UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA"

Transcripción

1 UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERIAS CARRERA DE INGENIERIA DE SISTEMAS TEMA: Diseño de un canal Privado de comunicación entre dos puntos utilizando la infraestructura de Internet y Análisis del Canal VPN de la Universidad Politécnica Salesiana Tesis previa a la obtención del Título de: Ingeniero de Sistemas AUTOR: Sandra Daniela Fernández Muñoz DIRECTOR: Ing. Germán Parra G. Cuenca, Febrero 2007

2 Diseño de un canal privado de comunicación entre dos puntos utilizando la infraestructura de internet y análisis del canal VPN de la Universidad Politécnica Salesiana ÍNDICE. Capítulo 1. INTRODUCCIÓN: Que es una Vpn? Definición de VPN Antecedentes y Tecnologías VPN Escenarios VPN Requerimientos básicos de una VPN Servicios de VPN Servicio VPN de enrutador a enrutador Servicio VPN de cliente a enrutador Servicio Servidor de acceso a la red de cliente a VPN Servicios de Redes privadas virtuales basadas en Internet Acceso remoto a través de Internet Conectar redes a través de Internet Vínculos WAN dedicados Vínculos WAN de acceso telefónico Servicios de Redes privadas virtuales basadas en Intranet Acceso remoto a través de una Intranet Conectar redes a través de una Intranet Capítulo 2. DESCRIPCIÓN DE REDES VIRTUALES PRIVADAS Componentes de las VPN Propiedades de las conexiones VPN Encapsulación Autenticación Cifrado de datos Intercambio de Claves de Internet (IKE, Internet Key Exchange) Fase l: Negociación de modo principal Fase ll: Negociación de modo rápido Asociación de Seguridad (SA) Duración de SA Acción de Filtrado Métodos de seguridad de IPSec Métodos de seguridad predefinidos Métodos de seguridad personalizados Tabla comparativa de los métodos de seguridad Autenticación de acceso a la red y certificados Información General Requisitos mínimos de los certificados Cerificados Digitales x Descripción de la autenticación de 802.1x Requisitos de los certificados de cliente Requisitos de los certificados del servidor Funciones de las Autoridades de Certificación Autenticación de equipos en IPSec Cómo se utilizan los certificados en los servidores VPN?

3 2.4.6 Métodos de inscripción de certificados y pertenencia a dominios Inscripción de certificados que son miembros de un dominio Inscripción de certificados que NO son miembros de un dominio Servicios de inscripción en la Web de la entidad emisora de certificados Capítulo 3. PROTOCOLOS Y SEGURIDAD Protocolos Protocolo de Túnel Punto a Punto (PPTP) Encapsulación Cifrado Protocolo de Túnel capa 2 (L2TP) Encapsulación Cifrado Envío de Capa 2 (L2F) Protocolo de Seguridad IP (IPSEC) Consideraciones de diseño VPN de acceso remoto Elegir entre conexiones L2TP/IPSec o basadas en PPTP Instalar Certificados Configuración de filtros de paquete del servidor de seguridad Crear una directiva de acceso remoto para las conexiones VPN de acceso remoto Usar servidor IAS Usar Administrador de Conexiones Seguridad Autenticación Autorización Cómo funciona la seguridad en la conexión La seguridad una vez realizada la conexión Como se da el almacenamiento en caché de credenciales Cifrado de Datos Filtrado de paquetes Filtros de paquetes para PPTP Filtros en la Interfaz de la red perimetral Filtros en la Interfaz de Internet Filtros de paquetes para L2TP/IPSec Consideraciones sobre la seguridad de conexión de acceso remoto a las VPN Conexiones L2TP Autenticación de usuarios segura Cifrado de datos Filtrado de paquetes PPTP o L2TP/IPSec Filtrado de paquetes del servidor de seguridad Servidores VPN multiuso Impedir el enrutamiento de tráfico desde los clientes de acceso remoto Filtrado de paquetes con el perfil de la directiva de acceso remoto 64 Capítulo 4. ANÁLISIS Y RECOMENDACIONES Análisis de las VPN existentes en la Universidad Politécnica Salesiana

4 4.1.1 Requerimientos mínimos que se necesita para implementar una VPN sobre Windows XP Características con las que cuenta la UPS Configuración VPN de la UPS Protocolos con los que trabaja la UPS IPSec Diagrama VPN de la Universidad Politécnica Salesiana Configuración sugerida Recomendar Alternativas de Seguridad Manual para usuarios que desean acceder a la VPN Capítulo 5. Conclusiones y Recomendaciones Capítulo 6. Glosario Capítulo 7. Bibliografía Capítulo 8. Anexos Anexo A:

5 4

6 5

7 6

8 Capítulo 1. INTRODUCCIÓN: Que es una Vpn? Red Privada Virtual (VPN). Consiste en crear un canal privado de comunicación entre dos puntos. Esto se lo puede conseguir mediante la aplicación de determinados protocolos de comunicación sobre IP, encapsulación y cifrado de datos. Para el cual se crea un Túnel en una red pública por ejemplo Internet donde viajarán los datos sin que estos sean accedidos desde la Red Pública. Las ventajas que brindan las redes privadas virtuales (VPN) son extraordinarias ya que estas proporcionan que los datos viajen de una forma segura y económica a través de la Red Pública. Otra de las ventajas de las VPN es que se si se combina adecuadamente con aplicaciones basadas en la Web, acceso a las Base de Datos mediante el uso de protocolos como TCP/IP, y conexiones de escritorio remoto, se puede trabajar desde cualquier lugar únicamente con disponer de un ordenador y tener acceso a Internet. Esto es bastante útil para aquellas personas que trabajan en casa o se encuentran de viaje, ya que pueden usar conexiones VPN para establecer una conexión de acceso remoto al servidor de la organización a la cual pertenezca o tenga acceso mediante la infraestructura que nos proporciona Internet. Desde el punto de vista del usuario la VPN es una conexión punto a punto entre el equipo (cliente VPN) y el servidor de la organización (servidor VPN), ya que esto parece como si los datos viajarán a través de un vínculo privado dedicado. Cualquier organización sea esta pequeña o grande puede utilizar conexiones VPN para poder establecer conexiones con oficinas o departamentos que se encuentren alejadas geográficamente, pero no solo con departamentos de su organización, sino 7

