Redes privadas virtuales VPN Seguridad en el canal
‣ En ocasiones queremos extender la red de una empresa más allá de los limites del edificio ‣ Antiguamente se usaban lineas telefónicas alquiladas para unir routers en las sedes remotas y tener un enlace. (que se puede pinchar... o podemos fiarnos del operador) ‣ Ahora surge la posibilidad de enviar esos paquetes a través de Internet Cobertura en cualquier parte (no hace falta tener preparada la linea alquilada) Ahorro (no hace falta pagar la linea alquilada) Seguridad (podemos cifrar las comunicaciones y olvidarnos de si pinchan o no el cable)
mi red Internet mi red Redes privadas virtuales (VPN)
Dos cuestiones a resolver ‣ ¿Como hacemos para que las redes de diferentes sedes se comporten como si estuvieran en la misma red? ‣ ¿Como protegemos nuestras comunicaciones de los observadores? ‣ Necesitamos Autentificacion/Autorización (y Accounting) ‣ Necesitamos cifrado
mi red Internet mi red Tunneling Idea basica…
‣ El caso normal
‣ Routers son elementos con su propia IP, pueden comunicarse
soft soft Idea basica… ‣ Los routers se comunican los paquetes, como si tuvieran un enlace directo que en realidad es virtual
soft soft
‣ Entre los routers los paquetes van dentro de otros paquetes
soft soft
‣ A esto lo llamamos un TUNEL Túneles, para que?
‣ Simplificar enrutamiento ‣ Controlar acceso ‣ Transportar direcciones o protocolos por zonas que no las soportan (direcciones privadas, IPv6…) ‣ Cifrar la información que va dentro del túnel R3 R2 E2 R4 E1 R1
El paquete p : E1 > R1 > R4 > E2 Pero R1 > R4 es que R1 genera un paquete q El paquete q : R1 > R2 > R3 > R4 Esto no es nuevo… ‣ PPP y lineas telefónicas IP Red Telefónica IP T T Modem T Modem T IP en PPP
Red Telefónica
T T Modem T Sede 2 Sede 1 Modem T IP en PPP Esto no es nuevo… ‣ Enlaces virtuales IP IP Enlace PPP
IP en PPP
Enlace PPP Sede 2 Sede 1
IP en PPP ‣ Y si transportamos los paquetes PPP en otra cosa que no sea una llamada telefónica Protocolos de túnel
‣ Según que es lo que transportamos ‣ Paquetes de nivel de enlace: túneles de nivel 2 enlace ‣ Paquetes de nivel de red: túneles de nivel 3 red ‣ Datos de aplicación o conexiones: tuneles de transporte ‣ Según como lo transportemos ‣ Dentro de paquetes o conexiones ‣ Muchos protocolos ‣ IPIP, GRE, MPLS, … ‣ PPTP, L2F, L2TP … ‣ IPsec ‣ openvpn, n2n, ssh, socat … ‣ … Túneles con SSH Ejemplo: Tuneles sobre SSH
Tunel de nivel de transporte sobre SSH ‣ Redireccionar un puerto local $ ssh usuario@host -L puertolocal:destino:puerto ‣ Escenario con ssh permitido pero puerto P filtrado ‣ Para el destino la conexion viene de H2
sshd servicio P puerto
ssh puertolocal PL Tuneles sobre SSH
Tunel de nivel de transporte sobre SSH ‣ Redireccionar un puerto remoto $ ssh usuario@host -R puertoremoto:destino:puerto ‣ Igual que en el caso anterior pero redirecciona puertos del puertoremoto servidor hacia la red del cliente de ssh sshd PR
‣ Se puede usar SSH para proteger ssh servicios clasicos
P telnet Ejemplos
Tuneles de nivel de enlace sobre ssh (PPP sobre ssh) ‣ Conexión ssh y un pppd en cada extremo
$ pppd pty “ssh usuario@host pppd”
‣ Puedo enviar paquetes IP a un PC de mi red que luego actue como router ‣ Uso: VPN construida a mano con solo un servidor ssh y pppd ‣ Uso : puerta de entrada a traves de cualquier firewall que soporte conexiones entrantes ssh
pppd pppd ssh mi red Internet ssh Ejemplos
Tuneles con tun/tap sobre ssh ‣ Opcion -w
