GESEQ: Modelo para la transferencia de voz y video en redes privadas virtuales IPSec con calidad de servicio

Transcripción

1 INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY T E S I S GESEQ: Modelo para la transferencia de voz y video en redes privadas virtuales IPSec con calidad de servicio Autor: ÁNGEL ISMAEL MONTES BELTRÁN Sometido al Programa de Graduados en Informática y Computación en cumplimiento parcial con los requerimientos para obtener el grado de Maestro en: CIENCIAS DE LA COMPUTACIÓN Asesor: Dr. Jesús Arturo Pérez Díaz Cuernavaca, Morelos Noviembre, 2005

2 GESEQ: Modelo para la transferencia de voz y video en redes privadas virtuales IPSec con calidad de servicio Presentada por: Ángel Ismael Montes Beltrán Sometido al Programa de Graduados en Informática y Computación en cumplimiento parcial con los requerimientos para obtener el grado de Maestro en Ciencias de la Computación. Aprobada por: Dr. Jesús A. Pérez Díaz Profesor - Investigador División de Ingeniería y Ciencias ITESM, Campus Cuernavaca Asesor de Tesis Dr. Víctor Hugo Zárate Silva Profesor - Investigador División de Ingeniería y Ciencias ITESM, Campus Cuernavaca Revisor de Tesis M.C. Carlos Felipe García Hernández Investigador División de sistemas de control Instituto de Investigaciones Eléctricas Cuernavaca Morelos Revisor de Tesis

3 DEDICATORIAS: A mis padres Roberto Montes y Ma. Elena Beltrán: Por el apoyo y compañía incondicional que me han brindado en toda mi vida. A mis hermanos Tania Montes y Genaro Montes: Por su compañía que siempre me han ofrecido a lo largo de mi vida.

4 AGRADECIMIENTOS: A mi asesor Jesús Arturo Pérez: quien me guió durante el desarrollo y conclusión de esta tesis, por sus valiosas aportaciones y atinados comentarios, por sus clases enriquecedoras y por darme la oportunidad de unirme a la cátedra de investigación de sistemas distribuidos para la enseñanza colaborativa. A mi revisor Víctor Zárate: por sus valiosas contribuciones a lo largo de mis presentaciones y revisiones, por sus clases enriquecedoras y por darme la oportunidad de unirme a la cátedra de investigación de sistemas distribuidos para la enseñanza colaborativa. A mi revisor Carlos García: por sus valiosas aportaciones que hicieron posible este trabajo de tesis. Al sistema Tecnológico de Monterrey por apoyarme financieramente durante mis estudios de maestría a través de la beca de cátedra de investigación. A Diego Vázquez por sus consejos profesionales. A todos aquellos que me han brindado su apoyo y amistad, en especial a: José Luis Gómez, Jesús Rosaldo, Pamela Suárez, Ariana Ponciano, Marco Tequitlalpa, Daniel Lampallas, Yandí Ricaño y Froilán Imperial.

5 RESUMEN GENERAL El objetivo principal de esta tesis es definir y presentar un modelo genérico, implementable, versátil y escalable que permite proteger y tratar preferencialmente el tráfico de voz y video en tiempo real generado por una videoconferencia IP, mediante el uso de mecanismos de seguridad de las Redes Privadas Virtuales (VPNs) IPSec (Seguridad IP) junto con herramientas de Calidad de Servicio (QoS) para poder, de esta manera, mitigar la degradación de la voz y video en condiciones de congestionamiento en redes WAN IP. Nuestro modelo propuesto GESEQ (GEneric SEcurity and QoS model) se enfoca a los ambientes para la enseñanza colaborativa, ya que estas últimos permiten el uso de herramientas multimedia para la interacción entre profesores y alumnos. Para lograr lo anterior, se realizó un análisis de la tecnología VPN basada en el conjunto de protocolos IPSec junto con las principales herramientas de QoS basadas en la arquitectura de servicios diferenciados de la IETF (Internet Engineering Task Force). En esta tesis se presentan fundamentos teóricos sobre el funcionamiento de las VPNs IPSec y los aspectos que involucran el implantar QoS sobre redes IP. Además, se explican aspectos administrativos que deben de considerarse para implantar el modelo propuesto de seguridad y QoS. Finalmente se llevó a cabo una implementación física que verificó el buen funcionamiento de GESEQ. i

6 ÍNDICE DE CONTENIDO RESUMEN... ÍNDICE DE CONTENIDO.. ÍNDICE DE FIGURAS ÍNDICE DE TABLAS Pág. i ii v vi CAPÍTULO 1 INTRODUCCIÓN A LA TESIS 1.1 Introducción Antecedentes Planteamiento del problema Objetivo general y específico Alcances y limitaciones Organización de la tesis... 3 CAPÍTULO 2 ESTADO DEL ARTE DE LAS REDES PRIVADAS VIRTUALES, PROTOCOLOS IPSEC Y CALIDAD DE SERVICIO 2.1Introducción Redes Privadas Virtuales (VPNs) VPN de acceso VPN de intranet VPN de extranet Clasificación basada en la implementación de IPSec Implementación en nodos Implementación integrada dentro del Sistema Operativo Implementación entre las capas de enlace de datos y la capa de red Implementación en ruteadores y/o equipos especializados VPN Implementación nativa Bump in the Wire (BITW) IPSec (Seguridad IP) ESP AH Campos de encabezados AH y ESP Arquitectura IPSec Modo Transporte Modo Túnel Asociaciones de Seguridad (SA) Base de Datos de Políticas de Seguridad (SPD) Protocolo de Intercambio de Llave de Internet (IKE) Fase 1 de IKE Fase 2 de IKE Calidad de Servicio (QoS) Medidas del desempeño de una red Funciones de Calidad de Servicio Arquitectura de Servicios Diferenciados Tipos de PHP Trabajos relacionados Resumen CAPÍTULO 3 GESEQ: MODELO GENÉRICO DE SEGURIDAD Y CALIDAD DE SERVICIO 3.1 Introducción ii