9 también con otras organizaciones a través de Internet, garantizando la comunicación segura. Gracias al acceso remoto y a las conexiones enrutadas, una organización puede utilizar conexiones VPN para establecer una conexión a larga distancia, o mediante un Proveedor de servicios Internet (ISP). Definición de VPN Una Red Privada Virtual (VPN, Virtual Private Network) es una red de información privada que hace uso de una infraestructura pública de telecomunicaciones, que conecta diferentes segmentos de red o usuarios a una red principal, manteniendo la privacidad a través del uso de un protocolo de túnel o aislamiento así como de otras tecnologías que proveen seguridad. 1 Para mantener una conexión punto a punto, los datos se encapsulan o empaquetan con un encabezado que contiene la información de enrutamiento que permitirá a los datos recorrer la red hasta alcanzar su destino. Para mantener un canal privado, los datos se deben cifrar para de está forma garantizar y asegurar la confidencialidad. Cuando los paquetes son interceptados en la red estos no podrán ser descifrados si no se cuenta con las claves de cifrado La función principal de una VPN es la de brindar conectividad a una red privada, a través de una red pública, brindando la integridad de la información. Cuando se implementa una VPN, hay cuatro características que se deben tener en cuenta: Costo Desempeño Confianza Seguridad 1 8

10 De estas características mencionadas, la seguridad es el elemento fundamental ya que sin ésta los otros elementos pueden ser inútiles, no importa qué tan barata, rápida y confiable sea una red, sin la seguridad adecuada, los riesgos pesarán más que los beneficios. Por ejemplo, en una organización que envíe sus archivos a otras organizaciones sin las medidas y políticas de seguridad adecuadas toda la información como de los sistemas, de base de datos, infamación del negocio queda completamente vulnerable ante cualquier intruso. Se debe tener en cuenta que para los riesgos de seguridad existen aspectos como la Calidad de Servicio (QoS), ya que este concede prioridad a determinados los usuarios de la red, estos usuarios dependerán de los privilegios que el administrador les otorgue. QoS hace referencia al acuerdo de servicio ofrecido por un Proveedor de Servicios de Internet (ISP) a un cliente Antecedentes y Tecnologías VPN El concepto de VPN ha estado presente desde hace algunos años en el mundo de las redes. A mediados de la década de 1980 grandes portadoras fueron ofrecidas como VPN para servicios de voz, de manera que las compañías podían tener la apariencia de una red privada de voz, mientras compartían los recursos de una red mucho mayor. Este concepto se está aplicando ahora tanto para voz como para datos. Esencialmente una VPN es una red de datos aparentemente privada, que utiliza los recursos de una red de información mayor. Puede decirse que Internet es la plataforma ideal para crear una VPN. La privacidad con la que contaban estas VPN, no era más que la que el proveedor del servicio de comunicación le otorgaba al cliente; así que nadie más podía usar el 9

11 mismo canal. Esto permitía a los clientes tener su propia dirección IP y políticas de seguridad independientes. El cliente VPN tenía que confiar la integridad de la información transmitida en el proveedor de servicio VPN, por esta razón este tipo de redes eran llamados VPN confiable. Con el paso de los años Internet se volvió más popular como medio de comunicación corporativo, por lo que la seguridad se volvió un tema de mucha importancia. Con el antecedente de las VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la información y que incluyeran la integridad de los datos enviados. Se empezaron a crear protocolos que permitieran la encriptación del tráfico en algún extremo de la red, que se moviera a través de Internet como cualquier otro paquete, para luego ser descifrado cuando está alcanzará su destino El tráfico cifrado o encriptado actúa como si estuviera en un túnel entre dos redes. Aún cuando un atacante pudiera ver o interceptar el tráfico, no podría leerlo y no podrá realizar cambios sin que el destinatario se de cuenta de ello. Las redes que eran construidas usando elementos de encriptación se llamaban VPN seguras. La razón principal por la que las empresas usan VPN seguras es que de esta forma puede transmitir información sensible a través de Internet, sin preocuparse por quién pudiera verla. Una VPN segura podía ser complementaria de una VPN confiable, creando así un tercer tipo llamado VPN híbrido. Las partes seguras de una VPN híbrida pueden ser controladas por los clientes o por el proveedor, siendo el último quien maneja la parte confiable de la VPN o para efectos de entendimiento la conexión hacia la Internet. Las VPN seguras y las VPN confiables tienen diferentes propiedades. Propiedades de las VPN seguras. Para que una VPN pueda ser llamada segura debe cumplir con ciertos requerimientos: Todo el tráfico en una VPN segura debe estar encriptado y autentificado. 10

12 Las propiedades de seguridad deben ser acordadas por todas las partes de la VPN. Nadie fuera de la VPN puede afectar las propiedades de la VPN. Debe ser imposible para un atacante cambiar las propiedades de seguridad de cualquier parte de la VPN. Propiedades de las VPN confiables. Asegura algunas propiedades del canal como calidad del servicio (QoS), pero no brindan seguridad ante posibles atacantes de la red. Así también las VPN confiables tienen ciertos requerimientos: Únicamente el proveedor VPN puede afectar o modificar el canal en la VPN. El direccionamiento y ruteo usados en una VPN confiable, deberán ser establecidos antes que la VPN sea creada. Debido a estas debilidades y cualidades, las VPN híbridas comenzaron a surgir. VPN híbridas Para las VPN híbridas, se deberán definir claramente los límites de las direcciones de una VPN segura dentro de una VPN confiable. Una VPN segura puede ser un subconjunto de un VPN confiable Escenarios VPN Con las tecnologías VPN seguras y confiables como antecedente, y con una amplia mejora en los protocolos y medidas de seguridad, surgen las VPN definidas en cuatro principales escenarios: 11

13 VPN Intranet: este tipo de redes es creado entre una oficina central y una o varias oficinas remotas. El acceso viene del exterior. Se utiliza este tipo de VPN cuando se necesita enlazar a los sitios que son parte de una compañía. VPN Acceso Remoto: este escenario es el que se crea entre las oficinas centrales y los usuarios situados remotamente, ya sea a través de dispositivos móviles o terminales fijas. Con el cliente VPN instalado en un dispositivo, el usuario es capaz de conectarse a la red corporativa, no importa donde se encuentre. Éste es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus módems. VPN Extranet: esta implementación VPN se forma entre dos organizaciones diferentes, o bien entre una corporación y sus proveedores o clientes. Se puede implementar una VPN Extranet mediante acuerdo entre miembros de distintas organizaciones. VPN Internas: con la migración hacia redes inalámbricas, como , es necesario incrementar las medidas de seguridad en una corporación. Actualmente se puede implementar una VPN interna cuando se tiene una LAN inalámbrica. En este caso la red pública es el espectro de frecuencia que se ocupa para comunicar un punto de acceso (AP) y un dispositivo móvil. Muchos de los ataques son ejecutados desde el interior de las corporaciones, por los que una VPN interna elimina la posibilidad de que un usuario malintencionado logre acceder al servidor principal sin tener los permisos necesarios. Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo 12

