Trabajo ST: RPV de nivel 3 (OSI): Alternativas tecnológicas. Aplicaciones comerciales. Mónica Lozano Cruz Esther Pérez Muleiro Grupo: 4 Turno: Jueves

Transcripción

1 Trabajo ST: RPV de nivel 3 (OSI): Alternativas tecnológicas. Aplicaciones comerciales Mónica Lozano Cruz Esther Pérez Muleiro Grupo: 4 Turno: Jueves

2 ÍNDICE: - Qué es RPV o Introducción o Tipos de RPV (Arquitecturas de conexión) o Por qué RPV? o Funcionamiento de una RPV o Ventajas o Tipos de Conexión o Capa 3 OSI para RPV - Aplicaciones tecnológicas o RPV en otras capas de OSI. Comparación entre ellas. o IPsec o MPLS o IPV6 - Aplicaciones comerciales o Ejemplos de aplicaciones de telefónica RPVS X25 RPVS FRAME RELAY RPVS ATM RPVS IP - OpenVPN o Qué es? o Ventajas y desventajas o Comparativa: IPsec vs.openvpn 2

3 QUE ES RPV - INTRODUCCIÓN: La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet. Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación: Autenticación y autorización: Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener. Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA). Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de intercepción, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma.se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES). Requerimientos básicos Identificación de usuario: Las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados. Codificación de datos: Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leídos por el emisor y receptor. Administración de claves: Las VPN deben actualizar las claves de cifrado para los usuarios. 3

4 - Tipos de RPV (Arquitecturas de conexión) VPN de acceso remoto Es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones preparadas), etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura «dial-up» (módems y líneas telefónicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el punto anterior, también llamada tecnología de túnel o tunneling: VPN interna WLAN Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la información. - Por qué usar RPV? Las RPV son una salida al costo que puede significar el pagar una conexión de alto coste, para usar líneas alquiladas que estén conectadas a otros puntos que puedan hacer uso de la conexión a Internet o para hacer negocios con clientes frecuentes a través de la red. Los datos son codificados o cifrados y recién enviados a través de la conexión, para de esa manera asegurar la información y el password que se esté enviando. 4

5 Esta tecnología proporciona un medio para aprovechar un canal público de Internet como un canal privado o propio para comunicar datos que son privados. Mas aún, con un método de codificación y encapsulamiento, una VPN básica, crea un camino privado a través de Internet. Esto reduce el trabajo y riesgo en una gestión de red La tecnología de túneles esta basado en estándares. Esta tecnología permite transmitir datos entre dos redes similares. A esto también se llama "encapsulación", es decir, a la tecnología que coloca algún tipo de paquetes dentro de otro protocolo (TCP). Aparte de todo esto, también se añade otra información necesaria para poder descifrar la información que se encuentra codificada. Estos paquetes llegan a su destino después de haber atravesado Internet, pero para verificar que ha llegado al destino correcto se realiza un proceso de autentificación. Las RPVs son una gran solución a distintos problemas, pero solo en el campo de la economía de los usuarios porque por ejemplo en el caso de que se realice una conexión entre dos sedes de empresas, una en Japón y la otra en Perú, sería muy costoso el realizar un cableado entre estos dos países, y un enlace inalámbrico satelital sería muy costoso. Es por ello que una red privada virtual es más económica porque solo se hace uso de Internet que es un conjunto de redes conectadas entre si. Coste La principal motivación del uso y difusión de esta tecnología es la reducción de los costos de comunicaciones directos, tanto en líneas dial-up como en vínculos WAN dedicados. Los costos se reducen drásticamente en estos casos: En el caso de accesos remotos, llamadas locales a los ISP (Internet Service Provider) en vez de llamadas de larga distancia a los servidores de acceso remoto de la organización. O también mediante servicios de banda ancha. En el caso de conexiones punto a punto, utilizando servicios de banda ancha para acceder a Internet, y desde Internet llegar al servidor VPN de la organización. Todo esto a un costo sensiblemente inferior al de los vínculos WAN dedicados. - Funcionamiento de una RPV: Desde el punto de vista del usuario que se conecta a ella, el funcionamiento de una RPV es similar al de cualquier red normal, aunque realmente para que el comportamiento se perciba como el mismo hay un gran número de elementos y factores que hacen esto posible. La comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de esa red pública. Debido al uso de estas redes públicas, generalmente Internet, es necesario prestar especial atención a las cuestiones de seguridad para evitar accesos no deseados. 5

6 La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se encapsula un tipo de paquetes de datos dentro del paquete de datos propio de algún protocolo de comunicaciones, y al llegar a su destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados, por este motivo, las técnicas de autenticación son esenciales para el correcto funcionamiento de las RPVs, ya que se aseguran a emisor y receptor que están intercambiando información con el usuario o dispositivo correcto. La autenticación en redes virtuales es similar al sistema de inicio de sesión a través de usuario y contraseña, pero tienes unas necesidades mayores de aseguramiento de validación de identidades. La mayoría de los sistemas de autenticación usados en RPV están basados en sistema de claves compartidas. La autenticación se realiza normalmente al inicio de una sesión, y luego, aleatoriamente, durante el transcurso de la sesión, para asegurar que no haya algún tercer participante que se haya podido entrometer en la conversación. Todas las RPVs usan algún tipo de tecnología de encriptación, que empaqueta los datos en un paquete seguro para su envío por la red pública. La encriptación hay que considerarla tan esencial como la autenticación, ya que permite proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. Existen dos tipos de técnicas de encriptación que se usan en las RPV: Encriptación de clave secreta, o privada, y Encriptación de clave pública. En la encriptación con clave secreta se utiliza una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear problemas de seguridad. La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta. En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta manera, los flujos de información encriptada a través de una red lo son utilizando encriptación de clave secreta con claves que son válidas únicamente para la sesión usada en ese momento. 6