7 3.2 GESEQ Seguridad Determinación del alcance de la protección Determinación del equipo IPSec Determinación de la información a ser protegida Determinación y configuración de los mecanismos de seguridad Calidad de Servicio Determinación de la información preferencial Determinación del alcance de QoS Configuración de las herramientas de QoS Administración Resumen CAPÍTULO 4 IMPLEMENTACIÓN DE GESEQ, PRUEBAS Y RESULTADOS 4.1 Introducción Especificación de requerimientos Escenario de implementación Implementación de la seguridad Determinación del alcance de la protección Determinación del equipo IPSec Determinación de la información a ser protegida Configuración de los elementos o mecanismos de seguridad Configuración de IKE Configuración de las claves pre-compartidas Verificación de la configuración de IKE Configuración de IPSec Implementación de QoS Determinación de la información preferencial Determinación del alcance de QoS Configuración de las herramientas de QoS Configuración de clasificación y marcado de paquetes Configuración de la herramienta de administración del congestionamiento Configuración de la herramienta de evasión del congestionamiento Configuración de herramientas adicionales de enlace Administración Pruebas y análisis de resultados Metodología Resultados Latencia Variación del retardo Pérdida de paquetes Resumen CAPÍTULO 5 CONCLUSIONES Y TRABAJOS FUTUROS 5.1 Conclusiones Trabajos futuros. 72 APÉNDICE A CONFIGURACIÓN DE LA VPN IPSEC + QoS A.1 Introducción.. 74 A.2 Configuración del ruteador A. 74 A.3 Configuración del ruteador B A.4 Configuración del ruteador C APÉNDICE B COMPROBACIÓN DEL FUNCIONAMIENTO DE LA VPN IPSEC Y DE LAS HERRAMIENTAS DE QOS B.1 Introducción.. 83 iii

8 B.2 Verificación del funcionamiento de la VPN IPSec.. 83 B.2.1 sh crypto isakmp policy 83 B.2.2 sh crypto ipsec transform-set.. 84 B.2.3 sh crypto map.. 84 B.2.4 sh crypto ipsec sa B.2.5 sh crypto engine connections active B.2.6 sh run.. 87 B.2.7 sh process cpu. 90 B.3 Verificación del funcionamiento de las herramientas de QoS.. 90 B.3.1 sh policy-map int interface B.3.2 sh controllers interface. 95 APÉNDICE C METODOLOGÍA DE MEDICIÓN DE LOS PARÁMETROS DE QoS C.1 Introducción.. 96 C.2 Metodología en base a código PHP.. 96 C.2.1 Cálculo de la latencia.. 98 C.2.2 Cálculo de la variación del retardo. 98 C.2.3 Cálculo de la pérdida de paquetes.. 98 C.3 Ejemplo 99 APÉNDICE D GLOSARIO DE TÉRMINOS REFERENCIAS iv

9 ÍNDICE DE FIGURAS Pág. Figura 1.1 Bloques elementales del modelo 3 Figura 2.1 Creación de la conexión lógica (túnel)... 6 Figura 2.2 Ejemplo de VPN de acceso 7 Figura 2.3 VPN de Intranet.. 7 Figura 2.4 IPSec dentro de la capa de Red.. 8 Figura 2.5 IPSec como capa independiente. 9 Figura 2.6 Servicios IPSec en capa Figura 2.7 Paquete IP usando ESP Figura 2.8 Paquete IP usando AH 12 Figura 2.9 Paquetes IP encapsulados en dos modos: a) modo transporte b) modo túnel 13 Figura 2.10 Paquete IP versión Figura 2.11 a) Byte ToS b) Byte DS Figura 3.1 GESEQ: Modelo propuesto de seguridad y calidad de servicio 26 Figura 3.2 Herramientas de seguridad y QoS.. 27 Figura 3.3 Alcance de la seguridad IPSec Figura 3.4 Modelo de cuatro clases de tráfico. 31 Figura 3.5 Herramientas de QoS. 32 Figura 4.1 Escenario a implementar 37 Figura 4.2 Un solo túnel IPSec entre varios ruteadores intermedios Figura 4.3 Alcance del túnel IPSec para nuestro escenario. 39 Figura 4.4 Ruteadores modelo 2621XM. 40 Figura 4.5 Modelo de clases implementado 46 Figura 4.6 Paquetes multimedia capturados 47 Figura 4.7 Especificación de un paquete de voz G Figura 4.8 Especificación de un paquete de video H Figura 4.9 Especificación de todo el conjunto de protocolos que viajan por la red 50 Figura 4.10 Figura 4.10 Alcance de QoS. 51 Figura 4.11 Implementación de las herramientas de QoS en los ruteadores. 52 Figura 4.12 Interfaz serial congestionada.. 56 Figura 4.13 Funcionamiento de LLQ 56 Figura 4.14 LLQ e IPSec Figura 4.15 Procesamiento de paquetes de salida. 60 Figura 4.16 Relación entre evasión y administración del congestionamiento Figura 4.17 Funcionamiento de WRED basado en DSCP 63 Figura 4.18 Incompatibilidad de IPSec y crtp 65 Figura 4.19 Tamaño de un paquete de voz sin encapsulado.. 65 Figura 4.20 Tamaño mayor de un paquete de voz con encapsulado con GRE. 66 Figura 4.21 Configuración de ruteadores.. 66 Figura 4.22 Resultados de latencia de paquetes 68 Figura 4.23 Resultados de la variación de paquetes.. 69 Figura 4.24 Resultados de las pérdidas de paquetes.. 70 Figura C.1 Ejemplo de una ventana de salida del analizador Etherpeek NX Figura C.2 Rastreo del segmento origen Figura C.3 Rastreo del segmento destino. 101 Figura C.4 Inicio del script PHP Figura C.5 Selección de archivos. 102 Figura C.6 Resultados obtenidos v

10 ÍNDICE DE TABLAS Pág. Tabla 2.1 Ejemplo de una SA. 14 Tabla 2.2 Valores comunes de los bits de Precedencia IP. 24 Tabla 4.1 Normas IPSec configuradas Tabla 4.2 Especificación de paquetes preferenciales. 46 Tabla 4.3 Asignación estándar de códigos DSCP.. 53 Tabla 4.4 Valores DSCP asignados a los paquetes dentro del escenario Tabla 4.5 Criterio para almacenar paquetes en las colas L Tabla 4.6 Asignación del ancho de banda a las diferentes clases de tráfico.. 61 vi

