Exportar (0) Imprimir
Expandir todo

Protocolos de túnel VPN

Se aplica a: Windows Server 2008

Los túneles permiten la encapsulación de un paquete de un tipo de protocolo dentro del datagrama a un protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública, como Internet. Es posible configurar una solución VPN basada en el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos (L2TP) o el protocolo de túnel de sockets seguros (SSTP).

PPTP, L2TP y SSTP dependen en gran medida de las características especificadas originalmente para el protocolo punto a punto (PPP). PPP se diseñó para enviar datos a través de conexiones punto a punto de acceso telefónico o dedicadas. Para IP, PPP encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP encapsulados a través de un vínculo punto a punto. PPP se definió originalmente como el protocolo que debía usarse entre un cliente de acceso telefónico y un servidor de acceso a la red.

PPTP

PPTP permite que el tráfico multiprotocolo se cifre y se encapsule en un encabezado IP para que, de este modo, se envíe a través de una red IP o una red IP pública, como Internet. PPTP puede utilizarse para el acceso remoto y las conexiones VPN entre sitios. Cuando se usa Internet como la red pública de una VPN, el servidor PPTP es un servidor VPN habilitado para PPTP con una interfaz en Internet y una segunda interfaz en la intranet.

Encapsulación

PPTP encapsula las tramas PPP en datagramas IP para su transmisión a través de la red. PPTP usa una conexión TCP para la administración del túnel y una versión modificada de GRE (encapsulación de enrutamiento genérico) para encapsular las tramas PPP de los datos enviados a través del túnel. Las cargas de las tramas PPP encapsuladas pueden cifrarse, comprimirse o ambas cosas. En la siguiente ilustración se muestra la estructura de un paquete PPTP que contiene un datagrama IP.

Estructura de un paquete PPTP que contiene un datagrama IP

Estructura de paquete PPTP con datagrama IP

Cifrado

La trama PPP se cifra con MPPE (cifrado punto a punto de Microsoft) mediante el uso de claves de cifrado generadas a partir del proceso de autenticación MS-CHAP v2 o EAP-TLS. Los clientes de la red privada virtual deben usar el protocolo de autenticación MS-CHAP v2 o EAP-TLS para poder cifrar las cargas de las tramas PPP. PPTP aprovecha el cifrado PPP subyacente y encapsula una trama PPP previamente cifrada.

L2TP

L2TP permite cifrar el tráfico multiprotocolo y enviarlo a través de cualquier medio compatible con la entrega de datagramas punto a punto, como IP o ATM (modo de transferencia asincrónico). L2TP es una combinación de PPTP y L2F (reenvío de nivel 2), una tecnología desarrollada por Cisco Systems, Inc. L2TP presenta las mejores características de PPTP y L2F.

A diferencia de PPTP, la implementación de Microsoft de L2TP no usa MPPE para cifrar los datagramas PPP. L2TP se basa en IPsec (protocolo de seguridad de Internet) en modo de transporte para los servicios de cifrado. La combinación de L2TP e IPsec se denomina L2TP/IPsec.

Tanto el cliente como el servidor VPN deben ser compatibles con L2TP e IPsec. La compatibilidad del cliente con L2TP está integrada en los clientes de acceso remoto de Windows Vista® y Windows XP y la compatibilidad del servidor VPN con L2TP está integrada en los miembros de las familias de Windows Server® 2008 y Windows Server 2003.

L2TP se instala con el protocolo TCP/IP.

Encapsulación

La encapsulación de los paquetes L2TP/IPsec consta de dos niveles:

Primer nivel: encapsulación L2TP

Una trama PPP (un datagrama IP) se encapsula con un encabezado L2TP y un encabezado UDP.

Estructura de un paquete L2TP que contiene un datagrama IP

Estructura de paquete L2TP con datagrama IP
Segundo nivel: encapsulación IPsec

El mensaje L2TP se encapsula con un encabezado y un finalizador ESP (carga de seguridad encapsuladora) IPsec, un finalizador de autenticación IPsec que proporciona integridad y autenticación de mensaje y un encabezado IP final. En el encabezado IP se encuentran las direcciones IP de origen y destino que corresponden al cliente y al servidor VPN.