7 - Ventajas Integridad, confidencialidad y seguridad de datos. Las VPN reducen costos y son sencillas de usar. - Tipos de Conexión Conexión de acceso remoto Una conexión de acceso remoto es realizada por un cliente o un usuario de un computador que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y este se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente. Conexión RPV router a router Una conexión RPV router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambien sirve para la intranet Conexión RPV Firewall ASA a Firewall ASA Una conexión RPV Firewall ASA a Firewall ASA es realizada por un Firewall ASA, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier Usuario en Internet. El Firewall ASA que realiza la llamada se autentica ante el Firewall ASA que responde y este a su vez se autentica ante el Firewall ASA que realiza la llamada. - CAPA 3 OSI para RPV El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan en castellano encaminadores, aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Adicionalmente la capa de red debe gestionar la congestión de red, que es el fenómeno que se produce cuando una saturación de un nodo tira abajo toda la red (similar a un atasco en un cruce importante en una ciudad grande). La PDU de la capa 3 es el paquete. Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la función que se le asigne. Los firewalls actuan sobre esta capa principalmente, para descartar direcciones de maquinas. 7

8 Se encarga de suministrar una conexión de extremo a extremo. Esta capa sólo es necesaria en las redes de conmutación o en redes interconectadas, pues en redes punto a punto o de difusión existe un canal directo entre los dos equipos, por lo que el nivel 2 proporciona por tanto conexión fiable entre los dos equipos. En la máquina origen se suministra la dirección del destino. El nivel de red es entonces el que se encarga de encaminar la conexión en cada nodo. Cada nodo requiere un nivel físico y otro de enlace por cada medio de transmisión que le conecta a otro equipo. Sin embargo solamente requiere un nivel de red. En redes de conmutación de circuitos, el nivel de enlace se encarga de mantener y liberar la conexión. Si la red es de conmutación de paquetes por datagramas, entonces el nivel de red coge cada datagrama y decide por que enlace enviar dicho datagrama. Y si la red es de conmutación de paquetes por circuitos virtuales, es el nivel de red el encargado de establecer dicho circuito. En caso de necesitar el encaminamiento, la función corresponde al nivel de red. Como otras capa se puede dividir el nivel 3 en subniveles. Ejemplos de protocolos son: X25, Frame Relay y ATM para redes de conmutación, e IP para redes interconectadas. En un sistema intermedio, aquel que no procesa información sino que retransmite lo que los sistemas finales generan, sólo están presentes los niveles 1 y 2, y en algunas ocasiones el 3. Son los que llamamos niveles bajos de la torre OSI. El resto, claro, son los niveles altos. 8

9 APLICACIONES TECNOLÓGICAS o RPV en otras capas de OSI. Comparación entre ellas. Protocolos Las soluciones de RPV pueden ser implementadas a diferentes niveles del modelo OSI de red. Implementaciones de capa 2 - Enlace El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-ip, como por ejemplo IPX4 de Netware Systems. Teóricamente, las tecnologías implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayoría de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexión con el otro lado del túnel. Algunos ejemplos de estas tecnologías: PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión de PPP. Su principal desventaja es que solo puede establecer un túnel por vez entre pares. L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece mejores posiblidades que PPTP principalmente en el uso de conexiones simultáneas. L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otras fabricantes, se ha convertido en estándar de la industria y combina las ventajas de PPTP y L2F y además eliminando las desventajas. Dado que esta solución no ofrece mecanismos de seguridad, para su uso deberá ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI. L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solución con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicación para lograrlo. Implementaciones de capa 3 Red IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar de seguridad de Internet en capa 3. IPsec se pude utilizar para encapsular cualquier tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar para protocolos no-ip como IPX o mensajes de broadcast. Su principal ventaja es que puede ser usado prácticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware. 9

10 Existen dos métodos principales usados por IPsec: Modo Tunnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a través del túnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor así como el resto de los metadatos de los paquetes. Modo Transporte. Solo la carga útil (payload) de la sección de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrán ver quien se está comunicando con quien. 10