11 CAPÍTULO 1 INTRODUCCIÓN A LA TESIS 1.1 Introducción Este capítulo tiene la finalidad de dar un panorama general de la tesis, definiendo los antecedentes de las Redes Privadas Virtuales y las tecnologías de calidad de servicio, el problema al que se contribuye resolver con la realización de la misma, los objetivos que se desean alcanzar, las limitaciones que presenta la investigación, los alcances y la organización del presente documento. 1.2 Antecedentes Las redes de computadoras han progresado al punto de que es posible soportar aplicaciones multimedia sobre redes corporativas e Internet [Min98]. Esto ha motivado el uso de nuevas tecnologías para poder incorporarlas al área de la educación, este es el caso del paradigma CSCL (aprendizaje colaborativo asistido por computadora). La característica de esta arquitectura es que crea salones virtuales y permite la interacción entre estudiantes y profesores de manera colaborativa. El paradigma en que se trabaja es el diferente lugar-mismo tiempo, el cual consiste en que los alumnos y/o profesores (pueden estar separados geográficamente) entablan una comunicación de manera verbal y visual con el uso de videoconferencias a través de infraestructura IP. Pero para lograr lo anterior, se debe de garantizar que el tráfico de voz y video que fluya entre los salones de enseñanza colaborativa sea de manera eficaz, es decir, la información auditiva y visual debe de ser suficientemente clara para poder transmitir el conocimiento. Tráfico como voz y video en tiempo real son particularmente sensibles al retardo, y el servicio proveído del mejor esfuerzo por el protocolo IP (Internet Protocol) no es adecuado para este tipo de tráfico [Com97]. Este tipo de servicio trata de manera equitativa cada flujo de datos, es decir, no ofrece un trato preferencial a tráfico que realmente lo necesite como la voz y el video. Para dar servicio a datos interactivos y en tiempo real, se debe priorizar el tráfico o dedicar recursos suficientes a éste, por lo tanto, las redes actuales requieren un cierto grado de Calidad de Servicio (QoS) para ser efectivas. QoS es definida como la capacidad de una red para proveer un mejor servicio a un tráfico de red seleccionado sobre el resto [Dar99]. QoS es un requerimiento clave para las redes de la actualidad. QoS provee una garantía de servicio prenegociada y permite al administrador de red priorizar tráfico dentro de una red basados en las políticas corporativas. Transmisiones libres de errores y con un tiempo de respuesta razonable son requerimientos de servicios fundamentales para Internet, especialmente si se trata de tráfico en tiempo real [Kay97]. 1

12 El uso de Internet para aplicaciones de voz interactiva y video en tiempo real requiere niveles significativos de QoS. Esto significa que la voz y video requieren un retardo mínimo. La transmisión de voz y video con una gran variación de retardo (jitter [Mon01]), poco ancho de banda y un porcentaje alto de pérdidas de paquetes puede resultar en una comunicación inaceptable. Así como resulta imprescindible una buena QoS sobre un enlace para el tráfico multimedia, hoy en día también es necesario proteger la información que viaja por Internet ya que es una red pública y existen muchas maneras de poder corromperla. El protocolo IP por sí mismo no garantiza seguridad de los datos sobre Internet, los paquetes pueden ser vistos y/o modificados en su ruta hacia el destino y se puede cambiar fácilmente la dirección IP o MAC de un paquete entre otros muchos ataques. Las Redes Privadas Virtuales (VPNs) basadas en el conjunto de protocolos estándares IPSec (Seguridad IP por sus siglas en inglés) son una tecnología que sin distinción alguna integra aspectos de seguridad al protocolo IP como lo son: la autentificación del origen, la integridad de los paquetes, la confidencialidad y el no repudio de los datos transmitidos [Nag99]. IPSec funciona en la versión actual de IP (IPv4) como también lo hace en su siguiente generación (IPv6). IPSec protege cualquier información encapsulada en cualquier protocolo que trabaje arriba de la capa 3 del modelo OSI (Open System Interconnection) donde reside IP, tal como TCP y UDP. En el caso particular de una videoconferencia, se utiliza el protocolo de transporte UDP ya que resulta idóneo para la distribución de información que cambia cada pocos segundos como la voz y el video [Was93]. 1.3 Planteamiento del problema Las tecnologías convencionales de transferencia de datos sobre Internet no proporcionan niveles de seguridad mínimos. Cuando éstas se implantan con mecanismos específicos de seguridad surge la necesidad de ofrecer QoS en la transmisión, especialmente para tráfico multimedia ya que los procesos de encriptación, autentificación y encapsulamiento retardan la transmisión del paquete por necesitar un mayor tiempo de procesamiento. Es por eso que se investigará y se propondrá un modelo de seguridad y QoS que permita priorizar tráfico de voz y video que tome como base los mecanismos de las VPNs IPSec y las técnicas más efectivas de QoS (figura 1.1) para que de esta manera, se pueda transmitir tráfico multimedia de manera segura y con QoS en espacios virtuales colaborativos. 1.4 Objetivo general y específico Objetivo General: Diseño e implementación de un modelo que integre aspectos de seguridad y QoS basado en la tecnología de VPN IPSec junto con herramientas de priorización de tráfico que permitan la transferencia de voz y video en tiempo real de manera segura y con QoS para 2

13 Figura1.1 Bloques elementales del modelo. enlaces seriales WAN IP sitio a sitio dentro de una arquitectura de red para establecer espacios virtuales colaborativos. Objetivos específicos: Investigar y redactar un estado del arte que involucre los aspectos principales de seguridad y QoS necesarios para la transmisión de tráfico multimedia, para que de esta manera, se pueda diseñar y crear un modelo. Implementar el modelo de seguridad y QoS en una VPN IPSec entre distintos ruteadores sobre enlaces WAN donde se puedan conectar dos nodos capaces de mantener una videoconferencia mediante las herramientas de QoS. Evaluar el nivel de desempeño que se obtiene al incluir en los enlaces una VPN IPSec con herramientas de QoS. Extraer conclusiones que colaboren a mejorar la QoS al tráfico de voz y video de forma segura. 1.5 Alcances y limitaciones Esta tesis tiene como alcance la comprensión, análisis y evaluación del desempeño de las VPNs IPSec en redes WAN IP y las herramientas de QoS para poder transmitir de forma segura y de manera prioritaria voz y video de una videoconferencia contemplando soluciones a nivel de capa 3 del modelo OSI. Las limitaciones radican en las características de la infraestructura del laboratorio de redes para el cumplimiento de los objetivos. Específicamente se necesitan ruteadores de mediano desempeño (ejem. ruteadores Cisco de la familia 2600) o alto desempeño (ejem. familia 7600). También se requieren sistemas operativos específicos para los ruteadores (IOS) que implementen VPNs IPSec y técnicas de QoS. 1.6 Organización de la tesis La organización de la tesis se detalla a continuación. 3

