INSTITUTO POLITÉCNICO NACIONAL

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA Seminario de Titulación: Las tecnologías aplicadas a las redes de computadoras FNS /04/2008 SISTEMA DE ACTIVACIÓN DE VPN CON CISCO 7206 VXR Que como prueba escrita de su examen Profesional para obtener el Título de: Ingeniero en Comunicaciones y Electrónica Presentan: PÉREZ LÓPEZ ROBERTO REBOLLAR HERNÁNDEZ JUAN VICTOR Ingeniero en Computación Presenta: GODÍNEZ QUEZADA ERICK ARTURO

2 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA ELÉCTRICA UNIDAD CULHUACAN TESINA POR LA OPCIÓN DE SEMINARIO DE TITULACIÓN FNS /04/2008 QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMUNICACIONES Y ELECTRÓNICA PRESENTA: PÉREZ LÓPEZ ROBERTO REBOLLAR HERNÁNDEZ JUAN VICTOR QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMPUTACIÓN PRESENTA: GODÍNEZ QUEZADA ERICK ARTURO SISTEMA DE ACTIVACIÓN DE VPN CON CISCO 7206 VXR SE REALIZARÁ UN SISTEMA DE ACTIVACIÓN DE VPN EN EQUIPO CISCO 7206 VXR PARA SOLVENTAR LA NECESIDAD EN LAS GRANDES EMPRESAS DE PODER ADMINISTRAR EN SUS REDES LAS ALTAS Y BAJAS DE ESTE TIPO DE CONEXIONES DE MANERA AUTOMÁTICA Y CENTRALIZADA. EL SISTEMA DE ACTIVACIÓN CONTARÁ CON EL PROCEDIMIENTO NECESARIO DE CONFIGURACIÓN DE VPN PARA ASEGURAR QUE AL CONFIGURAR LOS EQUIPOS DE LA RED, NO SE CORROMPAN OTROS SERVICIOS YA INSTALADOS, CON ESTO SE EVITA GRAN PARTE DE EL ERROR HUMANO QUE PUEDE EXISTIR AL CONFIGURAR ESTE TIPO DE SERVICIOS DE FORMA DIRECTA EN LOS ELEMENTOS DE LA RED. CISCO ENTREGA LA LÍNEA MÁS AMPLIA Y COMPLETA DE SOLUCIONES PARA EL TRANSPORTE DE DATOS, VOZ Y VIDEO ALREDEDOR DEL MUNDO, ASEGURANDO QUE TANTO LAS REDES PÚBLICAS COMO LAS PRIVADAS OPEREN CON MÁXIMO DESEMPEÑO, SEGURIDAD Y FLEXIBILIDAD. EL EQUIPO CISCO 7206 VXR ES EL MÁS RECIENTE DE LA SERIE CISCO CAPITULADO INTRODUCCIÓN. CAPÍTULO 1 FUNDAMENTOS DE LAS REDES PRIVADAS VIRTUALES. CAPÍTULO 2 FUNDAMENTOS DE LOS SISTEMAS DE INFORMACIÓN. CAPÍTULO 3 CONFIGURACIÓN VRF (VPN ROUTING / FORWARDING). CAPÍTULO 4 DISEÑO DEL SISTEMA DE ACTIVACIÓN DE VPN. CONCLUSIONES. BIBLIOGRAFÍA. GLOSARIO. México D.F. 09 de Agosto de 2008 M. en C. Diana Salomé Vázquez Estrada Coordinador Académico del Seminario Ing. Patricia Cortés Pineda. Asesor. M. en C. Héctor Becerril Mendoza Jefe del Departamento de Ingeniería en Comunicaciones y Electrónica