11 APLICACIONES A NIVEL 3 DE OSI: o IPSEC IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6. Aunque IPv6 está muy poco difundido en este momento, la tecnología marco IPSec se está utilizando ya, lo que asegura, entre otras cosas, la interoperatividad entre sistemas de diversos fabricantes y sistemas operativos, como Linux, windows macintosh, firewalls y routers comerciales. Integra confidencialidad, integridad y autentificación en un mismo marco interoperante por lo que esta será la opción escogida para la implementación de las VPN. Además, como trabaja a nivel IP, es transparente a la aplicación, ya que esta no necesita modificación alguna, y ni siquiera se entera de la existencia de criptografía intermedia, a diferencia de protocolos de nivel de transporte, como son los túneles sobre TCP (SSL, SSH). Ipsec es una tecnología que protege los paquetes IP de la capa de red, así se forma una capa segura de un nodo de la red a otro. Las redes se diseñan normalmente para impedir el acceso no autorizado a datos confidenciales desde fuera de la intranet de la empresa mediante el cifrado de la información que viaja a través de líneas de comunicación públicas. Sin embargo, la mayor parte de las redes manejan las comunicaciones entre los hosts de la red interna como texto sin formato. Con acceso físico a la red y un analizador de protocolos, un usuario no autorizado puede obtener fácilmente datos privados. IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. IPSec aumenta la seguridad de los datos de la red mediante: La autenticación mutua de los equipos antes del intercambio de datos. IPSec puede utilizar Kerberos V5 para la autenticación de los usuarios. El establecimiento de una asociación de seguridad entre los dos equipos. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de área local (LAN). 11

12 El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES, Data Encryption Standard), triple DES (3DES) o DES de 40 bits. IPSec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPSec de los paquetes IP normales. El protocolo también proporciona las ventajas siguientes: Compatibilidad con la infraestructura de claves públicas. También acepta el uso de certificados de claves públicas para la autenticación, con el fin de permitir relaciones de confianza y proteger la comunicación con hosts que no pertenezcan a un dominio Windows 2000 en el que se confía. Compatibilidad con claves compartidas. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible, se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos. Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactúan con IPSec. Administración centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesión en el dominio, el equipo recibe automáticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local. Estándar abierto del sector. IPSec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante. Ataques a la seguridad A continuación se presenta una lista parcial de los ataques a las redes más comunes: Rastreo. Un rastreador de red es una aplicación o un dispositivo que puede supervisar y leer los paquetes de la red. Si los paquetes no están cifrados, un rastreador de red obtiene una vista completa de los datos del paquete. El Monitor de red de Microsoft es un ejemplo de rastreador de red. Modificación de datos. Un atacante podría modificar un mensaje en tránsito y enviar datos falsos, que podrían impedir al destinatario recibir la información correcta o permitir al atacante conseguir la información protegida. 12

13 Contraseñas. El atacante podría usar una contraseña o clave robadas, o intentar averiguar la contraseña si es fácil. Suplantación de direcciones. El atacante usa programas especiales para construir paquetes IP que parecen provenir de direcciones válidas de la red de confianza. Nivel de aplicación. Este ataque va dirigido a servidores de aplicaciones al explotar las debilidades del sistema operativo y de las aplicaciones del servidor. Intermediario. En este tipo de ataque, alguien entre los dos equipos comunicantes está supervisando activamente, capturando y controlando los datos de forma desapercibida (por ejemplo, el atacante puede estar cambiando el encaminamiento de un intercambio de datos). Denegación de servicio. El objetivo de este ataque es impedir el uso normal de equipos o recursos de la red. Por ejemplo, cuando las cuentas de correo electrónico se ven desbordadas con mensajes no solicitados. Características de seguridad de IPSec Las siguientes características de IPSec afrontan todos estos métodos de ataque: Protocolo Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload). ESP proporciona privacidad a los datos mediante el cifrado de los paquetes IP. Claves basadas en criptografía. Las claves cifradas, que se comparten entre los sistemas que se comunican, crean una suma de comprobación digital para cada paquete IP. Cualquier modificación del paquete altera la suma de comprobación, mostrando al destinatario que el paquete ha sido cambiado en su tránsito. Se utiliza material de claves diferente para cada segmento del esquema de protección global y se puede generar nuevo material de claves con la frecuencia especificada en la directiva de IPSec. Administración automática de claves. La claves largas y el cambio dinámico de claves durante las comunicaciones ya establecidas protegen contra los ataques. IPSec usa el protocolo Asociación de seguridad en Internet y administración de claves (ISAKMP, Internet Security Association and Key Management Protocol) para intercambiar y administrar dinámicamente claves cifradas entre los equipos que se comunican. Negociación de seguridad automática. IPSec usa ISAKMP para negociar de forma dinámica un conjunto de requisitos de seguridad mutuos entre los equipos que se comunican. No es necesario que los equipos tengan directivas idénticas, sólo una directiva configurada con 13