14 Capítulo 2 Se muestra una introducción a temas específicos relacionados a las VPNs y QoS. Se explican las tecnologías VPN, el conjunto de protocolos IPSec, funciones de QoS, niveles de servicio de QoS y los trabajos relacionados. Capítulo 3 En este capítulo se explica el modelo propuesto llamado GESEQ de seguridad y QoS que permite la transferencia de información de manera segura y con QoS. Capítulo 4 Este capítulo muestra la implementación del modelo GESEQ para poder transmitir voz y video generado por una videoconferencia IP en tiempo real. Además, se muestran las pruebas realizadas y los resultados obtenidos al implantar el modelo propuesto. Capítulo 5 El capítulo muestra las conclusiones extraídas y los trabajos futuros. Apéndice A Muestra los comandos necesarios para establecer en los ruteadores una VPN IPSec junto con las herramientas de QoS. Apéndice B Este apéndice muestra los comandos necesarios para verificar el buen funcionamiento de los ruteadores al implantar la VPN y QoS. Apéndice C Muestra la metodología seguida para obtener los valores numéricos de los parámetros de QoS. Apéndice D Muestra el glosario de términos. 4

15 CAPÍTULO 2 ESTADO DEL ARTE DE LAS REDES PRIVADAS VIRTUALES, PROTOCOLOS IPSEC Y CALIDAD DE SERVICIO 2.1 Introducción En este capítulo se explica y analiza la tecnología de las Redes Privadas Virtuales, el conjunto de protocolos IPSec, los aspectos principales que se involucran en la Calidad de Servicio y los trabajos relacionados. 2.2 Redes Privadas Virtuales (VPNs) Internet se ha convertido en un medio de comunicación masivo y su crecimiento ha sido de orden exponencial. Millones de enlaces sirven para transferir millones de transacciones, éstas pueden ser desde simplemente leer un correo electrónico hasta el manejo de información bancaria. Para las transacciones que involucren manejo de información de carácter confidencial, Internet no provee los suficientes recursos para poder proveer los cuatro atributos básicos de la seguridad que son: 1) Confidencialidad. Evitar que personas no autorizadas tengan acceso a la información. 2) Autentificación. Identificar la identidad del usuario o entidad de forma apropiada. 3) Integridad. Verificar que la información transmitida por el emisor llegue íntegra y sin ninguna modificación al destinatario. 4) No repudio. Ni el emisor ni el receptor de un mensaje deben ser capaces de negar la transmisión. Para abordar estos problemas de seguridad en Internet, surge la tecnología de las Redes Privadas Virtuales (VPN por sus siglas en inglés). Las VPNs se basan en el uso de algoritmos de encriptación y protocolos de encapsulación para poder convertir la información original (texto plano) a símbolos ininteligibles a usuarios no autorizados, además de protocolos de autentificación. Para esto se basa en la familia de protocolos IPSec que proporcionan servicios a nivel de capa 3 del modelo OSI. Una Red Privada Virtual es una red capaz de comunicar de manera segura datos sobre la infraestructura pública de Internet. Las VPNs cubren la necesidad del uso de costosas líneas dedicadas y sus respectivos costos de llamada entrante para el caso de usuarios remotos y el prescindir de enlaces WAN dedicados (ejem. Frame-Relay o ATM) de alto costo para comunicar sitios remotos. 5

16 Las compañías interesadas en instalar VPNs tienen un número considerable de opciones a su disposición. Pueden elegir entre software para los ruteadores, software para cortafuegos (firewalls) con parches de encriptación, sistemas de software VPN o hardware dedicado para VPNs. Otras opciones involucran algoritmos de encriptación (DES/3DES, AES, RSA, RC4, RC5, IDEA entre otros), algoritmos para el intercambio de claves (IKE, SKIP), algoritmos de hash (SHA, MD5 y RIPEM) así como mecanismos para certificar usuarios de la VPN (Autoridades Certificadoras). Cuando se establece una conexión a través de una VPN, se dice que establecemos un túnel por el cual viaja la información segura. Esta conexión no es física sino lógica (figura 2.1). Figura 2.1 Creación de la conexión lógica (túnel). Los tres aspectos principales involucrados para establecer un túnel son: la encapsulación de los datos, que es la parte encargada de acomodar los paquetes IP de capa 3 en paquetes dentro de otro formato, el segundo aspecto es la autentificación, que involucra toda una serie de algoritmos para poder verificar la autenticidad del origen que manda la información y el tercero es la encriptación que es donde el dato mismo es codificado usando diferentes algoritmos para poder garantizar la confidencialidad de la información mientras viaja a su destino. Las VPNs se clasifican dependiendo de la forma en cómo se accede a ella y/o en la forma en cómo se encuentra implantado IPSec en los dispositivos de red (explicada en sección 2.3). Existen 3 tipos de VPNs en base a su forma de acceso [Cis00]: VPN de acceso Proporcionan acceso remoto a la Intranet de una empresa sobre una infraestructura compartida (como Internet). Las VPN de acceso utilizan diferentes tecnologías pero las 6

17 dos más usadas son ADSL y cable-modem, para que de esta manera se conecten de forma segura usuarios móviles, teletrabajadores y pequeñas sucursales. La figura 2.2 muestra un ejemplo de una VPN de acceso. Figura 2.2 Ejemplo de VPN de acceso. Al cliente remoto se le otorga una dirección IP por su ISP (Proveedor de Servicios de Internet). Este cliente remoto se puede conectar al servidor VPN y desde ese momento se le concede acceso a la red privada detrás del servidor VPN. El cliente remoto puede usar los servicios de red disponibles en la red privada tal y como si estuviera físicamente del otro lado de la conexión siempre y cuando tenga los permisos necesarios VPN de intranet Enlaza sitos remotos pertenecientes a un mismo sistema autónomo sobre una infraestructura compartida usando Redes de Área Amplia (WAN). Las VPN de intranet se diferencian de las VPN de extranet en que permiten el acceso sólo a los usuarios pertenecientes al mismo sistema autónomo. La figura 2.3 muestra un ejemplo de esta VPN enlazando a distintas sucursales o sitios remotos. Figura 2.3 VPN de Intranet. 7