14 hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi) Requerimientos básicos de una VPN a) Identificación de Usuario: Una VPN debe verificar la identidad del usuario y restringir su acceso a aquellos que no se encuentren autorizados. (Autorización) b) Cifrado de Datos Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados/codificados, para que de está manera no puedan ser leídos. La codificación se realiza con algoritmos de codificación como DES o 3DES. DES. Estándar de cifrado de datos (DES): Es un algoritmo cifrador de bloque, utiliza una clave de 56 bits para cifrar bloques de 64 bits. DES está orientado a hardware Para el procesamiento del mensaje este lo realiza en tres pasos 2. o Primero, los 64 bits del texto en claro se transforman por medio de una permutación inicial (IP) que reordena los bits para producir la entrada permutada. o Luego en la siguiente fase que consta de 16 iteraciones de la misma función. La salida de la última iteración (16) consta de 64 bits que son función del texto en claro y la clave. La mitad izquierda y la derecha se intercambian para producir la salida previa. 2 Data Encryption Standard (DES). Algoritmo criptográfico estándar desarrollado y estandarizado por el NIST (National Institute of Standards and Technology) de los EE.UU. Información tomada de: Curso de Graduación, Introducción a la Seguridad Informática 13

15 o Finalmente, la salida previa se permuta con IP-1, que es la inversa de la función de permutación inicial, para producir los 64 bits del texto cifrado. 3DES Triple DES utiliza dos claves y tres ejecuciones del algoritmo DES. La ventaja de 3DES es que permite a los usuarios descifrar datos de usuarios de DES Aunque se utilizan sólo dos claves, se requieren tres pasadas del algoritmo DES. Con tres iteraciones de la función DES, la longitud final de la clave es de 112 bits c) Administración de claves: Las VPNs deben actualizar las claves de codificación para los usuarios. Esto es para garantizar que la información es segura, ya que al usar la misma clave de cifrado siempre, estamos propiciando que la información que enviamos a través de la red sea vulnerable, mientras que si usamos claves diferentes para cada conexión estamos haciendo que la comunicación sea más robusta d) Soporte a protocolos múltiples: Las VPNs deben manejar protocolos comunes, como son el protocolo de Internet (IP), Intercambio del Paquete de Internet (IPX), etc Servicios de VPN Servicio VPN de enrutador a enrutador Éste es un canal de Seguridad del Protocolo de Internet (IPSec) entre los enrutadores. La VPN de enrutador a enrutador se usa si los departamentos 14

16 forman parte de la misma organización central. Generalmente esta opción reemplaza las líneas privadas de punto a punto o circuitos del esquema. IPSec. Infraestructura basada en estándares abiertos que brinda confidencialidad, integridad y autenticación de datos. IPSec proporciona estos servicios de seguridad en el nivel de Protocolo de Internet (IP) 3. Por otro lado, utiliza Intercambio de claves por Internet (IKE) 4 para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las claves de cifrado y de autenticación que IPSec usa. IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe.. La figura1-1 muestra el concepto de una VPN de enrutador a enrutador. Internet Cliente Enrutador Enrutador Servidor Figura 1-1: VPN de enrutador a enrutador 3 Protocolo de Internet (IP). Los protocolos de Internet son la familia de protocolos de sistema abierto (no de propiedad) más conocida que pueden usarse para establecer una comunicación entre cualquier conjunto de redes interconectadas y sirven tanto para comunicaciones WAN como LAN. 4 Internet Key Exchange (IKE, Intercambio de claves por Internet). Se trata de un estándar de protocolo de gestión de claves usado junto con IPSec y otros estándares. Tomado de: 15

17 1.1.3 Servicio VPN de cliente a enrutador Normalmente las VPNs de cliente a enrutador se utilizan para el soporte administrativo. Los administradores se pueden conectar al enrutador a través de la VPN y administrar los sistemas o resolver algunos inconvenientes en la organización. Algunos firewalls proporcionan soporte VPN para múltiples usuarios. Por lo general los firewalls brindan soporte a los clientes propietarios. Firewall Un router o servidor de acceso, designados como búfer entre cualquier red pública conectada y una red privada. Un router que actúe como firewall utilizará listas de acceso así como otros métodos para asegurarse de la seguridad de la red privada La figura 1-2 muestra el concepto de una VPN de cliente a enrutador. Internet Cliente Enrutador Figura 1-2: VPN de cliente a enrutador Enrutador Servidor Servicio Servidor de acceso a la red de cliente a VPN Es una puerta de enlace del Servidor de acceso a la red que incluye todas las funciones, y cuenta con soporte para todo tipo de protocolos VPN, tales como el Protocolo de túnel punto a punto (PPTP), IPSec, y L2TP/IPSec. PPTP Protocolo de Túnel Punto a Punto (PPTP, Point-to-Point Tunneling Protocol). Proporciona los principales servicios VPN de encapsulación y cifrado de datos privados. 16

18 L2TP Protocolo de arquitectura de túneles de nivel 2 (L2TP, Layer 2 Tunneling Protocol) Protocolo de seguimiento de estándares IETF 5. Está basado en las mejores funciones de L2F y PPTP, Se ha propuesto a L2TP como alternativa a IPSec, aunque en algunas veces se utiliza junto con IPSec para proporcionar servicios de autenticación. La figura 1-3 muestra el concepto de acceso a la red de cliente a VPN Internet Cliente Enrutador Enrutador Servidor Figura 1-3: Acceso a la red de cliente a VPN El Servidor de acceso a la red de cliente a VPN siempre se debe utilizar para usuarios remotos y móviles Servicios de Redes privadas virtuales basadas en Internet Acceso remoto a través de Internet Con el acceso remoto a través de Internet podemos evitar hacer llamadas de larga distancia. Para conectarse con un Servidor de Acceso a la Red (NAS, Network Access Server) de la compañía, los clientes de acceso remoto pueden llamar a un Proveedor de Servicios de Internet (ISP) local. Mediante la conexión física establecida con el ISP local, el cliente de acceso remoto inicia una conexión VPN a través de Internet con el 5 Grupo de trabajo de ingeniería de Internet (IETF, Iternet Engineering Task Force) definido en RFC 2661 que proporciona la creación de túneles de PPP. 17