3 A Dios que me ha dado una familia maravillosa y una vida llena de emociones, retos y felicidad. A mis amados padres en quienes siempre he encontrado el apoyo que me ha hecho crecer como persona y a quienes les debo todo lo que soy. A mi amada esposa quien me llena de alegría cada día y me da la fuerza y motivación para cumplir mis objetivos. Erick Arturo Agradezco a mis padres el darme el apoyo necesario e inculcarme los valores necesarios para ser una persona de bien y llegar hasta donde estoy ahora. A mis hermanas y hermano por darme su apoyo cuando lo he necesitado. A mis sobrinos que me dan ratos de alegría cuando estoy con ellos. A Dios por permitirme ser quien soy. Roberto II

4 Agradezco al Instituto Politécnico Nacional por haber permitido formarme como una persona profesional, además de brindar la preparación que egresados de otras escuelas envidian en su formación Académica. Agradezco a Dios por permitir compartir la alegría de las dos grandes mujeres, a mi lado. Agradezco a mi Madre la mejor madre que pudo existir, que con sus infinitos cansancios logró darme más de lo que se le da a un hijo, el valor de luchar por lo que quieres, no importe el cansancio que esto conlleve y el amor que supera al de ella misma. Agradezco a mi futura esposa que me ha brindado el apoyo incondicional y enseñado a ver la otra mitad de mí, día a día, en ella, en su amor Gracias! Juan Victor III

5 Índice Introducción 1 Capítulo I. Fundamentos de las Redes Privadas Virtuales Seguridad para la VPN Ventajas y Desventajas de una Red Privada Virtual (VPN) Ventajas de una Red Privada Virtual (VPN) Desventajas de una Red Privada Virtual (VPN) Arquitectura de la Red Privada Virtual (VPN) Redes Privadas Virtuales basadas en FireWall Redes Privadas Virtuales basadas en caja negra Redes Privadas Virtuales basadas en ruteadores Redes Privadas Virtuales basadas en acceso remoto Topologías de VPN Topología de Cortafuego/VPN a cliente Topología de VPN/LAN a LAN Topología de cortafuego/ VPN a Internet/ extranet Topología de VPN/tramas a ATM Topología de VPN de hardware (caja negra) Topología de VPN/NAT Tráfico de entrada y salida de la VPN Tráfico de entrada de la VPN Topología de conmutación de VPN 24 Capítulo II. Fundamentos de los Sistemas de Información Sistemas de información Categorías de los sistemas de información Sistemas para el procesamiento de transacciones Sistemas de información administrativa Sistemas para el soporte de decisiones Estrategias para el desarrollo de sistemas Ciclo de vida clásico del desarrollo del sistema Investigación preliminar Determinación de los requerimientos del sistema Diseño del sistema Desarrollo de software Prueba del sistema Implantación y evaluación 34 Capítulo III. Configuración VRF (VPN routing/forwarding) Protocolo de Gateway Fronterizo o Border Gateway Protocol Conmutación Multi-Protocolar mediante Etiquetas MPLS Características básicas y funcionamiento 39 IV

6 3.2.2 Arquitectura MPLS Cabecera MPLS Operación de VRF Pasos a seguir para la configuración de la VRF (Seguimiento de ruteo VPN) Ejemplo de una configuración de VRF es el siguiente: 46 Paso 1: Configuración VRF 46 Paso 2: Configura dirección de familia 47 Paso 3: Anuncio de subredes 47 Paso 4: Configuración interfaz de circuito interno 48 Capítulo IV. Diseño del Sistema de Activación de VPN Interfaz Gráfica de Usuario: Procesar Workflow Generación de mensajes de error Demonios del SAS Demonio de Ejecuciones Demonio de Notificaciones Demonio del ruteador Dralasoft Motor de Ejecución de Workflows de Dralasoft Diseño de la base de datos Tabla REQUEST: Tabla WORKFLOW 71 Conclusión 73 Bibliografía: 75 Glosario 76 V