18 2.2.3 VPN de extranet Enlazan sitios remotos que pertenecen a diferentes sistemas autónomos. Las VPN de extranet pueden conectar por ejemplo a clientes con sus respectivos proveedores para que puedan compartir cierto tipo de información. 2.3 Clasificación basada en la implementación de IPSec Las VPNs basadas en IPSec pueden ser implementadas y configuradas en los nodos transmisor y receptor así como también en pasarelas (gateways), ruteadores u otros dispositivos VPN (ejem. pixes y hubs VPN). El criterio de selección depende de las necesidades del administrador de red. Existen ventajas y desventajas de implementar IPSec en ruteadores o en los nodos, ya que cada configuración se enfoca a determinados problemas. Por ejemplo, la implementación en los nodos resulta más útil cuando la seguridad se requiere desde el nodo origen hasta el nodo destino. Sin embargo, en casos cuando la seguridad se desee entre algunos segmentos de una red y de manera más rápida, la implementación sobre los ruteadores resulta mejor Implementación en nodos Las ventajas principales de implementar IPSec en un nodo son las siguientes: - Provee seguridad en sistemas terminal a terminal (end to end). - Se pueden implementar los dos modos de seguridad de IPSec (transporte y túnel explicados más adelante). - Solamente se requiere software dedicado. Se pueden clasificar en dos categorías dependiendo de dónde radique la implementación: en el sistema operativo y entre capa de enlace de datos y red Implementación integrada dentro del Sistema Operativo IPSec puede ser implementado como parte de la capa de red (figura 2.4). Capa de Aplicación Capa de Transporte Capa de Red + IPSec Capa de Enlace de Datos Figura 2.4 IPSec dentro de la capa de Red. En esta implementación, IPSec necesita los servicios de la capa de red para construir los encabezados IP. También existen ventajas de integrar IPSec con el Sistema Operativo: - Como se encuentra integrado en la capa de Red, puede sacar provecho de los servicios de red como la fragmentación y sockets. 8

19 - Es más fácil de proveer los servicios de seguridad (como transacciones por la Web) - Los dos modos IPSec son soportados (transporte y túnel) Implementación entre las capas de enlace de datos y la capa de red A esta implementación también se le conoce como Bump in the Stack (BITS). Surge por la necesidad de cubrir la principal desventaja de la implementación en el sistema operativo que es la de usar únicamente las características proveídas por los fabricantes de ese sistema operativo. Esto puede limitar sus capacidades de proveer servicios avanzados o a la medida. En este tipo de implementación, IPSec es visto como una capa independiente entre la capa de Red y de Enlace de Datos (figura 2.5). Capa de Aplicación Capa de Transporte Capa de Red Capa IPSec Capa de enlace de datos Figura 2.5 IPSec como capa independiente. La mayor desventaja de esta implementación es que existe una duplicación de tareas ya que requiere implementar algunas de las rutinas pertenecientes a la capa de red como por ejemplo la fragmentación de los paquetes IP. La mayor ventaja es que provee una solución más completa al no ser dependiente de un sistema operativo Implementación en ruteadores y/o equipos especializados VPN Este tipo de implementación tiene la característica de que la seguridad se implanta en ciertos segmentos de red seleccionados por el administrador de red. Otras características principales son: - Capacidad de proveer seguridad a paquetes que fluyen entre dos o más segmentos de red. - Capacidad de autentificar y autorizar el acceso a usuarios que entran a la red privada. Muchas organizaciones hacen uso de esto cuando sus empleados acceden a la red remotamente. - Tener hardware especializado en servicios de seguridad y no saturar al nodo con tareas que demandan demasiados recursos computacionales. Al igual que la implementación en los nodos, existen dos tipos de implementaciones para las VPNs en ruteadores: Implementación nativa y Bump in the Wire (BITW). 9

20 Implementación nativa En ésta, IPSec está integrado dentro del software del ruteador o dispositivo de capa de red Bump in the Wire (BITW) IPSec es implementado en un dispositivo que se conecta a la interfaz física del ruteador. Este dispositivo no ejecuta ningún algoritmo de ruteo sino solamente es usado para proveer seguridad a los paquetes que entran o salen. 2.4 IPSec (Seguridad IP) Para ofrecer seguridad a los paquetes IP dentro de una red pública se creó el conjunto de protocolos IPSec. Existen VPNs que basan su funcionamiento en los protocolos IPSec, pero también existen VPNs basadas en MPLS (Multiprotocol Label Switching). Para nuestro caso nos enfocaremos en las VPNs basadas en IPSec ya que las VPN MPLS no son suficientemente seguras en la parte del enlace entre un cliente y su proveedor, ya que en ese enlace no protegen la información mediante encriptación ni ocultamiento de rutas. IPSec fue diseñado por la IETF como la arquitectura de seguridad para el Protocolo de Internet (IP). IPSec define los formatos de paquetes IP e infraestructura relacionada para proveer autentificación, integridad, confidencialidad, no repudio y anti-repetición de paquetes para la comunicación. IPSec comúnmente se implanta en la capa de red del modelo OSI, especialmente para las VPNs de intranet y extranet. La ventaja principal de proveer seguridad en la capa 3 es que toda información de capa superior es protegida sin distinción alguna y de forma transparente al usuario (figura 2.6). HTTP FTP SMTP TCP / UDP IP / IPSec Figura 2.6 Servicios IPSec en capa 3. IPSec se basa en dos protocolos de encapsulamiento que son: ESP (Encapsulating Security Payload) y AH (Authentication Header). AH provee autentificación del origen de los datos, integridad y protección contra repetición de mensajes. ESP también proporciona lo anterior, pero adicionalmente provee confidencialidad con el uso de algoritmos de encriptación ESP Este protocolo provee servicios de autentificación, confidencialidad, integridad y también protección contra paquetes repetidos en la VPN. Esto lo logra insertando un nuevo 10