19 servidor VPN de la organización. Una vez creada la conexión VPN, el cliente de acceso remoto puede tener acceso a los recursos de la intranet privada La figura 1-4 muestra el acceso remoto a través de Internet Conexión VPN Túnel Cliente Internet ISP INTRANET Figura 1 4: Acceso remoto a través de Internet Conectar redes a través de Internet Generalmente cuando las redes están conectadas a través de Internet, un enrutador reenvía paquetes a otro enrutador a través de una conexión VPN. Esto se conoce como una conexión VPN de enrutador a enrutador. Para los enrutadores, la red privada virtual funciona como un vínculo de la capa de vínculo de datos. La figura 1-5 muestra la conexión de redes a través de Internet 18

20 Conexión VPN Túnel Internet Sucursal de Organización Vínculo permanente con IPS Vínculo dedicado con un ISP Figura 1-5: conexión de redes a través de Internet Organización Principal Vínculos WAN dedicados Utilizando un vínculo de Red de Comunicación Extendida (WAN, Wide Area Network) dedicado de larga distancia resulta un poco caro entre los distintos departamentos de la organización. Para lo cual podemos usar vínculos WAN dedicados locales con un ISP local. Así que, cualquiera de los enrutadores puede iniciar una conexión VPN de enrutador a enrutador a través de Internet, una vez que estén conectados, los enrutadores pueden reenviarse entre sí transmisiones de protocolos enrutados o directas mediante la conexión VPN Vínculos WAN de acceso telefónico Al usar un vínculo WAN de acceso telefónico el enrutador de un departamento puede llamar a un ISP local, Mediante la conexión establecida con el ISP local, el enrutador de la sucursal inicia una conexión VPN de enrutador a enrutador con el enrutador del departamento central de la organización a través de Internet. El enrutador del departamento central actúa como un servidor VPN y debe estar conectado a un ISP local mediante un vínculo WAN dedicado. 19

21 Es posible mantener conectados ambos departamentos, tanto de la organización principal como de la sucursal a Internet mediante un vínculo WAN de acceso telefónico. Sin embargo, esto sólo es posible si el ISP acepta el enrutamiento a clientes mediante marcado a petición, es decir, el ISP llama al enrutador del cliente cuando hay que entregar un datagrama IP al cliente Servicios de Redes privadas virtuales basadas en Intranet Acceso remoto a través de una Intranet En las intranets de las organizaciones, algunos departamentos tienen datos que son bastante confidenciales que la red de esos departamentos está físicamente desconectada de la intranet. Este es un mecanismo de defensa de esos departamentos para proteger los datos, donde esto genera un problema de acceso a la información por parte de aquellos usuarios que no están físicamente conectados a la red. Mediante una conexión VPN, la red del departamento está físicamente conectada a la intranet de la organización pero se mantiene separada gracias a un servidor VPN. El servidor VPN no proporciona una conexión enrutada directa entre la intranet de la organización y la red del departamento. Los usuarios de la intranet de la organización que disponen de los permisos apropiados pueden establecer una conexión VPN de acceso remoto con el servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento. Para mantener la confidencialidad de los datos, se cifran todas las comunicaciones realizadas a través de la conexión VPN. Para los usuarios que no tienen permiso para establecer una conexión VPN, la red del departamento está oculta a la vista de esos usuarios. La figura 1-6 muestra el acceso remoto a través de una Intranet 20

22 Conexión VPN Túnel Servidor VPN INTRANET Cliente Red Oculta Figura 1-6: Acceso remoto a través de una intranet Conectar redes a través de una Intranet También se puede conectar dos redes a través de una Intranet mediante una conexión VPN de enrutador a enrutador. Las organizaciones que tienen departamentos en diferentes ubicaciones, cuyos datos son altamente confidenciales, para lo cual pueden utilizar una conexión VPN de enrutador a enrutador para comunicarse entre sí. La figura 1-7 muestra la conexión de redes a través de una Intranet Conexión VPN Túnel INTRANET Red Oculta Red Oculta Figura 1-7: Conexión de redes a través de una Intranet 21

23 Capítulo 2. DESCRIPCIÓN DE REDES VIRTUALES PRIVADAS Componentes de las VPN CONEXIÓN VPN TÚNEL SERVIDOR VPN CLIENTE VPN CONJUNTO DE REDES PÚBLICAS O PRIVADAS DE TRÁNSITO Figura 2-1: Componentes de las VPN Cliente VPN El cliente VPN puede ser un enrutador que inicia la conexión VPN, a este también se lo conoce como enrutador de llamada. Para las conexiones VPN de enrutador a enrutador, se pueden configurar servidores que ejecuten Enrutamiento y Acceso Remoto. Servidor VPN Un equipo que acepta conexiones VPN de clientes VPN. El servidor VPN es el enrutador que acepta la conexión desde el cliente VPN de llamada, a este también se lo conoce como enrutador de respuesta. En las conexiones VPN de enrutador a enrutador se puede configurar como servidores VPN equipos que ejecutan Enrutamiento y Acceso Remoto y equipos. 22

24 Túnel Es la parte de la conexión en la que se encapsulan los datos; estos no necesariamente deberán estar cifrados. Conexión VPN Parte de la conexión donde se cifran los datos. En las conexiones VPN seguras, los datos se cifran y encapsulan en la misma parte de la conexión. Protocolos de túnel Los protocolos utilizados para administrar túneles y encapsular datos privados. Los datos que se envían por el túnel también deben estar cifrados para establecer una conexión VPN. Datos en túnel Los datos que normalmente se envían a través de un vínculo punto a punto privado. Conjunto de redes públicas o privadas de tránsito La red compartida o privada que atraviesan los datos encapsulados. El conjunto de redes públicas o privadas de tránsito puede ser Internet o una intranet privada basada en IP Propiedades de las conexiones VPN Las conexiones de red privada virtual (VPN) que utilizan PPTP 6 y L2TP/IPSec 7 tienen las siguientes propiedades: 6 Protocolo de Túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol): Este protocolo encapsula datagramas de cualquier protocolo de red en datagramas IP, que posteriormente son tratados como cualquier otro paquete IP. 23