14 las opciones de negociación necesarias para establecer un conjunto de requisitos con otro equipo. Seguridad a nivel de red. IPSec existe en el nivel de red, proporcionando seguridad automática a todas las aplicaciones. Autenticación mutua. IPSec permite el intercambio y la comprobación de identidades sin exponer la información a la interpretación de un atacante. La comprobación mutua (autenticación) se utiliza para establecer la confianza entre los sistemas que se comunican. Sólo los sistemas de confianza se pueden comunicar entre sí. Los usuarios no tienen que estar en el mismo dominio para comunicar con la protección de IPSec. Pueden estar en cualquier dominio de confianza de la empresa. La comunicación se cifra, lo que dificulta la identificación e interpretación de la información. Filtrado de paquetes IP. Este proceso de filtrado habilita, permite o bloquea las comunicaciones según sea necesario mediante la especificación de intervalos de direcciones, protocolos o, incluso, puertos de protocolo específicos. Componentes de IPSec En el proceso de autenticación y cifrado de IPSec intervienen varios componentes. Su conocimiento y el de los procesos en que consiste la comunicación IPSec le ayudará a encontrar soluciones a los problemas de implementación. El proceso de negociación y filtrado Cuando un equipo configurado con una directiva de IPSec intenta comunicar con otro equipo, comienza el proceso siguiente: 1. Las directivas de IPSec se entregan al controlador de IPSec y el intercambio de clave ISAKMP/Oakley a través de directivas locales o configuraciones de Directiva de grupo desde Active Directory. 2. ISAKMP supervisa las negociaciones entre los hosts y proporciona claves que se usan con algoritmos de seguridad. 3. El controlador de IPSec supervisa, filtra y protege el tráfico entre el nivel de transporte y el nivel de red. Directivas de seguridad de IP Las directivas son las reglas de seguridad que definen el nivel de seguridad deseado, el algoritmo de hash, el algoritmo de cifrado y la longitud de la clave. Estas reglas también definen las direcciones, protocolos, nombres DNS, subredes o tipos de conexión a los que se aplica la configuración de seguridad. Las directivas de IPSec se pueden configurar de acuerdo con los requisitos de seguridad de un usuario, grupo, aplicación, dominio, sitio o empresa global. Windows 2000 proporciona Administración de directiva de seguridad de IP para crear y administrar directivas de IPSec localmente o 14

15 a través de Directiva de grupo. Se proporcionan directivas predefinidas (predeterminadas) para configuraciones de seguridad de grupo y locales. Se pueden modificar para cumplir requisitos específicos. Una vez definida una directiva, tiene que asignarse. De forma predeterminada, no hay directivas asignadas. Directivas de seguridad Durante la configuración de IPSec, se crea una directiva en la interfaz. Sin embargo, IPSec crea las dos siguientes directivas de negociación de seguridad en segundo plano: La primera negociación incluye autenticación de identidad de usuario para los dos hosts que se van a comunicar y el intercambio de las claves de la sesión para proteger los datos. ISAKMP administra esta primera negociación, que se puede llamar directiva de negociación. La segunda negociación sigue al intercambio de las claves. Los dos hosts tienen que acordar la configuración de seguridad que van a utilizar para proteger su comunicación sobre IP. A la directiva que define las reglas de esta negociación se le llama directiva de seguridad. Configuración de directivas de IPSec Las directivas de IPSec locales se crean y configuran mediante Directiva de seguridad local. Use Directiva de seguridad del dominio para crear y configurar directivas de IPSec para todo el dominio. También puede agregar el complemento Administración de directivas de seguridad de IP a una consola MMC. Se pueden definir varias directivas, pero sólo una se asigna a un equipo al mismo tiempo. Para asignar una directiva, en Directiva de seguridad local o la consola de Directiva de grupo apropiada, haga clic con el botón secundario del mouse en la directiva de IPSec y, a continuación, haga clic en Asignar. Recuerde que la configuración del dominio sobrescribe la configuración local. Directiva de grupo presenta tres entradas de directiva predefinidas: La directiva Cliente (sólo responder) permite comunicaciones en texto sin formato, pero responderán a solicitudes de IPSec e intentarán negociar la seguridad. Esta directiva permite la comunicación efectiva en texto sin formato pero intentarán negociar la seguridad si se efectúa una solicitud de seguridad. La directiva Servidor (seguridad de petición) permite que los equipos reciban tráfico desde los clientes en texto sin formato y respondan a solicitudes de IPSec. Cada conexión que se inicia intenta negociar la seguridad. Para todas las respuestas que el equipo pueda tener, solicita Seguridad IP con el destino (en general, para todo el tráfico saliente). La directiva Seguridad de petición se reduce de forma predeterminada a texto sin formato si el destino no responde para admitir equipos no habilitados para IPSec. Este comportamiento se puede deshabilitar 15

16 cuando se hacen pruebas. Esta directiva permite la comunicación efectiva en texto legible pero siempre intenta negociar la seguridad cuando se inicia una conexión. La directiva Servidor seguro (requiere seguridad) obliga a la seguridad en todo el tráfico IP entrante y saliente. Requiere que los equipos de destino sean de confianza y que el trónfico se proteja con IPSec. Permite que el equipo responda a solicitudes de IPSec. Esta directiva no permite la comunicación en texto legible. Para modificar una directiva, haga clic con el botón secundario del mouse en la directiva y, a continuación, haga clic en Propiedades. Para crear una directiva, haga clic con el botón secundario del mouse en el nodo Directivas de seguridad IP, haga clic en Crear directiva de seguridad IP y, a continuación, complete el Asistente para directiva de seguridad de IP. Componentes de las reglas de seguridad Las reglas gobiernan cómo y cuándo se invoca una directiva de IPSec. Una regla proporciona la capacidad para iniciar y controlar una comunicación segura en función del origen, el destino y el tipo de tráfico IP. Cada directiva de IPSec puede contener una o varias reglas; una o todas ellas pueden estar activas de forma simultánea. Se proporcionan reglas predeterminadas que se adaptan a una amplia gama de comunicaciones entre cliente y servidor. Para satisfacer los requisitos de una red, puede crear reglas nuevas o modificar las predeterminadas. Componentes de las reglas Una regla se compone de 6 elementos: 1. Lista de filtros IP. Define qué tráfico se va a proteger con esta regla. Puede utilizar los filtros predeterminados o crear filtros específicos de directiva para ciertos tipos de tráfico IP o para subredes especónficas. 2. Acciones de filtrado. Enumera las acciones de seguridad que se tomarán cuando el tráfico cumple los criterios de un filtro. La acción especifica si el tráfico se bloquea, se permite o si se negocia la seguridad de la conexión. Se pueden especificar una o varias acciones de filtrado negociadas. Las acciones de filtrado aparecen en una lista en la que el primer método tiene preferencia. Si dicha acción de filtrado no se puede negociar, se intenta la acción de filtrado siguiente. 3. Métodos de seguridad. Especifica cómo los equipos que se comunican tienen que proteger el intercambio de datos. Puede utilizar los métodos predefinidos Medio y Alto, o definir métodos de seguridad personalizados. 4. Configuración de túneles. En algunas situaciones, como entre encaminadores que sólo están conectados por Internet, debe considerar habilitar el modo de túnel en IPSec. El extremo final del túnel es el equipo del túnel más próximo al destino del tráfico IP, como se 16