21 encabezado ESP (después del encabezado IP pero antes de la carga de datos) y un terminador de mensaje (trailer). Un paquete ESP es identificado con el número 50 dentro del encabezado IP (en el campo de protocolo). El encabezado ESP no es encriptado pero parte del terminador y la carga de datos sí lo son (figura 2.7). La parte del paquete que es autentificada incluye: al encabezado ESP, la carga de datos y parte del terminador. Figura 2.7 Paquete IP usando ESP. Dentro del encabezado ESP se tiene el SPI (Security Parameter Index) que es un índice que apunta a las SA (Security Association), la cual define la forma de proteger el tráfico, qué trafico se va a proteger y con quién se va a proteger. Otro dato que se encuentra en el encabezado es el número de secuencia del paquete. Este número de secuencia sirve para proteger contra ataques de repetición de los paquetes. En el terminador ESP se tienen los datos de la autentificación (un hash), longitud de relleno (si es que tiene) y la información del protocolo del siguiente paquete que viene (como por ejemplo TCP o UDP). Cuando el destinatario recibe un paquete IPSec recibe en texto plano (no encriptado): la SA, el número de secuencia del paquete y el hash. Esto se debe al proceso mismo de recepción de los paquetes que es de la siguiente manera [Mas02]: 1. Verificación del número de secuencia. 2. Verificación de la información de integridad. 3. Desencriptar la información. Antes de desencriptar un paquete, que es un proceso que consume muchos recursos computacionales, se debe verificar que el paquete no esté atrasado con respecto a paquetes previos recibidos y que no sea repetido. Para delimitar el tiempo de expiración se utiliza una ventana deslizante que va avanzando a medida que se van recibiendo paquetes. Si se comprueba que el paquete sigue siendo válido se procede a verificar el hash y demostrar que la información no fue modificada por un usuario no válido. Por último se procede a desencriptar y procesar la información por medio de la llave negociada por el protocolo IKE. No tiene sentido en el proceso de recepción de paquetes desencriptar primero la información porque puede que un intruso la haya modificado en su transcurso hacia el destinatario (provocando un hash incorrecto), lo que forzaría a descartar el paquete pero a expensas del uso de recursos de tiempo y procesamiento a un paquete que no fue válido. Lo mismo sucede si el paquete fuese recibido fuera de orden o duplicado. 11

22 2.4.2 AH AH provee servicios de integridad de los datos, autentificación del origen y protección contra repetición de mensajes; pero no provee confidencialidad de los datos (encriptación). AH es más simple y solamente añade un encabezado pero no un terminador al mensaje original. Todos los campos van en texto plano (figura 2.8) Figura 2.8 Paquete IP usando AH. AH resulta mejor cuando no se requiere mecanismos sofisticados de protección. El administrador de red debe seleccionar los datos críticos a proteger para evitar el consumo de recursos de procesamiento innecesarios. El encabezado AH contiene: el SPI, el número de secuencia y el hash Campos de encabezados AH y ESP - Número de secuencia: de longitud de 32 bits y se usa cuando se quiere enviar un paquete. Se incrementa en 1 cada vez que se envía un paquete que se protege. El destinatario lo utiliza para detectar ataques contra mensajes repetidos y para detectar si un paquete no ha sido enviado tarde. - Número de secuencia de desbordamiento: se utiliza para detectar que el campo de 32 bits del número de secuencia se ha desbordado. La política de seguridad determina si se siguen procesando más paquetes cuando existe el desbordamiento. - Tiempo de vida: es el tiempo de vida de la SA (detallado más adelante). Se puede configurar al tiempo de vida en función de los bytes enviados/recibidos o en segundos transcurridos. - Modo: especifica qué modo se utiliza (transporte o túnel). - Destinatario del túnel: Es la dirección IP del nodo o dispositivo con el que se creó el túnel IPSec. - Parámetros PMTU: mantiene la información necesaria para poder fragmentar correctamente los paquetes. 12

23 2.4.4 Arquitectura IPSec IPSec está conformado por dos modos de operación: modo transporte y modo túnel [Tan03]. La diferencia primordial radica en el área de cobertura de la encapsulación (figura 2.9). Encabezado IP Encabezado TCP datos a) Encabezado IP Encabezado IPSec Encabezado TCP datos b) Encabezado IP Encabezado IPSec Encabezado IP Encabezado TCP datos Figura 2.9 Paquetes IP encapsulados en dos modos: a) modo transporte. b) modo túnel Modo Transporte Este modo es usado para proteger protocolos de capa más alta dentro del modelo OSI. Se inserta un encabezado entre el encabezado IP y el encabezado del protocolo de capa superior (figura 2.9a). En modo transporte, AH y ESP protegen el encabezado de capa de transporte. Ambos interceptan los paquetes que fluyen de la capa de transporte hacia la capa de red y les proveen las políticas de seguridad previamente establecidas. Cuando se configuran parámetros de seguridad en capa de transporte, los paquetes de capa 4 fluyen al componente IPSec. Este componente está implementado como parte de la capa de red (cuando se tiene IPSec implementado en el Sistema Operativo). Así mismo, el componente IPSec agrega los encabezados correspondientes AH o ESP e invoca a las rutinas de capa de red que agregan sus respectivos encabezados IP. El modo transporte puede ser usado cuando solamente la comunicación es de nodo a nodo. Esto se debe a que en modo transporte solamente se tiene un encabezado IP, y por lo tanto, solamente una dirección destino sin dispositivos intermedios Modo Túnel En este modo todo el paquete IP se protege. Todo el paquete es encapsulado en otro paquete IP y un encabezado IPSec es insertado entre ambos encabezados IP (Figura 2.9b). En este modo, los nodos origen y destino son especificados en el encabezado IP interior y la dirección IP de las interfaces de los ruteadores (o dispositivos intermedios) son incrustadas en el encabezado IP exterior. IPSec en modo túnel es normalmente usado cuando el destinatario y el creador del paquete IP no son los creadores del túnel IPSec. 13