7 Introducción Algunos años atrás, las diferentes sucursales de una empresa podían tener, cada una, una red local a la sucursal que operara aislada de las demás. Cada una de estas redes locales tenía su propio esquema de nombres, su propio sistema de , e inclusive usar protocolos que difieren de los usados en otras sucursales. Es decir, en cada lugar existía una configuración totalmente local, que no necesariamente debía ser compatible con alguna o todas las demás configuraciones de las otras áreas dentro de la misma empresa. Conforme ha ido pasado el tiempo las empresas han visto la necesidad de que las redes de área local superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros edificios, ciudades, comunidades autónomas e incluso países. La Red Privada Virtual (VPN, Virtual Private Network ) vino a solucionar este problema de comunicación siendo una tecnología de red que permite una extensión de la red local sobre una red pública, por ejemplo Internet. Esto es posible gracias a los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación: Autenticación y autorización: Técnica por la cual se reconoce el usuario o equipo a conectarse y el nivel de acceso que debe tener. Integridad: Es la garantía de que los datos enviados no han sido alterados. Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de ser interceptados, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. 1

8 El concepto de VPN ha estado presente desde hace algunos años en el mundo de la redes de voz. A mediados de los años 80 s, grandes portadoras fueron ofrecidas como VPN para servicios de voz, de manera que las compañías podían tener la apariencia de una red privada de voz, mientras compartían los recursos de una red mucho mayor. Este concepto se está aplicando ahora tanto para voz como para datos de la misma manera. Esencialmente una VPN es una red de datos aparentemente privada, pero la cual utiliza los recursos de un red de información mucho mayor. La Internet es la plataforma ideal para crear una VPN. En un principio existían dos tipos básicos de tecnologías VPN, las cuales fueron la base de las VPN hoy en día: VPN confiables y VPN seguras. Las VPN híbridas, surgieron como consecuencia de un desarrollo tecnológico y de los avances de la Internet. Antes de que la Internet se volviera universal, una VPN consistía en uno o más circuitos rentados a un proveedor de comunicaciones. Cada circuito rentado actuaba como un cable independiente, el cual era manejado por el cliente. La idea básica era que el cliente usara el circuito de la misma manera en que usaba los cables físicamente en su red local. La privacidad con la que contaban estas VPN no era más que la que el proveedor del servicio de comunicación le otorgaba al cliente; nadie más podía usar el mismo circuito. Esto permitía a los clientes tener su propia dirección IP y políticas de seguridad independientes. Un circuito rentado corría sobre uno o más switch de comunicación, de los cuales, cualquiera podía ser comprometido por algún operador que tratara de monitorear el tráfico de las líneas. El cliente VPN tenía que confiar la integridad de los circuitos y de la información en el proveedor de servicio VPN; por este motivo este tipo de redes era llamado VPN confiable. Con el paso del tiempo la Internet se volvió más popular como medio de comunicación corporativo, y la seguridad se volvió un tópico de mayor importancia. Con el antecedente de las VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la información y que incluyeran la integridad de los datos enviados. Se empezaron a crear protocolos que permitieran la encriptación del tráfico en algún extremo de la red, que se 2

9 moviera a través de la Internet como cualquier otra información, para luego ser descifrado cuando alcanzara la red de la corporación o al destinatario. Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carácter privado, únicamente a personal autorizado, de una empresa, centros de formación, organizaciones, etc.; cuando un usuario se conecta vía Internet, la configuración de la Red Privada Virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma como si estuviera tranquilamente sentado en su oficina. En la práctica, la tecnología VPN nos da la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder desde su equipo portátil desde un sitio remoto, por ejemplo un hotel, cafetería, restaurante, etc. Todo esto utilizando la infraestructura de Internet. Las ventajas de ocupar la tecnología VPN en las empresas son los ahorros considerables en enlaces privados: un enlace privado o "dedicado" de punto a punto entre 2 sucursales o enlaces del tipo empresarial, son bastante costosos, aunque ofrecen buena calidad en el servicio, su costo es sumamente elevado, pues llegan a costar decenas de miles de pesos de renta mensual más el costo de los equipos de telecomunicaciones especiales necesarios para soportar estos enlaces. Infraestructura fácil de mantener: como referencia a lo anterior, la infraestructura y equipos de red como fibras ópticas, ruteadores, conversores de señal, tarjetas de recepción, etc. son equipos de precio elevado, y se tiene que tener un espacio dedicado a estos en una empresa que los requiera, donde las condiciones ambientales deben ser las adecuadas y, por otra parte, el costo del soporte técnico es también costoso. Con la implementación de una VPN, el mantenimiento a la infraestructura y el soporte son bastante económicos en comparación a lo anterior, si un equipo llega a tener una falla en hardware, la inversión en su mantenimiento es relativamente baja como cualquier otro equipo de cómputo de la empresa. 3