25 Encapsulación Autenticación Cifrado de datos Encapsulación Los datos deben empaquetarse primero mediante un proceso llamado encapsulación que envuelve a los datos con la información de protocolo necesaria antes de que los paquetes sean llevados por la red. Para las VPN, los datos privados se encapsulan con un encabezado que proporciona información de enrutamiento, lo que permite que los datos atraviesen los conjuntos de redes públicas y privadas. Los datos viajan a través de red de la siguiente manera: Construir los datos: Por ejemplo cuando un usuario envía un correo, sus caracteres alfanuméricos se convierten en Datos para que estos puedan viajar por la red. Empaquetar los datos para el transporte de origen a destino: Usando segmentos, la función encargada del transporte asegura de que las máquinas de cada extremo puedan comunicarse con total confianza. Añadir la dirección de la red a la cabecera: los datos se colocan en un paquete o datagrama que contiene una cabecera de red con las direcciones lógicas del origen. Añadir la dirección local a la cabecera de enlace de datos: Cada dispositivo de la red debe colocar el paquete en una trama, esta trama tiene una cabecera con la dirección física del dispositivo que podría ser un router por ejemplo que está conectado directamente en la misma ruta. Convertir los bits para la transmisión: La trama se debe convertir en un modelo de 1 y 0 (bits) para la transmisión. 7 Protocolo de túnel de capa 2 (L2TP, Layer Two Tunneling Protocol) / Seguridad de protocolos Internet (IPSec). L2TP/IPSec proporciona los servicios VPN principales como son los de encapsulación y cifrado de datos privados. 24

26 2.1.2 Autenticación La autenticación en las conexiones VPN se da de tres formas diferentes: 1. Autenticación en el nivel de usuario mediante la autenticación PPP 8 Para establecer la conexión VPN, el servidor VPN autentica al cliente VPN que está intentando realizar la conexión mediante la autenticación en el nivel de usuario del Protocolo punto a punto (PPP), y comprueba que el cliente VPN tenga la autorización correspondiente. Si se utiliza la autenticación mutua, el cliente VPN también deberá autenticar al servidor VPN, lo que proporciona protección contra equipos de falsa identidad. 2. Autenticación en el nivel de equipo mediante IKE Para obtener seguridad IPSec, el cliente VPN y el servidor VPN deberán utilizar el protocolo de Intercambio de claves de Internet (IKE) para intercambiar certificados de equipo o una clave previamente compartida. Para ambos casos, el cliente y el servidor VPN se autentican uno a otro en el nivel de equipo. La autenticación mediante certificados de usuario es más recomendable porque es un método más seguro. 3. Autenticación del origen de los datos e integridad de los datos Para comprobar que los datos enviados en la conexión VPN son realmente del otro extremo de la conexión, y que estos no se modificaron en el camino, los datos contienen una suma de comprobación criptográfica, que está basada en una clave de cifrado que conocen solamente el que envía y el que lo recibe. 8 Protocolo de Punto a Punto (PPP, Point to Point Protocol): Proporciona un método estándar para transportar datagramas multiprotocolo sobre enlaces simples punto a punto entre dos pares. 25

27 2.1.3 Cifrado de datos Para garantizar la confidencialidad de los datos mientras estos atraviesan el conjunto de redes públicas y privadas de tránsito. El emisor cifra los datos y el receptor los descifra. Los procesos de cifrado y descifrado dependen de la utilización de una clave común compartida. Los paquetes interceptados que se envían en la conexión VPN a través del conjunto de redes públicas y privadas son bastante difíciles de descifrar, debido a que estos no tienen o no disponen de la clave de cifrado común. La longitud de la clave de cifrado es un parámetro de seguridad muy importante, debido a que existen muchas técnicas de computación para averiguar claves, pero mientras las claves de cifrado sean más grandes es más seguro ya que estas técnicas van a requerir mayor capacidad y tiempo, por ejemplo una máquina de $ tomará unas 40 horas promedio para un tipo específico de algoritmo de cifrado. Por lo tanto es importante usar caves de longitud grande para asegurar la confidencialidad de los datos. Una longitud de clave ideal es de 8 caracteres. Intercambio de Claves de Internet (IKE, Internet Key Exchange) Antes de intercambiar la información que está protegida, se debe establecer un contrato entre los dos equipos. Este contrato se denomina Asociación de Seguridad (SA, Security Association), los dos equipos llegan a un acuerdo sobre el modo de intercambiar y proteger la información. Para poder establecer este tipo de contrato entre los dos equipos, IETF ha establecido un método estándar de asociación de seguridad y resolución de intercambio de claves denominado Intercambio de claves de Internet (IKE), el cual deberá: Centralizar la administración de asociaciones de seguridad, reduciendo el tiempo de conexión. 26

28 Generar y administrar las claves secretas compartidas que se utilizan para proteger la información. La figura 2-1 muestra el intercambio de claves de Internet Equipo 1 SA Acuerdan el modo de intercambiar información Contiene método IKE Combinación de la clave negociada SA Equipo 2 Contiene método IKE Figura 2 1: Intercambio de claves de Internet Este proceso no sólo protege la comunicación entre los equipos, sino que también protege a los equipos remotos que solicitan el acceso seguro a una organización. Este proceso funciona si la negociación del equipo destino la realiza una puerta de enlace de seguridad. Para garantizar una comunicación segura y con éxito, IKE funciona en dos fases. Ya que la confidencialidad y la autenticación se aseguran en cada una de las fases con el uso de cifrado de datos y diferentes algoritmos de autenticación que previamente son acordados entre los equipos durante la negociación de seguridad. Una de las ventajas de trabajar con fases es que la creación de las claves es mucho más rápida Fases del Intercambio de claves de Internet: 27