17 especifica en la lista del filtro asociado. Para definir un túnel IPSec tiene que haber dos reglas, una para cada sentido. Métodos de autenticación. El método de autenticación define cómo cada usuario se va a asegurar de que el otro equipo o el otro usuario son realmente quienes dicen ser Cada regla puede estar configurada con uno o varios Métodos de autenticación. Cada método de autenticación configurado aparece en una lista según el orden de preferencia. Si el primer método no se puede usar, se intenta el siguiente. 5. Tipos de conexión. Permite que el administrador de la red elija si la regla se aplica a todas las conexiones de la red, a la red de área local o a las conexiones de acceso remoto. 17

18 o MPLS Introducción MPLS es hoy día una solución clásica y estándar al transporte de información en las redes. Aceptado por toda la comunidad de Internet, ha sido hasta hoy una solución aceptable para el envío de información, utilizando Routing de paquetes con ciertas garantías de entrega. A su vez, los avances en el hardware y una nueva visión a la hora de manejar las redes, están dando lugar al empleo creciente de las tecnologías de Conmutación, encabezadas por la tecnología ATM. Aportando velocidad, calidad de servicio y facilitando la gestión de los recursos en la red. De aquí derivan los siguientes problemas: el paradigma del Routing está muy extendido en todos los entornos, tanto empresariales como académicos, etc. El rediseño total del software existente hacia la Conmutación supondría un enorme gasto de tiempo y dinero. Igualmente sucede con el hardware que está funcionando hoy día. Marco teórico MPLS (Multi-Protocol Label Switching) es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios Prívate Line, Frame Relay o ATM. Ofrece niveles de rendimiento diferenciados y priorización del tráfico, así como aplicaciones de voz y multimedia. Y todo ello en una única red. Contamos con distintas soluciones, una completamente gestionada que incluye el suministro y la gestión de los equipos en sus instalaciones (CPE). O bien, que sea usted quien los gestione MPLS (Multiprotocol Label Switching) intenta conseguir las ventajas de ATM, pero sin sus inconvenientes. Asigna a los datagramas de cada flujo una etiqueta única que permite una conmutación rápida en los routers intermedios (solo se mira la etiqueta, no la dirección de destino). Las principales aplicaciones de MPLS son: - Funciones de ingeniería de tráfico (a los flujos de cada usuario se les asocia una etiqueta diferente) - Policy Routing - Servicios de VPN - Servicios que requieren QoS MPLS se basa en el etiquetado de los paquetes en base a criterios de prioridad y/o calidad (QoS). 18

19 La idea de MPLS es realizar la conmutación de los paquetes o datagramas en función de las etiquetas añadidas en capa 2 y etiquetar dichos paquetes según la clasificación establecida por la QoS en la SLA. Por tanto MPLS es una tecnología que permite ofrecer QoS, independientemente de la red sobre la que se implemente. El etiquetado en capa 2 permite ofrecer servicio multiprotocolo y ser portable sobre multitud de tecnologías de capa de enlace: ATM, Frame Relay, líneas dedicadas, LANs. Orígenes de MPLS Para poder crear los circuitos virtuales como en ATM, se pensó en la utilización de etiquetas añadidas a los paquetes. Estas etiquetas definen el circuito virtual por toda la red. Estos circuitos virtuales están asociados con una QoS determinada, según el SLA. Inicialmente se plantearon dos métodos diferentes de etiquetamiento, o en capa 3 o en capa 2. La opción de capa 2 es más interesante, porque es independiente de la capa de red o capa 3 y además permite una conmutación más rápida, dado que la cabecera de capa 2 está antes de capa 3. Ejemplo de arquitectura 19