10 Los proveedores del servicio de VPN y las empresas de gran tamaño que lo ocupan enfrentan constantemente la necesidad de optimización de los costos de gestión y funcionamiento, simplificando la gestión de redes y aumentando las oportunidades de beneficios. Una solución a estas necesidades es la implementación de un Sistema de Activación el cual ayude a administrar de forma óptima este tipo de conexiones VPN creando un procedimiento estándar de configuración, y dando el mayor rendimiento en funcionamiento eliminando la configuración manual de equipos de red para evitar errores humanos. Se realizará un sistema de activación de VPN en equipos CISCO 7206 VXR para solventar la necesidad en las grandes empresas de poder administrar en sus redes las altas y bajas de este tipo de conexiones de manera automática y centralizada. Gracias al sistema de activación se podrá llevar un control de los cambios que ha tenido la red en cuanto a las conexiones VPN se refiere y quien ha sido el responsable de llevarlas a cabo, facilitando la identificación de responsabilidades dentro del equipo de Sistemas de Operación. El sistema de activación contará con el procedimiento necesario de configuración de VPN para asegurar que al configurar los equipos de la red, no se corrompan otros servicios ya instalados, con esto se evita gran parte del error humano que puede existir al configurar este tipo de servicios de forma directa en los elementos de la red. Se ha elegido realizar un Sistema de Activación de VPN específicamente para equipos 7206 VXR de la marca CISCO debido a que en primer lugar, CISCO es el líder mundial en redes para Internet. CISCO entrega la línea más amplia y completa de soluciones para el transporte de datos, voz y video alrededor del mundo, asegurando que tanto las redes públicas como las privadas operen con máximo desempeño, seguridad y flexibilidad. Por otro lado, el equipo CISCO 7206 VXR es el más nuevo de la serie Cisco 7200, la cual se caracteriza por llevar en una sola plataforma de bajo costo las funciones que antes llevaban a cabo varios dispositivos independientes. Los ruteadores de la serie Cisco

11 pueden utilizarse con eficiencia, tanto en las redes de los proveedores de servicios como en las de las empresas para reducir los costos de aprovisionamiento WAN, dar soporte a servicios diferenciados y proporcionar aplicaciones de valor añadido como la gestión del tráfico, la contabilidad y la calidad de servicio. La serie Cisco 7200 establece una relación adecuada entre rendimiento y precio para los requisitos tanto de proveedores de servicios como de empresas. Con su combinación de rendimiento ampliable, densidad y un bajo precio por puerto, la serie Cisco 7200 permite expandir las funciones de capa de red a una gama más amplia de configuraciones y entornos. La siguiente tabla muestra los equipos de esta familia así como sus características. Tabla I.1 Comparación de ruteadores de la familia 7200 Modelos 7204VXR 7206VXR 7201 Tamaño Slots 3 RU Alto: cm (5.25 pulgadas) Ancho: cm (16.8 pulgadas) Profundidad: cm (17 pulgadas) 4 Slots para Adaptadores de Puerto simple (single Port Adapter Slots ) 1 Slot Controlador Entrada/Salida(I/O Controller Slot) 1 Slot para Máquina de Procesamiento de Red(Network Processing Engine Slot) SA-VAM2+ C7200-VSA 3 RU Alto: cm (5.25 pulgadas) Ancho: cm (16.8 pulgadas) Profundidad: cm (17 pulgadas) 6 Slots para Adaptadores de Puerto simple 1 I/O Controller Slot 1 Slot para Máquina de Procesamiento de Red Módulos de seguridad SA-VAM2+ C7200-VSA Desempeño 2 Mpps 1 con NPE-G2 2 Mpps con NPE- G2 Capacidad 1.8 Gbps 2 con NPE-G2 1.8 Gbps con NPE- Backplane G2 I RU Alto: 4.39 cm (1.73 pulgadas) Ancho: cm (16.2 pulgadas) Profundidad: cm (17.3 pulgadas) 1 Slot para Adaptador de Puerto simple N/A N/A - built-on Máquina - NPE-G2 con 4 puertos GE SA-VAM2+ 2 Mpps 1.8 Gbps 1- Millones de paquetes por segundo. 2- Gigabits por segundo. 5