24 El encabezado interno es construido por los nodos emisor y receptor y el encabezado externo es construido por los dispositivos que crean el túnel IPSec Asociaciones de Seguridad (SA) Para que IPSec pueda encapsular y desencapsular los paquetes, es necesario tener un método para asociar servicios de seguridad y una llave para encriptar el tráfico. Además, es necesario un igual (peer) remoto con el cual se va a intercambiar tráfico IPSec. En otras palabras, se necesita saber cómo se va a proteger el tráfico, qué tráfico se va a proteger y con quién se va a llevar esta protección. A este conjunto de normas se le llama Asociación de Seguridad de IPSec (SA). Cabe señalar que las SAs IPSec son unidireccionales, por lo tanto, en una comunicación full-duplex al menos se deben de tener un par de SAs, una que especifique los requerimientos de seguridad para el tráfico de entrada y la segunda para los requerimientos del tráfico de salida. En la comunicación entre dos iguales IPSec se debe especificar el tiempo de vida de cada SA. Para los ruteadores Cisco el tiempo de vida se puede delimitar dependiendo de la cantidad de bytes enviados/recibidos o por cierta cantidad de segundos. Este tiempo de vida de las SAs es generalmente negociado entre los iguales IPSec por el protocolo administrador de llave (IKE). De igual modo este tiempo es de suma importancia porque es el tiempo que hace válida una llave de encriptación, y expirado el tiempo la llave pierde su validez. Mientras mayor sea el tiempo de validez, mayor será la posibilidad de descifrarla. Es por esto que se recomienda que el tiempo no sea grande. Cada SA consta de valores tales como la dirección destino, el índice SPI, las transformaciones IPSec utilizadas para esa sesión, las claves de seguridad y los atributos adicionales como el tiempo de vida de IPSec. Las SAs de cada igual tienen valores SPI únicos que serán registrados en las bases de datos de parámetros de seguridad de los dispositivos. A continuación se muestra un ejemplo de una SA de IPSec (tabla 2.1). Dirección destino SPI 7A390BC1 Transformación IPSec ESP, HMAC-SHA Clave C23 Tiempo de vida Un día, segundos. Tabla 2.1 Ejemplo de una SA. En cualquier implementación IPSec, siempre se construye una base de datos de las SAs (SADB, Security Associations Data Base). Esta base de datos almacena las SAs que utiliza IPSec para proteger los paquetes. Cabe señalar que las SAs de IPSec son 14

25 dependientes del protocolo. Si por ejemplo dos nodos se comunican utilizando AH y ESP, entonces cada nodo construye una SA para paquetes encapsulados con AH y otra para paquetes encapsulados con ESP. Existe un parámetro único que sirve para identificar a cada SA. Este es el SPI (Security Parameter Index) y consta de 32 bits. El SPI es colocado en cada paquete que es enviado. El destinatario usa este valor para indexar o apuntar a la SADB y de esta manera recopilar la información de los parámetros de seguridad. La arquitectura IPSec especifica que cada par de <spi, dirección destino> en el paquete debe identificar una única y exclusiva SA. No debe existir duplicidad porque se generarían errores en el momento de desencriptar y en la verificación del hash. El SPI puede ser vuelto a usar una vez que la SA válida haya expirado. El SPI es incrustado en cualquiera de los encabezados AH y ESP. El receptor usa la combinación <spi, dirección destino, protocolo> para identificar la SA. La administración de las SAs puede ser manual o a través de un protocolo de administración de llave estándar como lo es IKE. Si se usa el proceso manual es más difícil de implementar ya que se tiene que especificar paso a paso el almacenamiento del SPI y la negociación de los parámetros de seguridad. Otra desventaja es que la SA nunca expira al menos que se borre manualmente. Al no expirar, se brinda más oportunidad de descifrar las llaves de encriptación a intrusos. Es por eso que es mejor administrar las SAs a través de IKE. Este último es llamado por el kernel IPSec cuando la política de seguridad dictamina que la conexión debe de ser protegida y no puede encontrar una SA en la SADB. Una vez que la SA ha sido creada en la SADB, los paquetes empiezan a ser protegidos. IPSec por si solo no tiene la habilidad de regenerar las llaves que utiliza para la protección. Para resolver ese problema lo que hace es borrar la SA expirada y negocia una nueva SA. Cuando haya sido borrada la SA, el SPI que estuvo en uso puede ser vuelto a usar. Para evitar la suspensión de la comunicación cuando se borra una SA, lo que hace IKE es negociar otra antes de que la actual expire Base de Datos de Políticas de Seguridad (SPD) Las políticas de seguridad definen las características de una comunicación segura entre dos entidades. Define qué protocolos se van a utilizar y en qué modo van a operar. También definen cómo los paquetes IP son tratados [Yua01]. Las políticas de IPSec son resguardadas en una base de datos para su protección dentro del ruteador o del dispositivo de seguridad. A esta base de datos se le llama SPD (Security Policy Database). Para cada paquete que entre o salga, se debe consultar la SPD para ver si se aplican las políticas de seguridad requeridas. Una entrada en la SPD produce alguna de las tres posibles acciones: - Descartar: no dejar entrar o salir el paquete. - Ignorarlo: no aplicar ningún mecanismo de seguridad y dejar pasar el paquete sin verificar sus parámetros de seguridad. 15

26 - Aplicar: Se deben aplicar servicios de seguridad en los paquetes de salida y se requiere que los paquetes de entrada vengan protegidos por alguna política para poder dejarlos entrar. Las entradas de la SPD que requieran una aplicación de una política de seguridad, deberán de apuntar a alguna SA o a un conjunto de SAs para que se protejan a los paquetes IP Protocolo de Intercambio de Llave de Internet (IKE) IPSec por si solo no puede proveer seguridad, necesita de otros mecanismos para implementarse. El más común es el protocolo de Intercambio de Llave de Internet (IKE: Internet Keying Exchange). Los servicios que IPSec provee requieren de llaves compartidas para autentificar y encriptar la información. Además es necesario un método estándar para autentificar dinámicamente parejas (peers) IPSec, negociar servicios de seguridad y para generar llaves compartidas. Todo lo anterior es cubierto por IKE. Cuando se requiere enviar un paquete, éste produce una búsqueda en la SPD la cual apunta hacia una o más SAs IPSec. Si no existe una SA que aplicar al paquete, es necesario crear una nueva. Este proceso de creación es responsabilidad de IKE. El propósito principal de IKE es establecer parámetros de seguridad compartidos y llaves de seguridad (en otras palabras crear y mantener SAs IPSec) entre los iguales. El protocolo IKE es un híbrido de la unión de los protocolos Oakley y SKEME. Opera dentro del marco de referencia ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP define el formato de paquete, el tiempo de retransmisión y los requerimientos de construcción del paquete. No se debe confundir que IKE es utilizado exclusivamente para IPSec. IKE es un protocolo de propósito general que puede ser utilizado para una variedad de necesidades que se relacionen con una negociación y establecimiento de políticas y llaves compartidas. Otros ejemplos conocidos son para SNMP y OSPFv2. Para diferenciar sus diferentes usos se utiliza el término DOI (Domain of Interpretation). Existe un DOI para IPSec que es la RFC2407 que especifica cómo IKE negocia SAs para IPSec. Los iguales en una sesión IPSec deben autentificarse a sí mismos ante el otro antes de que el IKE pueda proceder. La autentificación de iguales ocurre durante el intercambio en modo principal durante la fase uno del IKE. El protocolo IKE es muy flexible y soporta múltiples métodos de autentificación como parte del intercambio de la fase uno. Las dos entidades deben acordar un protocolo común de autentificación a través de un proceso de negociación. Las dos fases de IKE se explican a continuación. 16