20 Funcionamiento de MPLS MPLS y pila de etiquetas Jerarquía MPLS MPLS funciona sobre multitud de tecnologías de nivel de enlace. La etiqueta MPLS se coloca delante del paquete de red y detrás de la cabecera de nivel de enlace. Las etiquetas pueden anidarse, formando una pila con funcionamiento LIFO (Last In, First Out). Esto permite ir agregando (o segregando) flujos. El mecanismo es escalable. Cada nivel de la pila de etiquetas define un nivel de LSP Túneles MPLS Así dentro de una red MPLS se establece una jerarquía de LSPs. En ATM y Frame Relay la etiqueta MPLS ocupa el lugar del campo VPI/VCI o en el DLCI, para aprovechar el mecanismo de conmutación inherente. 20

21 Etiquetas MPLS Las etiquetas MPLS identifican a la FEC asociada a cada paquete Etiqueta MPLS genérica: Formato de la etiqueta MPLS: 32 bits 21

22 Situación de la etiqueta MPLS Aplicaciones de MPLS Redes de alto rendimiento: las decisiones de encaminamiento que han de tomar los routers MPLS en base a la LIB son mucho más sencillas y rápidas que las que toma un router IP ordinario (la LIB es mucho más pequeña que una tabla de rutas normal). La anidación de etiquetas permite agregar flujos con mucha facilidad, por lo que el mecanismo es escalable. Ingeniería de Tráfico: se conoce con este nombre la planificación de rutas en una red en base a previsiones y estimaciones a largo plazo con el fin de optimizar los recursos y reducir congestión. QoS: es posible asignar a un cliente o a un tipo de tráfico una FEC a la que se asocie un LSP que discurra por enlaces con bajo nivel de carga. VPN: la posibilidad de crear y anidar LSPs da gran versatilidad a MPLS y hace muy sencilla la creación de VPNs. Soporte multiprotocolo: los LSPs son válidos para múltiples protocolos, ya que el encaminamiento de los paquetes se realiza en base a la etiqueta MPLS estándar, no a la cabecera de nivel de red. Diez razones para migrar a MPLS VPN En los últimos tiempos, no sólo se viene hablando de la famosa convergencia de Voz, Video y Datos sobre una misma plataforma, sino también de la necesidad de la migración de servicios "Legacy" (heredados) como ATM o Frame Relay a una nueva generación de "IPbased VPNs" (Redes Privadas Virtuales basadas en protocolo IP) 22

23 como los son las "MPLS VPNs" (Redes Privadas Virtuales basadas en Multiprotocol Label Switching). Sin embargo, resistencia sigue siendo la primera palabra que se asocia cuando se habla de "cambios", mucho más aún, cuando se trata de migraciones de servicios de comunicaciones, críticos para una empresa. A continuación, encontraremos 10 razones claves para hacer frente a la mencionada "resistencia" a los cambios cuando una empresa, corporación u organismo este pensando en migrar su infraestructura Legacy actual a una IP-Based MPLS VPN. 1 - Flexibilidad. Cada empresa, corporación u organismo tiene desarrollada su propia estructura interna, tanto en infraestructura como en recursos humanos, generadas en base a sus necesidades y recursos disponibles. En base a ésta estructura, muchas veces única, se montan los servicios de comunicaciones para acomodar de la mejor manera posible y al menor costo, el transporte de la información interna, así como también externa, con sus clientes y proveedores. La topología de una MPLS VPN puede acomodarse acorde a cada necesidad, dada su naturaleza que brinda conexiones "Any-to-Any" (cualquiera con cualquiera) entre los distintos puntos que comprenden la VPN, contando así con el mejor camino o ruta entre cada punto. A su vez se puede obtener mayor flexibilidad realizando configuraciones híbridas con Hub-and-Spoke (estrella), por ejemplo en las conexiones con clientes. 2 - Escalabilidad. Con un nuevo concepto de aprovisionamiento, llamado "Point-to-Cloud" (punto a la nube), se implementan los nuevos puntos de la VPN. Este concepto proviene del hecho de que cada vez que sea necesario "subir" un nuevo punto a la VPN, sólo habrá que configurar el equipamiento del Service Provider que conecte este nuevo punto. De esta forma, evitamos tareas complejas y riesgosas, como las que se producen cuando se activa un nuevo punto en una red basada en circuitos virtuales de Frame Relay o ATM, en donde es necesario re-configurar TODOS los puntos involucrados. 3 - Accesibilidad. La arquitectura de MPLS VPN permite utilizar prácticamente todos las tecnologías de acceso para interconectar las oficinas del cliente con su "Service Provider" (Proveedor de Servicios). Por dicho motivo, la versatilidad que nos permite utilizar xdsl o un enlace Wireless Ethernet en las oficinas más pequeñas y hasta incluso en usuarios móviles, mientras que en el headquarter utilizamos leased lines (TDM) en altas capacidades como E3/T3, nos permite dimensionar cada punto de la VPN acorde a sus necesidades sin limitar o restringir la de otros puntos. 23