$ ssh -w 2:5 usuario@host $ ifconfig tun2 10.3.1.1/24 $ ifconfig tun5 10.3.1.3/24
tun2 tun5 ssh mi red Internet ssh Túneles con SOCAT ¿Que es un interfaz de red? TCP/UDP ‣ Que es para el sistema operativo eth0 ? eth1 ? ppp0 ? IP ‣ Es un modulo al que IP puede entregar paquetes o del que los puede recibir ‣ Cada interfaz tiene código diferente para eth0 eth1 ppp0 obtener o procesar paquetes ‣ Hay modulos para intercambiar paquetes entre IP y un programa TCP/UDP ‣ Lo que escribo en /dev/tun0 es interpretado como que ha llegado un paquete que se le entregara a IP IP ‣ Lo que envia IP a través de tun0 lo leerá un programa que tenga abierto/dev/tun0 tun0 eth0 ‣ TUN da los paquetes a nivel 3 IP ‣ TAP da los paquetes a nivel 2 ethernet /dev/tun0 Como funciona un túnel en el SO
Datos para Datos para 72.2.1.5 72.2.1.5
TCP/UDP TCP/UDP IP IP
55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ Funcionamiento normal de IP Como funciona un túnel en el SO
TCP/UDP TCP/UDP 192.168.1.1 192.168.1.2 IP IP tun0 tun0 55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ Tenemos interfazes para hacer un enlace virtual ‣ IP cada interfaz esta en una subred y tiene una dirección IP Como funciona un túnel en el SO
Datos para 192.168.1.2
TCP/UDP TCP/UDP 192.168.1.1 192.168.1.2 IP IP tun0 tun0 55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ Si envío a una IP del enlace virtual el paquete va a tun que lo entrega /dev/tun al programa que este leyendo Como funciona un túnel en el SO
envia a programa túnel Datos para 72.2.1.5 192.168.1.1 192.168.1.2 esta en 72.2.1.5
TCP/UDP TCP/UDP 192.168.1.1 192.168.1.2 IP IP tun0 tun0 55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ Habra un software haciendo el túnel que recibira el paquete y tiene que meterlo en el tunel. ‣ Decidir a quien enviárselo, cifrarlo… Como funciona un túnel en el SO
Datos para programa túnel envia a programa túnel 192.168.1.2 Datos para 192.168.1.1 extraigo el paquete 72.2.1.5 llegan desde 192.168.1.2 esta en 72.2.1.5 es para 192.168.1.2 192.168.1.1
TCP/UDP TCP/UDP 192.168.1.1 192.168.1.2 IP IP tun0 tun0 55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ El receptor del mensaje es el software de túnel que lo entregará al /dev/tun del destino ‣ El kernel recibe un paquete en un interfaz y lo entrega al destino ‣ El programa escuchando en 192.168.1.2 recibe los datos Como funciona un túnel en el SO
‣ IP ve dos interfaces no sabe que uno en realidad se hace con envíos a través del otro ‣ En un interfaz soy vecino de 192.168.1.2
TCP/UDP TCP/UDP 192.168.1.1 192.168.1.2 IP red virtual 192.168.1.0/24 IP tun0 tun0 55.0.1.3 72.2.1.5 eth0 eth0 Internet global eth eth
‣ Los túneles tienen direcciones IP internas del túnel ‣ Que no son las mismas que los extremos del túnel ‣ Los extremos del túnel tienen que poder comunicarse antes de que se cree el túnel The power of socat ‣ Equivalente a nc socat STDIN TCP:servidor:puerto socat STDIN TCP-LISTEN:puerto ‣ Abre dos interfaces genéricos ‣ En paralelo lee todo lo que aparece en cada uno y lo envia al otro
SOCAT
‣ puede ser ‣ Un socket TCP o UDP cliente o servidor ‣ Abrir un fichero (incluyendo /dev/tun /dev/tap) ‣ Abrir otro programa ‣ Hacer una conexión SSL ‣ Prácticamente cualquier cosa en UNIX Usando socat para un túnel
‣ Ejemplo En 72.2.1.5 $ socat TUN:10.3.1.3/24 TCP-LISTEN:5000 En 55.0.1.3 $ socat TUN:10.3.1.1/24 TCP:72.2.1.5:5000
SOCAT SOCAT abre CNX a 10.3.1.1 túnel 10.3.1.3 escucha en 5000 72.2.1.5 : 5000 72.2.1.5 55.0.1.3 Internet global eth eth Cifrando con SSL