29 2.1.4 Fase l: Negociación de modo principal En está primera fase, los equipos establecerán un canal de comunicación seguro y autenticado. IKE proporciona automáticamente la protección de identidad necesaria para este intercambio. La negociación de modo principal consta de los siguientes pasos: 1. Negociación de directivas Para que exista la negociación de directiva o trayectoria se debe trabajar con cuatro algoritmos obligatorios como parte de la SA de modo principal, estos son: o Algoritmo de cifrado (DES, 3DES) o Algoritmo de hash (MD5 o SHA1) 9 o Método de autenticación (Kerberos V5, Autenticación por claves compartidas previamente) 10 o Grupo Diffie-Hellman (DH) Intercambio Diffie-Hellman (DH) Los algoritmos de clave pública se basan en el uso de clave de cifrado y en una clave diferente, pero relacionada, para el descifrado. 9 Message Digest 5 (MD5) Función de hash unidireccional segura. Este algoritmo toma como entrada un mensaje de longitud arbitraria y produce un resumen del mensaje de 128 bits. La entrada se procesa en bloques de 512 bits. SHA1: también es una función hash segura. acepta un mensaje de longitud variable M como entrada y produce como salida una etiqueta de 160 bits. Este es el más popular. 10 Kerberos V5: Es un protocolo de autenticación que involucra dos Trusted Third Parties (TTPs) o entidades digitales de confianza, en los que se delega la autenticación de los usuarios y la emisión de tickets de autorización a los recursos solicitados por los usuarios 11 Diffie-Hellman (DH): Se basa en criptografía asimétrica, para definir una clave de sesión para cifrado simétrico. Es un protocolo que permite a dos partes sin conocimiento previo entre ellas, elegir en forma conjunta y segura una clave de sesión común 28

30 Cada sistema final en la red genera el par de claves que se usarán para cifrar los mensajes a enviar, y descifrar los mensajes que le llegaran. De igual manera cada sistema publica su clave de cifrado en un registro público (clave pública) y la clave complementaria se mantiene en privado. Así cuando un usuario envíe un mensaje, este lo cifrará usando la clave pública del usuario al que le está enviando la información, y lo descifrará usando su clave privada. 3. Autenticación Los equipos intentan autenticar el intercambio de claves Diffie-Hellman (DH). Si no se autentica el intercambio de las claves Diffie-Hellman (DH), la comunicación será completamente vulnerable a ataques. Para autenticar las identidades de los usuarios se utiliza la clave principal junto con los algoritmos y métodos de negociación, para ello a la información de los usuarios se le aplican los algoritmos de hash y cifrado utilizando las claves generadas en el intercambio Diffie-Hellman (DH) del caso anterior. De esta manera la información del usuario queda protegida frente a posibles ataques o modificaciones, Si ocurre un error durante la autenticación no se podrá continuar con la comunicación. Los mensajes que se envían durante esta fase tienen un ciclo de reintento automático que se repite cinco veces. Si se recibe una respuesta antes de que termine el ciclo de reintento, empieza la negociación de Asociación de Seguridad (SA) 12 estándar. 12 Asociaciones de Seguridad (SA, Security Association): Define la seguridad utilizada para proteger la comunicación desde el remitente hasta el receptor 29

31 2.1.5 Fase ll: Negociación de modo rápido En esta fase, las Asociaciones de Seguridad (SA) se negocian en nombre del controlador de IPSec. La negociación de modo rápido consta de los siguientes pasos: 1. Se negocia la directiva. Para negociar la directiva o trayectoria los equipos con IPSec intercambian la siguiente información para proteger la transferencia de datos: o Protocolo IPSec (AH o ESP) o Algoritmo de hash para la integridad y autenticación (MD5 o SHA1 13 ) o Algoritmo para el cifrado, si se solicita (3DES o DES) Si se llega a un acuerdo se establecen dos SA. Una para la comunicación entrante y la otra para la comunicación saliente. 2. La clave de sesión se actualiza o se intercambia. Intercambio de claves de Internet (IKE, Internet Key Exchange) actualiza la generación claves, y se generan nuevas claves compartidas para la integridad de los datos, la autenticación y el cifrado. 3. Las Asociaciones de Seguridad (SA) y las claves, junto con el Índice de Parámetros de Seguridad (SPI) 14 se pasan al controlador de IPSec. El modo rápido produce dos asociaciones de seguridad, cada una de ellas con su propio Interfase de Periférico Serial (SPI) y su clave. Una Asociación de 13 SHA1: también es una función hash segura. acepta un mensaje de longitud variable M como entrada y produce como salida una etiqueta de 160 bits. Este es el más popular. 14 Índice de Parámetros de Seguridad (SPI): es un valor único e identificable de la SA, se usa para distinguir entre las múltiples asociaciones de seguridad que existen en el equipo receptor. 30

32 Seguridad (SA) se utiliza para la comunicación entrante y la otra para la comunicación saliente. El algoritmo de reintento de un mensaje es parecido al proceso de negociación de modo principal, pero si este proceso alcanza el tiempo máximo de espera a partir de la segunda o posteriores negociaciones, se intenta una nueva negociación de Asociación de Seguridad (SA) de modo principal. Pero si se recibe un mensaje en esta fase sin que se haya establecido una Asociación de Seguridad (SA) de modo principal se la rechaza. El uso de una única SA de modo principal para varias negociaciones de SA de modo rápido aumenta la velocidad del proceso. Si la SA de modo principal no caduca, no es necesario volver a negociar o a autenticar Asociación de Seguridad (SA) Una asociación de seguridad (SA, Security Association) es la combinación de una clave negociada, un protocolo de seguridad y el Índice de Parámetros de Seguridad (SPI), que conjuntamente definen la seguridad utilizada para proteger la comunicación desde el que remite hasta el receptor. El SPI es un valor único e identificable de la Asociación de Seguridad (SA), se usa para distinguir entre las múltiples asociaciones de seguridad que existen en el equipo receptor. Por ejemplo, existen varias comunicaciones mientras un equipo mantenga comunicaciones seguras con distintos equipos al mismo tiempo, generalmente este caso se da cuando el equipo actúa como servidor de acceso remoto que atiende a varios clientes. 31

33 2.1.7 Duración de SA La Asociación de Seguridad (SA) que trabaja de modo principal se almacena en caché para permitir múltiples negociaciones de SA de modo rápido. Cuando se llega a un cierto tiempo de duración de la clave principal o de sesión esta expira y nuevamente se vuelve a negociar la SA. Cuando ha transcurrido un período de tiempo predeterminado de espera para la SA de modo principal, o cuando se alcanza la duración de la clave principal o de sesión, se envía un mensaje de eliminación al otro equipo. El mensaje de eliminación de IKE da aviso al otro equipo que la SA de modo principal ha caducado. De este modo se impide la creación de nuevas SA de modo rápido porque la SA de modo principal está caducada. Intercambio de claves de Internet (IKE) no permite caducar la SA de modo rápido, ya que sólo el controlador de IPSec 15 contiene el número de segundos o bytes que han transcurrido hasta alcanzar la duración. Hay que tener muy en cuenta al momento de establecer las duraciones de tiempo para las claves principales y las claves de sesión, ya que no debe existir mucha diferencia entre ellas, por ejemplo si se establece a la clave principal 8 horas de duración y la clave de sesión 2 horas, se puede dar el caso de que la SA de modo principal ya haya caducado, mientras que la SA de modo rápido puede continuar establecida Acción de Filtrado Una acción de filtrado define los requerimientos de seguridad para la transmisión de información. Se puede configurar una acción de filtrado para: 15 Seguridad de protocolos Internet (IPSec): Proporciona los servicios principales como son los de encapsulación y cifrado de datos privados 32