24 4 - Eficiencia. En una infraestructura 100% IP, es decir, aquellas empresas en donde todo el equipamiento involucrado y las aplicaciones utilizadas son IP-based, el uso de servicios de transporte ATM o Frame Relay someten al cliente a incurrir en un costo adicional por el overhead que los protocolos de transporte introducen. Mediante IFX MPLS VPN - un servicio IP-Based VPN - este costo extra desaparece. 5 - Calidad de servicio (QoS) y Clases de servicio (CoS). Las necesidades de comunicación entre dos lugares remotos, hoy en día van mucho más allá de la simple transferencia de datos vía , web u otras aplicaciones. Siendo incluso insuficiente muchas veces, la interesante combinación de voz y datos bajo una misma plataforma. Es por ésto, que la ya mencionada Convergencia de datos con aplicaciones real-time y/o interactivas, voz y tambien video de alta calidad, necesitan de una eficiente plataforma de transporte. Mediante la utilizacion de técnicas y herramientas de Calidad de Servicio (QoS), se ofrecen distintas Clases de Servicio (CoS) dentro de una MPLS VPN para cumplimentar los requerimientos de cada servicio o aplicación. 6 - Administración. Las MPLS VPN son denominadas Network-Based, ésta característica proviene del hecho en que el servicio es implementado sobre la infraestructura del Service Provider; implicando, entre otras cosas, que la administración de enrutamiento es llevada a cabo por el Service Provider; quien por su naturaleza, es especialista en dicha tarea desligando así al cliente de llevarla a cabo. 7 - Monitoreo y SLAs. Las MPLS VPN son monitoreadas, controladas y con un constante seguimiento en forma permanente, las 24 horas los 7 días de la semana, por parte del Service Provider. Además, se extienden "Service Level Agreements" (acuerdos de nivel de servicio) para garantizar y asegurar la estabilidad y performance que el cliente necesite. 8 - Fácil Migración. La simplicidad de la tecnología determina que las tareas de aprovisionamiento, administración y mantenimiento sean actividades sencillas para el Service Provider; lo cual se traslada directamente al cliente, obteniendo una migración del servicio actual sin complicaciones. 9 - Seguridad. Análisis y estudios realizados por los distintos fabricantes y entidades especializadas en el área, determinaron que los niveles deseguridad entregados por una MPLS VPN son comparables con los entregados por los circuitos virtuales de Frame Relay y ATM. 24

25 Sin embargo, en escenarios donde estos niveles no son suficientes, como por ejemplo en las necesidades de entidades financieras, una MPLS VPN puede también ser combinada con la encriptación y autenticación que IPSec brinda, elevando aún más la seguridad de la VPN. 10 -Bajo Costo. Son varios los motivos que permiten afirmar que un servicio MPLS VPN ofrece "más por menos", entre ellos podemos destacar: Independecia de equipos de cliente (CPE): al ser un servicio Network-based, la implementación de la VPN no requiere un hardware específico ni costoso para ser instalado en las oficinas del cliente. Convergencia: por ser una VPN CoS-Aware (Soporte de Clases de Servicio) se puede integrar distintos servicios y aplicaciones sobre una misma plataforma. De este modo, empresas que al día de hoy mantienen distintos y costosos servicios para soportar sus necesidades de voz, datos y video; pueden unificar estos requerimientos concluyendo en un ahorro significativo y manteniendo relación con un único proveedor de servicios. CONCLUSIONES: La evolución imparable de las tecnologías de redes hace extenuante la labor de análisis y recopilación de soluciones para la red. Más cuando hablamos de ideas abiertas a opiniones y expuestas a posibles (y probables) modificaciones. En lo que respecta a la integración de IP sobre ATM, nunca podremos dar un "sí" rotundo y sin objeciones a una solución. MPLS apareció solventando los problemas y aportando escalabilidad y control sobre la red. De modo que una de las mayores dudas que se plantean ahora es cuánto tiempo podrá estar MPLS en la cabeza de las propuestas IP - ATM?. Batirá record de permanencia como IP, que va a cumplir 25 años?. Igualmente, la idea con la que partíamos hace ya un año, de que la principal ventaja que aportaban los switches era la velocidad, ha pasado a un segundo plano. La aparición de los gigabit routers hace que el problema de la velocidad en el routing sea un mal menor. La creatividad de los ingenieros y diseñadores de redes nos ha enseñado que el paradigma de la conmutación aporta mayor escalabilidad de redes, mayor control en la QoS y, lo que más importa a las empresas, mayor control sobre la Ingeniería del Tráfico (accounting y gestión de recursos). Siendo MPLS, a m nuestro parecer, el ejemplo que engloba todas estas características. 25

