PPTP y L2TP por Marisabel Rodriguez Bilardo Los protocolos PPTP y L2TP nacieron para crear VPNs. Además de permitir crear túneles a través de Internet, pueden encriptar los datos enviados y autenticar a los usuarios.
Las VPNs conectan sitios remotos en forma segura y además
bajan costos porque utilizan redes públicas en vez de líneas
PPTP y L2TP son idénticos en la capa física y de enlace, pero
punto a punto. Saber cómo funcionan los protocolos más utili-
zados con los que se implementan, nos ayuda a aprovechar
El protocolo PPTP encapsula paquetes IP para transmitirlos en
una red IP. Los clientes PPTP usan el puerto destino 1723 para
El término VPN se usa en los últimos años en forma muy
crear un túnel. Este proceso tiene lugar en la capa de transpor-
general, para designar una muy variada gama de implementa-
te. Después de que el host y el cliente establecen un túnel,
ciones. Básicamente se refiere a lograr que las comunicaciones
envían paquetes de control de conexión PPTP de un extremo al
entre determinadas redes o computadoras, sean virtualmente
invisibles para observadores externos, mientras que se aprove-
PPTP encapsula el frame PPP en un paquete GRE (Generic
chan las ventajas de infraestructuras públicas. Lo que distingue
Routing Encapsulation) que opera en la capa de red. GRE
a una VPN de una red privada verdadera es la utilización de
provee un método de encapsulamiento a los protocolos de capa
una infraestructura compartida. La base de la aparición de las
3 como IPX, Apple Talk, y DECnet para redes IP, pero no esta-
VPNs reside en la economía y la seguridad en las comunicacio-
blece una sesión ni provee seguridad. Para eso se usa PPTP.
Usando GRE, se restringe el uso de PPTP a redes
En este artículo, nos vamos a referir a las VPDN Lo que distingue basadas en IP.
(Virtual Private Dial-up Networks). Una VPDN a una VPN de Después de encapsular el frame PPP con un encabe-
permite a un usuario remoto conectarse a otro sitio
zado GRE, PPTP encapsula el frame con un encabe-
una red privada zado IP. Este encabezado IP contiene la dirección IP
El usuario se conecta a una red pública vía dial-up o verdadera es la origen y destino para el paquete. Luego, PPTP agrega
un link ISDN, y luego sus paquetes viajan en un túnel utilización de un encabezado y un trailer PPP.
a través de la red pública, dando la impresión de que
está conectado al sitio destino directamente. Una ca- una infraestruc- Generalmente hay tres dispositivos que intervienen en
racterística esencial de este tipo de conexiones es la tura compartida. la implementación de una VPN con PPTP:
necesidad de la autenticación del usuario, ya que
cualquiera podría tratar de conectarse para obtener acceso al
Un Network Access Server (lo llamaremos NAS)
No se necesita un NAS para crear un túnel cuando el Cliente
Túneles
PPTP y el Servidor PPTP están en la misma red.
Una implementación típica de PPTP, comienza con un cliente
El proceso de crear un túnel consiste en enviar paquetes a una
que necesita acceder a una LAN privada usando su conexión a
computadora en una red privada, ruteándolos sobre otra red,
El cliente se conecta a un NAS a través de la infraestructura de
Los túneles en sí mismos, no proveen seguridad de datos; el
red del ISP. Un NAS también se puede llamar FEP (Front End
paquete original es simplemente encapsulado dentro de otro
Processor), dial-in server, o POP (Point of Presence). Una vez
protocolo, pero se puede ver el contenido con cualquier sniffer
que se conecta puede enviar y recibir paquetes en Internet.
si no está encriptado. Con encapsular nos referimos a agregar
Luego de que el usuario hizo una primera conexión al ISP, se
un encabezado y/o un trailer de un protocolo a un PDU (Packet
necesita una segunda llamada que se realiza sobre la conexión
Data Unit) que proviene de otra capa del modelo OSI.
PPP recién creada en la llamada anterior. Los datos enviados
PPP es la base sobre la cual trabajan
en esta segunda conexión son datagramas PPP (paquetes PPP
L2TP y PPTP son los protocolos más populares para crear
La segunda llamada crea una conexión virtual privada sobre la
VPNs. Al comparar cómo se comportan ambos en el modelo
LAN privada de la Organización, lo cual se da en llamar túnel.
OSI, se encuentra una similitud muy importante: PPP es la base
De esta forma se envían paquetes a una computadora en una
de ambos y es el encargado de encapsular la transferencia de
red privada ruteándolos sobre otra red, que puede ser Internet.