12 La más conveniente para manejar varias conexiones VPN es la 7206VXR debido a su desempeño y capacidad de tráfico y conexión. A continuación se muestra la comparación del equipo CISCO 7206 VXR con sus equivalentes de otras marcas. Tabla I.2 Comparación entre el ruteador CISCO 7206VXR y sus competidores de otras marcas Modelos CISCO 7206VXR Juniper J6350 Nortel VPN Router 5000 Tamaño Slots Módulos de seguridad Desempeño Capacidad Backplane 3 RU Alto: cm (5.25 pulgadas) Ancho: cm (16.8 pulgadas) Profundidad: cm (17 pulgadas) 6 Slots para Adaptadores de Puerto simple 1 I/O Controller Slot 1 Slot para Maquina de Procesamiento de Red 2 RU Alto: 44.5 cm (17.5 pulgadas) Ancho: 8.9 cm (3.5 pulgadas) Profundidad: 54.6 cm (21.5 pulgadas) 6 Slots PIM 4 Slots EPIM SA-VAM2+ TUV, CSA, CB C7200-VSA 2 Mpps con NPE-G2 1.8 Gbps con NPE-G2 2 Gbps Alto: 13.3 cm (5.25 pulgadas) Ancho: 43.8 cm (17.25 pulgadas) Profundidad: 58.4 cm (23 pulgadas) 5 Slots PCI Cisco Systems es una empresa multinacional ubicada en San José (California, Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones tales como: Dispositivos de conexión para redes informáticas: ruteadores (enrutadores, encaminadores o ruteadores), switches (conmutadores) y hubs (concentradores). Dispositivos de seguridad como Cortafuegos y Concentradores para VPN. Productos de Telefonía IP como teléfonos y el CallManager (una PBX IP). 6

13 Software de gestión de red como CiscoWorks. Equipos para Redes de Área de Almacenamiento. Actualmente, Cisco Systems, es Líder Mundial en soluciones de red e infraestructuras para Internet. Es considerada una de las grandes empresas del sector tecnológico y un importante miembro del mercado del NASDAQ o mercado accionario de tecnología. La empresa fue fundada en 1984 por el matrimonio de Leonard Bosack y Sandra Lerner, quienes formaban parte del personal de computación de la Universidad de Stanford. El nombre de la compañía viene de la palabra "San Francisco"; al mirar por la ventana había al frente un cartel que decía "San Francisco" y un árbol se interponía entre la palabra separando San Fran Cisco, de ahí proviene el nombre de la empresa. Donde comenzó su despliegue como empresa multinacional. Bosack adaptó el software para enrutadores multi-protocolo originalmente escrito por William Yeager, otro empleado de informática en esa Universidad. Cisco Systems creó el primer ruteador comercialmente exitoso. Hoy en día, otro gigante que le está intentando hacer sombra es la multinacional Juniper Networks, dedicada principalmente a la venta de ruteadores para enlaces backbone (columna vertebral). Además de desarrollar el hardware de sus equipos, Cisco Systems también se ocupa de desarrollar su propio software de gestión y configuración de los mismos. Dicho software es conocido como IOS de código actualmente cerrado y totalmente propietario. A través del IOS se consigue configurar los equipos Cisco mediante la denominada "Command Line Interface" ( Interfaz de Línea de Comandos, por su nombre en español) que sirve de intérprete entre el usuario y el equipo. 7