27 Fase 1 de IKE El propósito de la fase uno del IKE es autentificar a los iguales IPSec e instalar un canal seguro entre los iguales para posibilitar intercambios IKE. La fase uno del IKE realiza las siguientes funciones: - Autentifica y protege las identidades de los iguales IPSec. - Negocia una norma SA de IKE (que es diferente a una SA de IPSec) coincidente entre iguales para proteger el intercambio IKE. - Realiza un intercambio Diffie Hellman autentificado con el resultado final de tener claves secretas compartidas coincidentes. - Instala un túnel seguro para negociar los parámetros de la fase dos del IKE Fase 2 de IKE El propósito de la fase dos del IKE es negociar las SA de IPSec para instalar el túnel seguro IPSec. La fase dos del IKE realiza las siguientes funciones: - Negocia parámetros de las SA de IPSec de manera segura a través de una SA de IKE existente. - Establece las SAs de IPSec. - Renegocia periódicamente las SA de IPSec para garantizar la seguridad. En la fase dos, el IKE negocia las asociaciones de seguridad IPSec y genera el material de clave necesario para proteger el tráfico deseado. El emisor ofrece uno o más conjuntos de transformación que se usan para especificar una combinación permitida de transformaciones con sus respectivas configuraciones. El emisor también indica el flujo de datos a los que el conjunto de transformaciones tiene que ser aplicado (AH o ESP). El emisor debe ofrecer por lo menos un conjunto de transformación. El receptor envía entonces de vuelta un solo conjunto de transformación que indica las transformaciones y algoritmos acordados mutuamente para esta sesión IPSec en particular. En la fase dos se puede efectuar un nuevo acuerdo Diffie-Helman, o las claves pueden ser derivadas de la llave secreta compartida de la fase uno. Después de mencionar los aspectos más relevantes que intervienen en la protección de las VPNs IPSec, se muestra a continuación la filosofía de QoS para poder tratar preferencialmente el tráfico que lo necesite. 2.5 Calidad de Servicio Las aplicaciones computacionales que requieren el transporte de información multimedia se han convertido en un fenómeno industrial de suma importancia. Multimedia se refiere a la combinación de múltiples medios como por ejemplo: voz, video y datos. Pero para nuestro caso nos referiremos a multimedia a información de voz y video. Los fabricantes de PCs y dispositivos portátiles hoy en día ofrecen plataformas para el soporte de esta información de manera poco aceptable. Esto se debe a muchos factores, 17

28 desde el dispositivo que envía y recibe la información durante toda la ruta de transporte, pasando por los factores de la red (ancho de banda y priorización de tráfico) hasta el software de aplicación que es utilizado. Desafortunadamente los objetos multimedia ocupan un gran volumen de información. El video en particular puede alcanzar grandes volúmenes en términos de bytes, además de que éstos son sensibles al retardo. Las LANs y WANs que fueron diseñadas para el tráfico de datos, no son adecuadas para el transporte de información multimedia debido a que sufren retardos, pérdidas de paquetes y congestionamientos en su ruta al destinatario. Para el caso particular de los ambientes de enseñanza virtual colaborativa es de suma importancia poder dar un buen servicio a la información multimedia que viaja en el medio. Estos sistemas se basan en la transmisión del conocimiento de forma interactiva, en donde el profesor transmite de forma oral y/o escrita y en video en tiempo real sus conocimientos al alumnado. Por esta razón, es importante proveer una buena QoS en los enlaces remotos, donde los paquetes de voz y video no sufran retardos ni pérdidas considerables evitando así una deficiente calidad de la clase remota. Los creadores de Internet no pensaron que sería un medio masivo de comunicación, pero sí vieron la necesidad de poder proveer QoS al manejar diferentes flujos de datos. Es por eso que se implementó el byte ToS (Type of Service) en el encabezado IP como parte de una especificación inicial. Hasta finales de los años 80 s Internet era de uso limitado, por eso el byte ToS no era necesariamente importante y casi todas las aplicaciones IP lo ignoraban, también los ruteadores no lo usaban como parte de sus funciones de enrutamiento y transporte. Estos tenían configurado el mecanismo de encolamiento FIFO (First In First Out) por lo que el primer paquete que llegaba era el primer paquete que salía. No había una forma de diferenciar o priorizar el tráfico y el encolamiento FIFO causaba pérdidas de paquetes cuando había congestionamiento en el ruteador [Veg01]. A medida que se incrementó el uso de Internet nuevos algoritmos fueron usados para evitar las pérdidas de paquetes causadas por su mal encolamiento. Además, el uso del byte ToS del paquete IP se ha ido incrementando. Este byte es el mecanismo primario de QoS que sirve para diferenciar tráfico. La IETF ha creado un grupo de trabajo llamado Grupo de Trabajo de Servicios Diferenciados (Differentiated Services Working Group) el cual está tratando de estandarizar su uso. Para soportar aplicaciones de voz, video y datos con ciertos requerimientos en una red IP, el sistema en la misma red necesita diferenciar y dar servicio a los diferentes tipos de tráfico basado en sus necesidades. Con el servicio proveído del mejor esfuerzo no se puede diferenciar el tráfico entre los miles de flujos que existen en Internet. Por lo tanto, no se pueden separar ni garantizar los diferentes flujos de tráfico que puedan existir en la red IP. Debido a esta carencia, las redes IP no son un medio que garantice una buena transmisión de datos que requieran recursos de red. Este tipo de servicio del mejor esfuerzo es el más expandido y más común en las redes IP, por lo tanto, surgió la necesidad de mejorar el servicio convencional. 18