34 Permitir el tráfico (Permitir) IPSec traslada el tráfico hacia y desde el controlador de TCP/IP 16 sin modificarlo y sin aplicarle requisitos de seguridad. Esta opción resulta adecuada para el tráfico producido por equipos no compatibles con IPSec. Bloquear el tráfico (Bloquear) IPSec descarta este tráfico sin avisar. Se debe bloquear un mínimo de tráfico para no impedir la comunicación de equipos que si están autorizados. Negociar con IPSec (Negociar la seguridad) IPSec requiere la negociación de Asociaciones de Seguridad (SA) y el envío o la recepción de tráfico protegido con IPSec. IPSec permite que un paquete entrante que coincida con la lista de filtros no sea seguro, pero la respuesta saliente al paquete entrante sí debe protegerse Métodos de seguridad de IPSec Cada método de seguridad define los requisitos de seguridad de cualquier comunicación a la que se aplica la regla asociada. Al crear varios métodos de seguridad aumentan las posibilidades de que se encuentre un método común entre los dos equipos. El componente de Intercambio de claves de Internet (IKE) lee la lista de métodos de seguridad en orden descendente y envía una lista con los métodos permitidos al otro usuario. Se selecciona el primer método que ambos tengan en común. Generalmente los métodos más seguros se sitúan al comienzo de la lista y los menos seguros al final. 16 Protocolo de control de transporte/protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol): 33

35 Métodos de seguridad predefinidos A continuación se presenta los métodos de seguridad predefinidos: Cifrado e integridad Utiliza el protocolo ESP 17 para proporcionar confidencialidad de datos con el algoritmo Triple cifrado de datos estándar (3DES), integridad de datos y autenticación con el Algoritmo de hash seguro (SHA1) y la duración de clave predeterminada que tiene 1 hora aproximadamente para cada 100 MB de datos transmitidos. Si se desea proteger los datos y las direcciones IP se debe crear un método de seguridad personalizado. Sólo integridad Utiliza el protocolo ESP para proporcionar integridad de datos y autenticación con el algoritmo de integridad SHA1 y la duración de clave predeterminada de aproximadamente 1 hora para cada 100 MB de datos transmitidos. En esta configuración, ESP no proporciona confidencialidad ni cifrado de datos Métodos de seguridad personalizados A continuación se presenta los métodos de seguridad predefinidos: Cifrado e integridad Utiliza el protocolo ESP para proporcionar confidencialidad de datos con el algoritmo Triple cifrado de datos estándar (3DES), integridad de datos y autenticación con el Algoritmo de hash seguro (SHA1) y la duración de clave predeterminada que tiene 1 hora aproximadamente. Si se desea proteger los datos y las direcciones IP se debe crear un método de seguridad personalizado. 17 Carga útil de seguridad encapsulada (ESP, Encapsulating Security Payload). Proporciona confidencialidad, autenticación del origen de los datos, detección de reproducciones, integridad sin conexión, integridad de secuencias parciales y confidencialidad del flujo de tráfico limitado 34

36 Sólo integridad Utiliza el protocolo ESP para proporcionar integridad de datos y autenticación con el algoritmo de integridad SHA1 y la duración de clave predeterminada de aproximadamente 1 hora. Esta configuración, ESP no proporciona confidencialidad cifrado de datos Tabla comparativa de los métodos de seguridad Métodos Predefinidos Métodos Personalizados Cifrado Utiliza el protocolo ESP Utiliza el protocolo DES y 3DES Integridad Utiliza el protocolo MD5 y SHA1 Cifrado e Integridad Utiliza el protocolo ESP y 3DES Protocolos de Utiliza el protocolo AH y ESP Seguridad Opciones de claves de sesión Especifica la duración en Kilobytes o segundos Autenticación de acceso a la red y certificados Información General Los certificados se utilizan para la autenticación del acceso a la red ya que ofrecen un nivel alto de seguridad en la autenticación de usuarios y equipos, además eliminan la necesidad de utilizar métodos de autenticación basados en contraseñas que son menos seguros. En el contenido de la autenticación, un servidor se define como un servidor VPN o Servicio de autenticación de Internet (IAS) 18. Se pueden configurar servidores VPN para realizar la autenticación del acceso a la red sin utilizar IAS o se puede utilizar 18 Servicio de autenticación de Internet (IAS, Internet Authentication Service): Se encarga de manera centralizada de la autenticación, autorización y de las cuentas de conexión de muchos tipos de accesos a la red como: inalámbrico, conmutación de autenticación, acceso remoto de red privada virtual (VPN), acceso telefónico y conexiones de enrutador a enrutador 35

37 IAS para la autenticación si la red tiene múltiples clientes de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) 19, por ejemplo servidores VPN y puntos de acceso inalámbrico. Los certificados se utilizan en dos métodos de autenticación: Seguridad de nivel de transporte del Protocolo de autenticación extensible (EAP-TLS) 20 y Protocolo de autenticación extensible protegido (PEAP) 21. En ambos métodos siempre se utilizan certificados para la autenticación de servidor. En función del tipo de autenticación configurado con el método de autenticación, los certificados se pueden utilizar para la autenticación de usuarios y de clientes. El uso de certificados para la autenticación de conexiones VPN es la forma más segura de autenticación disponible Requisitos mínimos de los certificados Todos los certificados que se utilizan para la autenticación del acceso a la red deben cumplir los requisitos de los certificados X.509 y funcionar en conexiones que utilicen Seguridad de nivel de transporte de Nivel de sockets seguro (SSL/TLS, Secure Sockets Layer-Transport Level Security). Éste es un requisito mínimo que deben cumplir los certificados de cliente y de servidor, pero cada uno de estos tipos tiene requisitos adicionales. 19 Servicio de usuario de acceso telefónico de autenticación remota (RADIUS): Es un protocolo cliente-servidor que permite que el equipo de acceso a la red envíe solicitudes de administración de cuentas y autenticación a un servidor RADIUS. 20 Seguridad de nivel de transporte del Protocolo de autenticación extensible (EAP-TLS): Es un protocolo definido en las peticiones de comentario RFC 2716 y se utiliza en entornos seguros y certificados. El intercambio de mensajes EAP-TLS ofrece autenticación mutua, transferencias cifradas totalmente y protegidas 21 Protocolo de autenticación extensible protegido (PEAP) es un nuevo miembro de la familia de protocolos de Protocolo de autenticación extensible (EAP). Proporciona seguridad adicional para otros protocolos de autenticación de EAP 36