‣ Ejemplo En 72.2.1.5 $ socat TUN:10.3.1.3/24 OPENSSL-LISTEN:5000 En 55.0.1.3 $ socat TUN:10.3.1.1/24 OPENSSL:72.2.1.5:5000
SOCAT SOCAT abre CNX a 10.3.1.1 túnel cifrado 10.3.1.3 escucha en 5000 72.2.1.5 : 5000 72.2.1.5 55.0.1.3 Internet global eth eth
‣ Pero habra que añadir parámetros a OPENSSL para decirle que clave privada usamos o de que certificado nos fiamos… se deja como ejercicio Mas variedades con socat ‣ OPENSSL ‣ Hay que especificar la clave privada en el servidor ‣ Hay que especificar de quien nos fiamos en el cliente ‣ TAP en lugar de TUN hace el túnel de nivel 2 ‣ Envia la trama ethernet y hay ARP con lo que puede haber una red con más direcciones ‣ UDP en lugar de TCP ‣ Cada paquete va en un paquete UDP ‣ Menos fiabilidad pero más rápido
‣ Cuidado la mayoría de estos hacen túnel pero no cifran ‣ Tampoco hay autentificación VPN Red privada virtual
‣ Construir una red privada sobre la red pública ‣ Necesitamos ‣ Tuneling ‣ Autentificación ‣ Control de acceso ‣ Seguridad de los datos (encriptación) Arquitecturas de VPNs
mi red Internet mi red
LAN-to-LAN
End-to-LAN
POP-to-POP POP = Point of Presence router del operador que nos vende el servicio de VPN ‣ Según las necesidades el tunel para la VPN puede realizarse desde un gateway (router) de la empresa o del proveedor y llegar hasta un gateway o bien llegar hasta el ordenador final ‣ Según quién realice el tunel tendremos diferente protección y diferente gestión de la red Tipos de VPNs mi red
mi red Internet mi red
‣ Interna (Site-to-site): une dos o más redes internas como si fueran una sola red ‣ Acceso: permite el acceso de un cliente que esta en una red insegura. El tunel se hace desde el ordenador que accede (Road warrior) ‣ Extranet: permite el acceso desde una red ajena a la empresa para ofrecer servicios red de un cliente
mi red Internet Protocolos de VPN
‣ Muy variados ‣ Estándares clásicos ‣ PPTP, L2F, L2TP… ‣ IPsec ‣ OpenSource ‣ openvpn, stunnel, n2n, tinc… ‣ Privados ‣ CiscoVPN… (mayormente IPsec) ‣ Puede ser que el protocolo sea estándar pero tienen su propia forma de configuración Protocolos de VPN ej: OpenVPN OpenVPN
‣ Túneles pensados para VPN ‣ Cifrado con SSL, simetrico y asimétrico para establecimiento ‣ Varios modelos de autenticación ‣ Simple: secreto compartido ‣ TLS: me fío de los certificados firmados por una autoridad de certificados ‣ Varios modos de topologia ‣ P2P : un enlace entre dos pares ‣ servidor : un servidor al que pueden conectarse clientes ‣ Varios niveles: ‣ TUN: enlace IP punto a punto tun0 iplocal ipremota ‣ TAP: ethernet varias IPs en una red local tap0 iplocal / mask Protocolos de VPN ej: PPTP, L2F, L2TP PPTP PAC PNS red telefonica Internet mi red
PPP conexión PPTP control tunel PPTP PPP segunda conexión
‣ PPTP: Point-to-Point Tunneling Protocol (Soportado por Microsoft) ‣ PAC PPTP access concentrator y PNS PPTP Network Server ‣ Pasos 1 Conexión PPP a través del teléfono 2 Canal de control PPTP sobre TCP para autentificación 3 PPP sobre PPTP 4 IP sobre PPP PPTP PAC PNS red telefonica Internet mi red
PPP conexión PPTP control tunel PPTP PPP segunda conexión
IP con destino D PPP con destino el PNS IP con destino al PNS (dentro GRE y PPP) PPP con destino el PAC
‣ Aumenta el overhead... ‣ Hay que tener cuidado con la MTU (si enviamos paquetes grandes habrá fragmentación) PPTP