14 Cisco Systems también posee una división de publicaciones tecnológicas denominada Cisco Press, la cual tiene convenio con la editorial estadounidense Pearson VUE, así como una división educativa que produce material educativo para programas que tienen como fin la formación de personal profesional especializado en el diseño, administración y mantenimiento de redes informáticas. Algunos de estos programas son: CCDA (Cisco Certified Design Associate) CCDP (Cisco Certified Design Professional) CCIE (Cisco Certified Internetwork Expert) CCIP (Cisco Certified Internetwork Professional) CCNA (Cisco Certified Network Associate) CCNP (Cisco Certified Network Professional) CCSP (Cisco Certified Security Professional) Tales programas son dictados en alianza con Instituciones Universitarias denominadas 'Academias Locales'las cuales existen en 128 países. 8

15 Capítulo I. Fundamentos de las Redes Privadas Virtuales Desde una perspectiva histórica, el término Red Privada Virtual (VPN) o en inglés VPN (Virtual Prívate Network) comenzó a forjar su camino a principios de 1997, pero hay quienes están en desacuerdo con esta afirmación, si bien es verdad que la tecnología subyacente utilizada en las VPN, es el conjunto del protocolo TCP/IP que se desarrollo en los sesentas, algunos de sus conceptos datan desde antes para ser exactos desde la segunda guerra mundial. Por lo mismo crea controversia, por el alto desarrollo de Internet en los noventas en los que comienza a desarrollarse en mayor proporción. Una Red Privada Virtual (VPN) es un proceso de comunicación cifrada o encapsulada que transfiere datos desde un punto hacia otro de manera segura; la seguridad de los datos se logra gracias a una tecnología robusta, de cifrado y los datos que se transfieren pasan a través de una red abierta, insegura y enrutada. Es necesario que sepamos a que se refiere el término CIFRADO CIFRADO: No es más que tomar un mensaje escrito y pasarlo a algún argot o código, por ejemplo: llegaré tarde se convierte en 2der56gtr2345 en el otro extremo de este proceso se aplica el DECIFRADO que es lo contrario de CIFRADO, seguimos con el ejemplo al tomar 2der56gtr2345 se convierte de nuevo a llegaré tarde. VIRTUAL: Se refiere a una situación como si estuviera dentro de la misma Red. Otra forma de ver una VPN es como el proceso más sencillo para enviar datos cifrados de un punto a otro, generalmente por Internet. No obstante, las VPN también pueden utilizarse 9

16 en líneas rentadas, enlaces ATM (Frame Relay) transmisión de tramas o servicios de red telefonía simple (POTN), como las redes digitales de servicios integrados (ISDN) y las líneas de suscripción digital (xdls). Algunos proveedores de servicios de Internet (PSI) ya proporcionan diversas implementaciones de VPN. Al agregar la tecnología VPN a los segmentos de tramas, los clientes pueden obtener los beneficios adicionales de la tecnología VPN. Las VPN dan cabida al crecimiento, muchos dispositivos de VPN manejaran cualquier servicio que se coloque en ellas. Le permitirán crear túneles o comunicaciones punto a punto con cifrado, bajo demanda. Podrá crear túneles hacia otros sitios, como uno que vaya de las oficinas centrales corporativas hasta las oficinas principales de ventas y más adelante podrá crear más túneles hacia otras oficinas. El encapsulamiento es el proceso de tomar un paquete de datos y envolverlo dentro de un paquete IP. Las VPN se presentan en cuatro áreas: Intranet.- Una VPN tiene como principal característica que se conecta una oficina central con otra remota es decir que solo se tiene acceso a la intranet desde afuera de la red. Normalmente, solo se utiliza dentro de la red de una compañía y únicamente acceden los empleados de la misma. El acceso viene desde el exterior y no desde el interior. Acceso Remoto.- Una VPN de acceso remoto se crea desde las oficinas centrales y los usuarios móviles remotos. Con el software de cifrado cargado en una laptop, un individuo establecerá un túnel cifrado al dispositivo de la VPN en las oficinas centrales corporativas. Extranet.- Una VPN extranet se crea entre la empresa y sus clientes o proveedores, la extranet permitirá el acceso con el protocolo http normal utilizado por los navegadores web actuales, o permitirá que se realice la conexión utilizando otro servicio y protocolo acordado por las partes involucradas. 10