Los routers de esta otra red no pueden acceder a la computa-
PPP es un protocolo de la capa de enlace de datos del modelo
dora que está en la red privada. Sin embargo, el túnel permite
OSI, que se diseñó en un principio para encapsular datos y en-
a la red origen, hacer llegar los paquetes a un dispositivo de la
red intermedia como el Servidor PPTP, que se conecta tanto a
Un subconjunto de protocolos PPP maneja las operaciones de
la red que rutea los paquetes como a la red privada.
conexión: el LCP (Link Control Protocol), establece, configura,
Cuando el Servidor PPTP recibe el paquete, lo manda a la com-
mantiene y termina una conexión punto a punto, y el NCP
putadora correspondiente en al red privada. El Servidor
(Network Control Protocol) establece y configura varios protoco-
procesa el paquete PPTP para obtener el nombre o la direc-
E:\TMP\Página_54.nex
ción de la computadora de la red privada, información que está
estos datos para finalmente crear la conexión virtual.
encapsulada en el paquete PPP. El paquete PPP encapsulado
Esta negociación resulta para el usuario como si el intercambio
puede contener varios protocolos como TCP/IP, IPX o NetBEUI.
fuera solamente entre él y el LNS, y no hubiera un dispositivo in-
En qué se basa la seguridad en ambos protocolos
L2TP es una combinación de PPTP de Microsoft y un consorcio
de empresas (entre las que se encuentran US Robotics y
La VPN se puede establecer a 20 hops de distancia del destino a-
3COM) y L2F de CISCO. PPTP soporta túneles sobre PPP, y
travesando muchas redes distintas, y sin embargo se configura
para acceder de manera directa a una LAN privada. ¿Cómo nos
L2F permite túneles sobre SLIP y PPP. Después de que CISCO
diseñara L2F, la IETF (Internet Engineering Task Force) pidió a
podemos asegurar de que nadie ajeno a la compañía está viendo
la compañía que combine PPTP y L2F en un protocolo para
evitar confusiones y permitir la compatibilidad entre productos
Para dar autenticación de usuario, PPTP usa varios protocolos de
existentes en el mercado. Se supone que L2TP tiene las
autenticación basados en PPP, que incluyen Extensible
mejores características de cada uno.
Authentication Protocol (EAP), Microsoft Challenge Handshake
Uno de los mejores avances de L2TP es que corre sobre redes
Authentication Protocol (MSCHAP) versión 1 y versión 2,
no basadas en IP, incluyendo ATM, X.25 y Frame Relay. Sin
Challenge Handshake Authentication Protocol (CHAP), Shiva
embargo, no se puede contar con esta característica en algunas
Password Authentication Protocol (SPAP), y Password
plataformas que solamente soportan IP, como por ejemplo
Authentication Protocol (PAP). MSCHAP versión 2 y EAP
Transport Layer Security (TLS) son más seguros porque proveen
autenticación mutua, en la cual el Servidor VPN y el cliente
verifican la identidad de la otra parte.
La encriptación PPTP asegura que nadie puede ver los datos
que viajan a través de Internet. MPPE (Microsoft Point to
Point Encription) negocia la encriptación sobre una conexión
PPP y puede ser usado solamente con MSCHAP (versión 1
y versión 2) y EAP-TLS. Se puede utilizar uno de los tres
métodos de encriptación MPPE: 40 bits, 56 bits, o 128 bits.
PPTP cambia las claves de encriptación con cada paquete
L2TP puede utilizar o no IPSec para implementar el túnel, pero IPSec
recibido. MPPE fue diseñado para enlaces punto a punto en
permite agregar autenticación y encripción.
donde cada paquete de datos llega secuencialmente y en
Usando L2TP, un ISP u otro servicio de acceso puede crear un
donde pocos paquetes se pierden. En ese entorno, la clave
túnel virtual para unir un sitio remoto con una red privada cor-
de encriptación de un paquete puede depender de la desencripta-
porativa. El LAC (L2TP Access Connector) que se encuentra en
el POP (Point of Presence) del ISP intercambia mensajes PPP
En el entorno VPN, esta configuración no funciona porque los pa-
con los usuarios remotos y se comunica utilizando mensajes de
quetes de datos frecuentemente llegan fuera de secuencia. Por
control con el LNS (L2TP Network Server) para configurar el
eso PPTP desencripta paquetes independientemente del orden y
túnel. L2TP pasa mensajes de control a través del túnel virtual
usa un número de secuencia para alterar las claves de encripta-
entre los dos extremos de una comunicación punto a punto.
ción para desencriptar el paquete anterior.