‣ Problemas ‣ Dificil de atravesar firewalls porque requiere una sesion de control (TCP puerto 1723) + flujos UDP con el tunel PPTP ‣ La encriptación del tunel (MPPE) es cuestionable ‣ Ventajas ‣ Facil de configurar ‣ Muy extendido (por defecto en Windows) ‣ Autentificación sobre PPP ‣ Con PAP, CHAP, EAP, MSCHAP... L2F Home NAS gateway red telefonica Internet mi red
PPP conexión tunel L2F PPP continuacion
‣ L2F Layer 2 Forwarding protocol (soportado por Cisco) ‣ Enlace PPP con el NAS ‣ El NAS crea un un tunel L2F con el gateway de la red de destino ‣ Los paquetes PPP se reenvían por ese tunel ‣ Solo una autentificación PPP con el gateway ‣ Encapsulado más sencillo ‣ Soporta SLIP ademas de PPP ‣ Soporta autentificacion con RADIUS o TACACS PPTP y L2F
‣ Autentificación basada en PPP y encriptación no se consideran muy fuertes ‣ Diferencias de filosofía ‣ PPTP modo voluntario (el usuario crea los tuneles) MS ‣ L2F modo compulsory (los routers crean los tuneles) Cisco ‣ El IETF hizo su propio estandar combinado lo mejor de los dos: L2TP (Layer 2 Tunneling Protocol) L2TP LNS NAS red telefonica Internet mi red
PPP conexión tunel L2TP y control PPP conexión
‣ No hay canal de control separado ‣ El tunel se hace con UDP en vez de GRE sobre IP ‣ Problemas ‣ Sistemas de autentificación y encriptacion siguen siendo heredados de PPP y no son demasiado fiables Autentificación
‣ En los sistemas de acceso remoto el usuario debe probar su identidad
‣ Protocolos de autentificación ‣ Entre dos partes (Alice prueba su identidad a Bob mediante un secreto compartido o similar) ‣ Con una tercera parte de confianza (Alice prueba su identidad a Bob con la ayuda de Trent del que Alice y Bob se fian) PAP
‣ PAP: Password Authentication Protocol (RFC1334) ‣ Se envia la identidad y contraseña en la Identidad petición + password (en ppp se hace varias veces porque va en el paquete de intento de establecimiento)
‣ El servidor compara ese usuario y contraseña OK con su base de datos ‣ Notifica del resultado ‣ Problemas ‣ Contraseña sin cifrar ‣ Mandar el hash no ayuda (por que?) ‣ No se considera un método muy fuerte de autentificación pero se puede usar si la confidencialidad de los mensajes esta protegida a otro nivel (enlace CHAP
‣ CHAP: Challenge Autentication Protocol (RFC1994)
‣ Envío de un desafío (challenge) para Identidad encriptar Challenge c ‣ El cliente cifra el desafío y lo manda
‣ El servidor lo cifra con la clave del usuario c cifrado en la base de datos y comprueba si sale lo mismo OK ‣ La clave nunca se envía ‣ Problemas ‣ Obliga a que la clave se almacene en clientes y servidores sin cifrar ‣ El challenge tiene que ser unico e impredecible, si no un atacante puede observar establecimientos y guardar EAP
‣ EAP: Extensible Authentication Protocol (RFC2284) ‣ Durante el establecimiento del enlace PPP se elige autentificación EAP y se postpone la autentificacion ‣ Protocolo genérico que soporta diferentes tipos de algoritmos de autentificación ‣ Problemas: ‣ El atacante puede centrarse en el algoritmo más débil ‣ Algoritmos EAP-PSK, EAP-MD5, EAP-TLS, EAP-TTLS EAP-FAST, PEAP ... ( vease http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol ) Más sistemas de autentificación