Cifrado de tráfico L2TP con ESP IPsec

Cifrado de tráfico L2TP con IPsec ESP

Cifrado

El mensaje L2TP se cifra con DES (estándar de cifrado de datos) o 3DES (Triple DES) mediante el uso de las claves de cifrado generadas en el proceso de negociación de IKE (intercambio de claves por red).

SSTP

El protocolo de túnel de sockets seguros (SSTP) es un nuevo protocolo de túnel que usa el protocolo HTTPS a través del puerto TCP 443 para hacer pasar el tráfico a través de firewalls y proxies web que podrían bloquear el tráfico PPTP y L2TP/IPsec. SSTP proporciona un mecanismo para encapsular el tráfico PPP a través de un canal SSL (capa de sockets seguros) del protocolo HTTPS. El uso de PPP permite la compatibilidad con métodos de autenticación seguros, como EAP-TLS. SSL proporciona seguridad de nivel de transporte con negociación de claves mejorada, cifrado y comprobación de integridad.

Cuando un cliente trata de establecer una conexión VPN basada en SSTP, lo primero que hace SSTP es establecer un nivel HTTPS bidireccional con el servidor SSTP. A través de este nivel HTTPS, los paquetes del protocolo se transmiten como la carga de datos.

Encapsulación

SSTP encapsula las tramas PPP en datagramas IP para su transmisión a través de la red. SSTP usa una conexión TCP (a través del puerto 443) para la administración del túnel, así como tramas de datos PPP.

Cifrado

El mensaje SSTP se cifra con el canal SSL del protocolo HTTPS.

Selección de protocolos de túnel

A la hora de elegir entre las soluciones VPN de acceso remoto basadas en PPTP, L2TP/IPsec y SSTP, tenga en cuenta los siguientes aspectos:

  • PPTP puede utilizarse con diversos clientes de Microsoft, como Microsoft Windows 2000, Windows XP, Windows Vista, y Windows Server 2008. Al contrario que L2TP/IPsec, PPTP no requiere el uso de una infraestructura de clave pública (PKI). Gracias al cifrado, las conexiones VPN basadas en PPTP proporcionan confidencialidad de datos (los paquetes capturados no pueden interpretarse sin la clave de cifrado). Sin embargo, las conexiones VPN basadas en PPTP no ofrecen integridad de datos (pruebas de que los datos no se modificaron durante su tránsito) ni autenticación del origen de datos (pruebas de que los datos fueron enviados por el usuario autorizado).

  • L2TP sólo puede usarse en equipos cliente que ejecuten Windows 2000, Windows XP o Windows Vista. L2TP admite certificados de usuario o una clave previamente compartida como método de autenticación para IPsec. La autenticación de certificados de equipo, que es el método de autenticación recomendado, requiere una PKI para emitir certificados de equipo al servidor VPN y a todos los equipos cliente VPN. Gracias a IPsec, las conexiones VPN basadas en L2TP/IPsec proporcionan confidencialidad, integridad y autenticación de datos.

    A diferencia de PPTP y SSTP, L2TP/IPsec permite la autenticación de equipos en el nivel IPsec y la autenticación de usuario en el nivel PPP.

  • SSTP sólo puede usarse con equipos cliente que ejecuten Windows Vista Service Pack 1 (SP1) o Windows Server 2008. Gracias a SSL, las conexiones VPN basadas en SSTP proporcionan confidencialidad, integridad y autenticación de datos.

  • Los tres tipos de túneles transportan las tramas PPP sobre la pila de protocolos de red. Por lo tanto, las características comunes de PPP, como los esquemas de autenticación, la negociación de los protocolos de Internet versión 4 (IPv4) y versión 6 (IPv6), y la protección de acceso a redes (NAP), no sufren variaciones en los tres tipos de túneles.

Referencias adicionales

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2015 Microsoft