicamente un dispositivo ubicado en el POP del A pesar de que PPTP es razonablemente seguro, no es tan seguro ISP, y su configuración está a cargo de éste. El LNS es el como L2TP sobre IPSec. L2TP sobre IPSec provee autenticación extremo final del túnel, inicia las llamadas salientes y recibe las a nivel de usuario y también encriptación de datos.
L2TP sobre IPSec utiliza certificados locales en el inicio de la co- municación, los mismos se obtienen de una Autoridad Certificante Secuencia de conexión en el establecimiento de
(CA). El cliente y el servidor intercambian sus certificados para un túnel L2TP genérico
crear la IPSec ESP Security Asociation (SA).
Después de que L2TP sobre IPSec completa el proceso de auten- La conexión entre un usuario remoto, un LAC, un ISP POP y un LNS en la LAN local usando L2TP se lleva a cabo de El usuario remoto inicia la conexión PPP en el ISP, usando El LAC del ISP acepta la conexión en el POP y se estable- Después de que el usuario y el LNS negocian con LCP, el Figura 1
LAC autentica parcialmente al usuario con CHAP o PAP (Protocolos de autenticación de PPP). Si el usuario no es un PPTP agrega un encabezado GRE para enviar los datos a través del usuario permitido de la VPDN, la autenticación continúa y el túnel.
usuario va a poder utilizar Internet u otro servicio al que se haya conectado. Si el nombre de usuario es un cliente de la ticación entre cliente y servidor, comienza el proceso de autentica- VPDN, se establece la conexión con el LSN.
ción a nivel usuario. Se puede elegir autenticación basada en PPP Los extremos del túnel, el LAC y el LNS, se autentican entre sí (por ejemplo PAP, que manda nombre de usuario y contraseña en antes de comenzar la sesión del túnel. texto plano). El proceso es todavía seguro porque L2TP sobre Una vez que se establece el túnel, se crea una sesión L2TP IPSec encripta la sesión. Sin embargo, se puede autenticar en una forma más segura utilizando MSCHAP, que usa una clave de en- El LAC va a propagar las opciones negociadas en el LCP, y la criptación separada de la que se utiliza a nivel autenticación entre información de autenticación CHAP o PAP al LNS, quien valida E:\TMP\Página_55.nex
Como L2TP sobre IPSec utiliza el algoritmo Triple Data Encription Standard (3DES), la encriptación es mucho más fuerte que la que realiza PPTP. 3DES se usa solamente en Norteamérica y está diseñado para entornos de alta segu- ridad. Si no se necesita este nivel de seguridad, se puede utilizar DES, que usa una clave de 56 bits, mientras que L2TP sobre IPSec no solamente provee autenticación a nivel computadoras y usuarios, sino que también ofrece autenticación de datos. Para ello, L2TP sobre IPSec usa “Hash Message Athentication Code (HMAC) Message Digest” MD5. Con este método crea un hash de 128 bits Conclusión
Por lo antes expuesto, podemos concluir que las diferen-
cias a nivel funcional son pocas, y que las ventajas de L2TP con respecto a la fortaleza de los protocolos de en- criptación y autenticación son realmente superiores a los de PPTP. De todas maneras, no olvidemos que algoritmos más fuertes de encriptación conllevan también un uso intenso de CPU para realizar estas operaciones. L2TP es un protocolo que está evolucionando y en su versión 3 agrega MPLS (Multiprotocol Label Switching), el cual combina información de capas 2 y 3 para flexibilizar el tráfico y proveer QoS (Quality of Service).
Si nuestra Organización implementa VPN y necesita la mayor privacidad que se pueda obtener, sin duda utilizare- mos L2TP, pero si tenemos un panorama distinto, en donde se necesita un nivel medio de seguridad sin nece- sidad de utilizar infraestructura de clave pública basada certificados PKI (Public Key Interchange), PPTP es

Source: http://www.marisabel.com.ar/pdfs/PPTPyL2TP-NexIT-Edicion14.pdf

Vaisef conference

• Child, Adolescent and Adult Psychiatry • Medical Director – The Child & Family • Voluntary Faculty – Virginia Commonwealth University (Psychiatry in Family Practice) • Voluntary Faculty – George Washington University School of Medicine (4th Year Medical Students) • Voluntary Faculty – Georgetown Medical School • To become familiar with the different classes of medi

Wsdata-doc

FICHE DE DONNEES DE SECURITE (Règlement CE n°1907/2006)Nom: KIENET SAVON ANTISEPTIQUE HAUTE FREQUENCE - 1695000Société: Société HYDENET - Gamme KIENET FICHE DE DONNÉES DE SÉCURITÉ 1 - IDENTIFICATION DE LA SUBSTANCE/PRÉPARATION ET DE LA SOCIÉTÉ/ENTREPRISE Identification de la substance ou de la préparation : Nom: KIENET SAVON ANTISEPTIQUE HAUTE FREQUENCE Identification de l

Copyright © 2011-2018 Health Abstracts