‣ Passwords de un solo uso (S/KEY RFC1760, OTP RFC 1938) Cliente y servidor generan una lista de passwords de un solo uso ‣ Que se genera a partir de la contraseña del cliente pero no puede invertirse ‣ Cuando el servidor pide autentificación se le envía la siguiente password de la lista que nunca vuelve a utilizarse ‣ Sistemas basados en SmartCards para que el usuario no elija la contraseña sino que la genere la tarjeta con una CPU ‣ Kerberos (Autentificación basado en una tercera parte confiable) ‣ El servidor de Kerberos comparte una clave secreta con los clientes y servidores y cuando es necesario genera tickets que permiten a un cliente autentificarse una vez en un servidor RADIUS RADIUS server
NAS red telefonica Internet mi red
conexión PPP
‣ Remote Access Dial In User Service (RFC2138) ‣ El usuario establece enlace PPP y hace autentificación ‣ El NAS construye una peticion de autentificación y la envía por UDP al servidor RADIUS ‣ El servidor RADIUS la valida y envía respuesta ‣ En la respuesta envía parámetros de configuración y de filtrado para el acceso ‣ Se notifica al servidor is el usuario desconecta para que pueda tarificar AAA
‣ RADIUS es un protocolo de Autentificación Autorization and Acounting (AAA) ‣ Muy utilizado, tanto por modem telefónico como en sistemas de inalámbricos ‣ Permite arquitectura distribuida con varios servidores RADIUS para resistencia a que caiga uno de ellos ‣ Permite que un proveedor centralice el servidor RADIUS en un proxy que reenvíe las peticiones de autentificación a diferentes servidores de RADIUS de clientes (nombres de usuario de tipo [email protected]) ‣ Otros sistemas de AAA ‣ TACACS, TACACS+ (Terminal Access Controller Access-Control System) de Cisco Protocolos de VPN IPsec IPsec
‣ Conjunto de protocolos del IETF para asegurar las comunicaciones de IP ‣ Se puede usar sobre IPv4 aunque está diseñado para IPv6 ‣ Referencias ‣ Arquitectura IPsec (RFC2401) ‣ Protocolo AH Autentication Header (RFC2402) ‣ Protocolo ESP Encapsulating Security Payload (RFC2406) ‣ Gestion e intercambio de claves Internet Security Asociation and Key Management ISAKMP (RFC 2408) Internet Key Exchange protocol IKE (RFC 2409) ‣ Usa encriptación y protocolos criptográficos de intercambio de claves muy estudiados. ‣ Soporta múltiples protocolos/cifradores que se negocian en el establecimiento de la VPN IPsec tuneles Modo transporte Dos modos de encapsulación ‣ Modo transporte ip ‣ Mantiene cabecera IP y añade cabecera de seguridad ‣ Solo vale si el tunel es para comunicar Host-to-host ip S cifrado ‣ Modo tunel ‣ Nueva cabecera IP con destino entre gateways Modo tunel ‣ El paquete orginal se transporta entero ip
ip2 S ip ‣ Dos protocolos para transportar datos seguros dentro de IP ‣ AH (proto=51) Autentication Header Permite garantizar autentificación e integridad del paquete ‣ ESP (proto=50) Encapsulating Security Payload Permite garantizar autentificación e integridad asi como encriptar Modelo de red IPsec
‣ IPsec es un túnel de nivel 3 ‣ No crea un enlace virtual entre los dos extremos ‣ Solo cifra los paquetes ‣ Tuneles con reglas en el camino del paquete ‣ El kernel es quien aplica las reglas y hace los túneles ‣ Ej: Modo transporte ‣ No cambian las direcciones solo se cifra el contenido
72.2.1.5 55.0.1.3 Internet global eth eth
Si un paquete va a 72.2.1.5 Si un paquete va a 55.0.1.3 Envíalo cifrado dentro de ESP Envíalo cifrado dentro de ESP Modelo de red IPsec
‣ Las reglas pueden ser para paquetes que reenvies ‣ Ej: Modo túnel ‣ Hay direcciones internas y externas ‣ Pero nadie ve un enlace virtual entre los extremos del túnel
72.2.1.5 55.0.1.3 55.5.1.3 72.1.0.1 Internet global 55.0.0.0/24 72.2.0.0/16