17 VPN interna.- Esta es la que menor usa una compañía desplazándola la red LAN o de Área Local. Algunos motivos que las compañías no las utilizan son porque los estudios de seguridad indican que los ataques por empleados internos ocupan el primer lugar. De acuerdo al Instituto de Seguridad de Computo (CSI) de la oficina de brigada contra el crimen computacional internacional del FBI de San Francisco California. Usando una combinación de encripción, autentificación, túnel y control de acceso, una VPN proporciona a los usuarios un método seguro de acceso a los recursos de las redes corporativas. La implementación de una VPN involucra dos tecnologías: un protocolo de túnel y un método de autentificación de los usuarios del túnel. Cuatro diferentes protocolos de túnel son los más usados para la construcción de VPN sobre la Internet: Protocolo de túnel punto - punto (PPTP). Envío de capa 2 (L2F). Protocolo de túnel de capa 2 (L2TP). Protocolo de seguridad IP (IPSec). La razón de la diversidad de protocolos es porque las empresas que implementan VPN s tienen requerimientos diferentes. Por ejemplo: enlazar oficinas remotas con el corporativo, o ingresar de manera remota al servidor de la organización. Los protocolos PPTP, L2F y L2TP se enfocan principalmente a las VPN de acceso remoto, mientras que IPSec se enfoca mayormente en las soluciones VPN de sitio sitio. El protocolo PPTP ha sido ampliamente usado para la implementación de VPN s de acceso remoto. El protocolo más común que se usa para acceso remoto es el protocolo de punto - punto (PPP); PPTP se basa en la funcionalidad de PPP para proveer acceso remoto que puede estar dentro de un túnel a través de la Internet hacia su destino. PPTP encapsula los paquetes PPP usando una versión modificada del encapsulado genérico de ruteo (Generic 11

18 Routing Encapsulation GRE), lo que da al protocolo PPTP la flexibilidad de manejo de otros protocolos como: intercambio de paquetes de Internet (IPX) y la interfaz gráfica de sistema básico de entrada / salida de red NetBEUI. PPTP está diseñado para correr en la capa 2 del sistema OSI (Open System Interconnection) o en la capa de enlace de datos. Al soportar comunicaciones en la capa 2, se permite transmitir protocolos distintos a los IP sobre los túneles. Una desventaja de este protocolo es que no provee una fuerte encripción para proteger la información y tampoco soporta métodos de autentificación basados en tokens. L2F fue diseñado como protocolo de túnel de tráfico desde usuarios remotos hacia los corporativos. Una diferencia entre PPTP y L2F es que el túnel creado por L2F no es dependiente en IP, y le permite trabajar directamente con otro tipo de redes como frame relay o ATM. Al igual que PPTP, L2F emplea PPP para la autentificación del usuario remoto. L2F permite túneles para soportar más de una conexión. L2TP es un protocolo de capa 2, y permite a los usuarios la misma flexibilidad que PPTP para manejar protocolos diferentes a los IP, como IPX y NetBEUI. L2TP es una combinación de PPTP y L2F, y puede ser implementado en diferentes topologías como Frame Relay y ATM. Para proveer mayor seguridad con la encripción, se pueden emplear los métodos de encripción de IPSec. La recomendación es que para procesos de encripción y manejo de llaves criptográficas en ambientes IP, el protocolo IPSec sea implementado de manera conjunta. IPSec nació con la finalidad de proveer seguridad a los paquetes IP que son enviados a través de una red pública, trabaja principalmente en la capa 3. IPSec permite al usuario autentificar y/o cifrar cada uno de los paquetes IP. Al separar las aplicaciones de autentificación y encripción de paquetes, se tienen dos formas diferentes de usar IPSec llamadas modos. En el modo de transporte sólo el segmento de la capa de transporte de un paquete IP es autentificado y encriptado. En el otro modo llamado de túnel, la autentificación y encripción se aplica a todo el paquete. Mientras que el modo de transporte es útil en muchas situaciones, el modo de túnel provee mayor seguridad en contra de ataque 12