Un LAC es típicamente un dispositivo ubicado en el POP del
A pesar de que PPTP es razonablemente seguro, no es tan seguro
ISP, y su configuración está a cargo de éste. El LNS es el
como L2TP sobre IPSec. L2TP sobre IPSec provee autenticación
extremo final del túnel, inicia las llamadas salientes y recibe las
a nivel de usuario y también encriptación de datos.
L2TP sobre IPSec utiliza certificados locales en el inicio de la co-
municación, los mismos se obtienen de una Autoridad Certificante
Secuencia de conexión en el establecimiento de
(CA). El cliente y el servidor intercambian sus certificados para
un túnel L2TP genérico
crear la IPSec ESP Security Asociation (SA).
Después de que L2TP sobre IPSec completa el proceso de auten-
La conexión entre un usuario remoto, un LAC, un ISP POP
y un LNS en la LAN local usando L2TP se lleva a cabo de
El usuario remoto inicia la conexión PPP en el ISP, usando
El LAC del ISP acepta la conexión en el POP y se estable-
Después de que el usuario y el LNS negocian con LCP, el Figura 1
LAC autentica parcialmente al usuario con CHAP o PAP
(Protocolos de autenticación de PPP). Si el usuario no es un PPTP agrega un encabezado GRE para enviar los datos a través del
usuario permitido de la VPDN, la autenticación continúa y el túnel.
usuario va a poder utilizar Internet u otro servicio al que se
haya conectado. Si el nombre de usuario es un cliente de la
ticación entre cliente y servidor, comienza el proceso de autentica-
VPDN, se establece la conexión con el LSN.
ción a nivel usuario. Se puede elegir autenticación basada en PPP
Los extremos del túnel, el LAC y el LNS, se autentican entre sí
(por ejemplo PAP, que manda nombre de usuario y contraseña en
antes de comenzar la sesión del túnel.
texto plano). El proceso es todavía seguro porque L2TP sobre
Una vez que se establece el túnel, se crea una sesión L2TP
IPSec encripta la sesión. Sin embargo, se puede autenticar en una
forma más segura utilizando MSCHAP, que usa una clave de en-
El LAC va a propagar las opciones negociadas en el LCP, y la
criptación separada de la que se utiliza a nivel autenticación entre
información de autenticación CHAP o PAP al LNS, quien valida
E:\TMP\Página_55.nex
Como L2TP sobre IPSec utiliza el algoritmo Triple Data
Encription Standard (3DES), la encriptación es mucho más
fuerte que la que realiza PPTP. 3DES se usa solamente en
Norteamérica y está diseñado para entornos de alta segu-
ridad. Si no se necesita este nivel de seguridad, se puede
utilizar DES, que usa una clave de 56 bits, mientras que
L2TP sobre IPSec no solamente provee autenticación a
nivel computadoras y usuarios, sino que también ofrece
autenticación de datos. Para ello, L2TP sobre IPSec usa
Hash Message Athentication Code (HMAC) Message
Digest MD5. Con este método crea un hash de 128 bits
Conclusión Por lo antes expuesto, podemos concluir que las diferen-
cias a nivel funcional son pocas, y que las ventajas de
L2TP con respecto a la fortaleza de los protocolos de en-
criptación y autenticación son realmente superiores a los
de PPTP. De todas maneras, no olvidemos que algoritmos
más fuertes de encriptación conllevan también un uso
intenso de CPU para realizar estas operaciones.
L2TP es un protocolo que está evolucionando y en su
versión 3 agrega MPLS (Multiprotocol Label Switching), el
cual combina información de capas 2 y 3 para flexibilizar
el tráfico y proveer QoS (Quality of Service).
Si nuestra Organización implementa VPN y necesita la
mayor privacidad que se pueda obtener, sin duda utilizare-
mos L2TP, pero si tenemos un panorama distinto, en
donde se necesita un nivel medio de seguridad sin nece-
sidad de utilizar infraestructura de clave pública basada
certificados PKI (Public Key Interchange), PPTP es
2014 SPRING CLASS SCHEDULE Tuesday and Thursday Nights January 28 - March 27 7:00 - 10:15PM Temple of the Arts at the Saban Theatre , 8440 Wilshire Blvd., Beverly Hills 90211 Some classes will be held at: Temple Beth Am , 1039 S. La Cienega Blvd., Los Angeles 90035 Instructor: Rabbi Neal Weinberg Monday and Wednesday Nights February 24 - May 5 No classes on April 14, 16 and 21 6:00 -
The Economics of Mental Health: The Perspective and Role of the Research-Intensive \ Pharmaceutical Industry Plenary Speech to the 10th Scientific Meeting of the International Government and Public Relations Domo arragato , Chairman Nishizono. Good morning, ladies and gentlemen and thank you, Prof. Singh, for the opportunity to join you here today in Melbourne. It’s an honor to b