Si un paquete va a la 72.2.0.0/16 Si un paquete va a 55.0.0.0/24 Envíalo cifrado dentro de ESP Envíalo cifrado dentro de ESP El destino es 72.1.0.1 El destino es 55.5.1.3 Modelo de red IPsec
‣ Las reglas pueden incluir direcciones privadas ‣ … siempre que no llegue a enviarse paquetes con direcciones privadas al exterior
10.2.0.0/16 55.5.1.3 72.1.0.1 10.1.0.0/16 Internet global 55.0.0.0/24 72.2.0.0/16
Si un paquete va a la 10.1.0.0/16 Si un paquete va a la 10.2.0.0/16 Envíalo cifrado dentro de ESP Envíalo cifrado dentro de ESP El destino es 72.1.0.1 El destino es 55.5.1.3 IPsec
‣ Configuración de túneles mediante dos bases de datos de Politicas (SPD) y Asociaciones de Seguridad (SAD) ‣ Al enviar un paquete la tabla de politicas de seguridad nos dice si debe ser enviado por un tunel IPsec o sobre IP (reglas sobre IPs y puertos) ‣ La base de datos de asociaciones de seguridad contiene los tuneles establecidos y sus claves y demás estado criptográfico
gateway gateway IPsec IPsec mi red Internet mi red
paquete para D2 SPD D1 ipsec D2 ipsec D3 ip SAD D2 ESP tunel IPsec
‣ Al recibir un paquete IPsec (ESP o AH) la tabla de Asociaciones de Seguridad es consultada para descifrar el paquete y extraer su contenido ‣ Una vez recuperado el paquete IP original se consulta la tabla de politicas para saber si reenviarlo o aplicarle nuevas reglas de filtrado (por ejemplo solo aceptar ciertos puertos TCP o UDP sobre el tunel)
gateway gateway IPsec IPsec mi red Internet mi red
SAD D2 ESP tunel
SPD ... IPsec manejo de claves
‣ Las asociaciones de seguridad y sus claves necesarias ‣ Pueden ser establecidas manualmente por un administrador ‣ Pueden ser generadas y negociadas automáticamente por los extremos del tunel. Protocolo IKE para intercambio de claves entre dos extremos (RFC 2409). Usa UDP y puerto 500 ‣ Las claves se pueden negociar basándose en técnicas de secreto compartido (indicando la misma contraseña en ambos extremos del tunel) o bien configurando certificados (X.509) con capacidad de generación de claves privada/publicas o Diffie- Hellman ‣ En la negociación de claves va incluida la autentificación de los extremos que establecen el tunel IPsec vs others
‣ En IPsec no se crea una red virtual en el que los extremos son vecinos ‣ En los tuneles de nivel 2 si y en otros de nivel 3 normalmente si ‣ Ej: túnel 55.0.1.3 — 72.1.0.1 ‣ Con IPsec Web1 10.1.1.1 55.0.1.3 55.5.1.3 72.1.0.1 Internet global 55.0.0.0/24 10.1.0.0/24
‣ 55.0.1.3 pide la pagina web1 ‣ Los paquetes salen de 55.0.1.3 cifrados hasta 72.1.0.1 que los descifra ‣ El servidor web de 10.1.1.1 recibe una petición web de 55.0.1.3 IPsec vs others
‣ Con otros túneles ‣ Ej: túnel 55.0.1.3 — 72.1.0.1 ‣ Se crea un túnel con direcciones internas 10.2.0.2-10.2.0.1 ‣ En esa red virtual 55.0.1.3 y 72.1.0.1 son vecinos Web1 10.2.0.2 tunel 10.2.0.0 10.2.0.1 10.1.1.1 55.0.1.3 55.5.1.3 72.1.0.1 Internet global 55.0.0.0/24 10.1.0.0/24
‣ 55.0.1.3 pide la pagina web1 pero como su interfaz mas cercano es 10.2.0.2 ‣ Los paquetes salen con IPorigen 10.2.0.2 y destino 10.1.1.1 ‣ El servidor web de 10.1.1.1 recibe una petición web de 10.2.0.2 IPsec vs others
‣ A veces queremos IPsec y enlace virtual ‣ Se suele configurar L2TP over IPsec ‣ IPsec en modo transporte entre los extremos del túnel para tener el cifrado de IPsec ‣ L2TP para el enlace virtual y la autentificacion con contraseña
‣ Los equipos hardware de VPN suelen soportar L2TP over IPsec ‣ Los sistemas operativos suelen tener L2TP over IPsec fácil de configurar