19 y monitoreo de tráfico que pueda ocurrir sobre la Internet. A su vez este protocolo se subdivide en dos tipos de transformaciones de datos: el encabezado de autentificación (AH) y la carga de seguridad encapsulada (ESP). 1.1 Seguridad para la VPN La seguridad en la VPN debería de ser considerada como una parte de seguridad general de una organización, de hecho, el término de seguridad de redes abarca tantos aspectos de una organización que sería más adecuado emplear el término de seguridad de la información. La seguridad de la información abarca la seguridad de redes, la seguridad de las computadoras, la seguridad de acceso y la seguridad física, entre otras. Puesto que los recursos capitales para cualquier organización son escasos, también lo son los recursos para implementar la seguridad. Cuando se piensa en la seguridad de redes, especialmente cuando se implementa en las VPN, se debería revisar la pila de interconexión de sistemas abiertos (OSI). El modelo OSI se ha utilizado virtualmente en todos los sistemas de cómputo actuales. La pila OSI tiene siete niveles: aplicación, presentación, sesión, transporte, red, enlace de datos y físico. Los ataques más comunes en la actualidad como pueden ser las sobrecargas de la memoria intermedia (búfer) y otros ataques de seguridad, suceden a través de todos estos niveles. La VPN se ubica en los niveles más bajos de la pila OSI, tener esta tecnología tan bajo como sea posible en la pila ayuda a eliminar muchos de los ataques que podrían suceder si estuviesen en los niveles de arriba. La seguridad es un tema multifacético donde los elementos pueden estar acomodados en distintos niveles, y puede incrementar la seguridad conforme pase de un nivel a otro. Todas las redes son vulnerables, todas las redes son inseguras y todas las redes pueden estar expuestas al peligro. Las auditorias periódicas ayudan, pero también ayuda comprender como es la infraestructura de la red. Al comprender y conocer completamente la topología se pueden identificar las debilidades. Mucha gente se concentra en asegurar el cortafuego y 13

20 asume que éste es el dispositivo de protección del perímetro, en muchas topologías hay un cortafuego, pero también hay un enrutador externo conectado a la conexión del Proveedor de Servicio de Internet, mucha gente olvida este dispositivo y servicio. El control de acceso al usuario es extremadamente importante cuando se implementa una tecnología VPN. Primero tiene que asegurarse de que solo concede el acceso a los usuarios autorizados, después, debe asegurarse de que esos usuarios autorizados solo tienen concedido el acceso a aquellos servidores que usted considera necesarios. Una cosa acerca de la seguridad es que siempre está cambiando, y la implementación de procedimientos de seguridad tiene que estar al día en la manera de pensar. Durante años, las contraseñas simples fueron suficientes para las máquinas individuales y otros dispositivos de red, pero ahora han terminado su vida útil. Con las VPN y los cortafuegos, no basta preocuparse solo por la seguridad interna, ahora, también es necesario preocuparse por la seguridad externa en una red pública como lo es Internet, así que hay que tener en mente que una buena política de calidad debe ser muy dinámica. La capacitación las listas de correo y las advertencias sobre seguridad son parte de una buena política de calidad, además de tener una buena comunicación con los proveedores de servicio de Internet, con la esperanza de estar actualizados sobre los aspectos de seguridad relacionados con los productos que venden. Para que las VPN sean un medio efectivo para el comercio electrónico para aplicaciones de extranet y para las transacciones financieras a través de Internet deben de utilizarse tecnologías de autenticación segura, así como la criptografía y cifrado en cada extremo del túnel de la VPN. Puntos importantes de consideración para la VPN: Solo a las partes autorizadas se les permite el acceso a aplicaciones y servidores corporativos. 14