26 o IPV6 IPv6 es la versión 6 del Protocolo de Internet (Internet Protocol), un estándar en desarrollo del nivel de red encargado de dirigir y encaminar los paquetes a través de una red. Diseñado por Steve Deering de Xerox PARC y Craig Mudge, IPv6 está destinado a sustituir al estándar IPv4, cuyo límite en el número de direcciones de red admisibles está empezando a restringir el crecimiento de Internet y su uso, especialmente en China, India, y otros países asiáticos densamente poblados. Pero el nuevo estándar mejorará el servicio globalmente; por ejemplo, proporcionando a futuras celdas telefónicas y dispositivos móviles con sus direcciones propias y permanentes. Al día de hoy se calcula que las dos terceras partes de las direcciones que ofrece IPv4 ya están asignadas. Las direcciones en IPv4 tienen 32 bits agrupados en 4 grupos de 8 bits, por lo que el conjunto global va de a (el real es más limitado por razones que sobrepasan el objetivo de este documento). Por tanto, idealmente se podrían asignar direcciones. Con esto en mente, quienes diseñaron la IPv4 pensaron que esto sería más que suficiente. El problema está en que las direcciones se asignan en bloques o subredes; o sea, se agrupan, se asignan a alguien (empresa, Universidad, etc.) y todas ellas se consideran ya ocupados (se usen o no). Adoptado por el Internet Engineering Task Force en 1994 (cuando era llamado "IP Next Generation" o IPng), IPv6 cuenta con un pequeño porcentaje de las direcciones públicas de Internet, que todavía están dominadas por IPv4. La adopción de IPv6 ha sido frenada por la traducción de direcciones de red (NAT), que alivia parcialmente el problema de la falta de direcciones IP. Pero NAT hace difícil o imposible el uso de algunas aplicaciones P2P, como son la voz sobre IP (VoIP) y juegos multiusuario. Además, NAT rompe con la idea originaria de Internet donde todos pueden conectarse con todos. Actualmente, el gran catalizador de IPv6 es la capacidad de ofrecer nuevos servicios, como la movilidad, Calidad de Servicio (QoS), privacidad, etc. El gobierno de los Estados Unidos ha ordenado el despliegue de IPv6 por todas sus agencias federales para el año Se espera que IPv4 se siga soportando hasta por lo menos el 2011, dado que hay muchos dispositivos heredados que no se migrarán a IPv6 nunca y que seguirán siendo utilizados por mucho tiempo. Sus características principales son: Mayor espacio de direccionamiento: las direcciones pasan de 32 a 128 bits; de 2 32 direcciones ( ) a direcciones ( ). Esto hace que: Desaparezcan los problemas de direccionamiento del IPv4 actual. No sean necesarias técnicas como el NAT para proporcionar conectividad a todos los ordenadores/dispositivos de nuestra red. 26

27 Por tanto, todos los dispositivos actuales o futuros (ordenadores, PDAs, teléfonos GPRS o UMTS, neveras, lavadoras, etc.) podrán tener conectividad completa a Internet. Seguridad: uno de los grandes problemas achacable a Internet es su falta de seguridad en su diseño base. Este es el motivo por el que han tenido que desarrollarse, por ejemplo, el SSH o SSL, protocolos a nivel de aplicación que añaden una capa de seguridad a las conexiones que pasan a través suyo. IPv6 incluye IPsec, que permite autenticación y encriptación del propio protocolo base, de forma que todas las aplicaciones se pueden beneficiar de ello. Autoconfiguración: al igual que ocurría con el punto anterior, en el actual IPv4 han tenido que desarrollarse protolos a nivel de aplicación que permitiesen a los ordenadores conectados a una red asignarles su datos de conectividad al vuelo. Ejemplos son el DHCP o BootP. IPv6 incluye esta funcionalidad en el protocolo base, la propia pila intenta autoconfigurarse y descubrir el camino de conexión a Internet (router discovery) Movilidad: con la movilidad (o roaming) ocurre lo mismo que en los puntos anteriores, una de las características obligatorias de IPv6 es la posibilidad de conexión y desconexión de nuestro ordenador de redes IPv6 y, por tanto, el poder viajar con él sin necesitar otra aplicación que nos permita que ese enchufe/desenchufe se pueda hacer directamente Paquetes IPv6 Un paquete en IPv6 está compuesto principalmente de dos partes: la cabecera y los datos. La cabecera está en los primeros 40 bytes del paquete y contiene las direcciones de origen y destino (128 bits cada una), la versión de IP (4 bits), la clase de tráfico (8 bits, Prioridad del Paquete), etiqueta de flujo (20 bits, manejo de la Calidad de Servicio), longitud del campo de datos (16 bits), cabecera siguiente (8 bits), y límite de saltos (8 bits, Tiempo de Vida). Después viene el campo de datos, con los datos que transporta el paquete, que puede llegar a 64k de tamaño en el modo normal, o más con la opción "jumbo payload". Hay dos versiones de IPv6 levemente diferentes. La ahora obsoleta versión inicial, descrita en el RFC 1883, difiere de la actual versión propuesta de estándar, descrita en el RFC 2460, en dos campos: 4 bits han sido reasignados desde "etiqueta de flujo" (flow label) a "clase de tráfico" (traffic class). El resto de diferencias son menores. En IPv6 la fragmentación se realiza sólo en el nodo origen del paquete, al contrario que en IPv4 en donde los routers pueden fragmentar un paquete. En IPv6, las opciones también se salen de la cabecera estándar y son especificadas por el campo "Cabecera Siguiente" (Next Header), similar en funcionalidad en IPv4 al campo Protocolo. Un ejemplo: en IPv4 uno añadiría la opción "ruta fijada desde origen" (Strict 27

28 Source and Record Routing) a la cabecera IPv4 si quiere forzar una cierta ruta para el paquete, pero en IPv6 uno modificaría el campo "Cabecera Siguiente" indicando que una cabecera de encaminamiento es la siguiente en venir. La cabecera de encaminamiento podrá entonces especificar la información adicional de encaminamiento para el paquete, e indicar que, por ejemplo, la cabecera TCP será la siguiente. Este procedimiento es análogo al de AH y ESP en IPsec para IPv4 (que aplica a IPv6 de igual modo, por supuesto). Comparación paquete IPv4 vs. IPv6 Estructura de la cabecera de un paquete IPv6. 28