38 Cerificados Digitales x.509 Maneja las siguientes características 22 : Version: indica el formato del certificado actual, permitiendo diferenciar entre las sucesivas variantes del mismo. Serial number: identifica unívocamente cada uno de los certificados correspondientes a un mismo emisor. Este parámetro es definido por la autoridad de certificación Signatura: indica el algoritmo utilizado para obtener la firma digital del certificado Validity: indica el período de validez del certificado. Subject: identifica a la entidad cuya clave es certificada por el documento. Subject public-key information: contiene información de la clave pública certificada por el documento. Issuer unique identifier: campo opcional Subject unique identifier: campo opcional que proporciona información adicional sobre la entidad cuya clave es certificada por el documento Descripción de la autenticación de 802.1x IEEE 802.1x es un estándar en fase de borrador para el control de acceso a red basado en un puerto que ofrece acceso de red autenticado a redes inalámbricas y a redes Ethernet 23 por cable. El control de acceso a red basado en puerto utiliza las características físicas de una infraestructura de Red de Área local (LAN) 24 conmutada para autenticar los dispositivos conectados a un puerto de LAN e impedir el acceso a dicho puerto cuando fracase el proceso de autenticación. 22 Información tomada del Curso de Graduación: Módulo 6 Introducción a la Seguridad Informática 23 Ethernet: Protocolo LAN ampliamente utilizado Las redes Ethernet utilizan CSMA/CD y se ejecutan a través de una variedad de tipos de cables a 10 Mbps o 100 Mbps 24 Red de área local (LAN, Local Area Network). Red que reside en una ubicación o pertenece a una organización. 37

39 Un puerto de LAN adopta una de dos funciones: Autenticador: Un puerto LAN exige la autenticación antes de permitir el acceso de los usuarios a los servicios a los que se puede tener acceso desde dicho puerto. Suplicante: Un puerto LAN solicita acceso a los servicios a los que se puede tener acceso desde el puerto del autenticador. Un servidor de autenticación, que puede ser una entidad independiente o coincidir con el autenticador, comprueba las credenciales del suplicante en nombre del autenticador. El servidor de autenticación responde entonces al autenticador, indicando si el suplicante tiene autorización o no para el acceso a los servicios del autenticador. El control de acceso a red basado en puerto del autenticador define dos puntos de acceso lógico a la LAN a través de un puerto de LAN físico. El primer punto de acceso lógico, puerto sin controlar: permite el intercambio de datos entre el autenticador y otros equipos de la LAN, independientemente de cuál sea el estado de autorización del equipo. El segundo punto de acceso lógico, puerto controlado, permite el intercambio de datos entre un usuario de LAN autenticado y el autenticador. IEEE 802.1x utiliza protocolos de seguridad estándar, como RADIUS, para proporcionar servicios centralizados de identificación de usuarios, autenticación, administración dinámica de claves y cuentas Requisitos de los certificados de cliente Con EAP-TLS o PEAP-EAP-TLS 25, el servidor acepta el intento de autenticación del cliente si el certificado cumple los siguientes requisitos: 25 PEAP-EAP-TLS : Usa el nombre de usuario y contraseña para la autenticación de usuarios, y un certificado del almacén de certificados del equipo servidor para la autenticación del servidor 38

40 El certificado de cliente ha sido emitido por una entidad emisora de certificados de empresa. El certificado de usuario o de equipo en el cliente está vinculado a una CA 26 raíz de confianza. El cliente 802.1X no puede utilizar certificados basados en el Registro que sean de inicio de sesión con tarjeta inteligente o que estén protegidos mediante contraseña. Con PEAP-EAP-TLS y EAP-TLS, los clientes muestran una lista de todos los certificados instalados en el complemento Certificados con las siguientes excepciones: Los clientes inalámbricos no muestran certificados basados en el Registro y de inicio de sesión con tarjeta inteligente. En los clientes inalámbricos y en los clientes VPN no se muestran certificados protegidos por contraseña. No se muestran los certificados que no contengan el propósito Autenticación del cliente en las extensiones EKU Requisitos de los certificados del servidor Con PEAP-EAP-MS-CHAPv2, PEAP-EAP-TLS o EAP-TLS como método de autenticación, el cliente acepta el intento de autenticación del servidor si el certificado cumple los siguientes requisitos: El nombre Sujeto contiene un valor. Si ha emitido un certificado para el servidor IAS con un sujeto vacío, el certificado no estará disponible para autenticar el servidor IAS. El certificado de equipo del servidor está vinculado a una CA raíz de confianza y no falla ninguna de las comprobaciones realizadas. El certificado de equipo del servidor IAS o VPN está configurado con el propósito Autenticación del servidor en las extensiones EKU. 26 Autoridades de Certificación (CA): Emite certificados para nuevos usuarios, Modificar o dar de baja un certificado, Generar listas de revocación,etc 39

41 o El certificado del servidor se configura con Proveedor de servicios criptográficos Con PEAP y EAP-TLS, los servidores muestran una lista de todos los certificados instalados en el almacén de certificados del equipo, con las siguientes excepciones: No se muestran los certificados que no contengan el propósito Autenticación del servidor en las extensiones EKU. Los certificados que no contienen un nombre de sujeto no se muestran. Los servidores no muestran certificados basados en el Registro y de inicio de sesión con tarjeta inteligente Funciones de las Autoridades de Certificación Emitir certificados para nuevos usuarios. Modificar o dar de baja un certificado. Generar listas de revocación. Comunicarse con otras autoridades o centros de certificación Autenticación de equipos en IPSec La autenticación de equipos se lleva a cabo en primer lugar durante los intentos de conexión L2TP/IPSec entre el cliente de acceso remoto y el servidor. Si se ha establecido un canal seguro entre el cliente y el servidor se procede a llevar a cabo el intento de autenticación y autorización del usuario. La autenticación de equipos en IPSec se realiza mediante claves previamente compartidas o certificados de equipo. El método de autenticación recomendado es el uso de una infraestructura de claves públicas (PKI) 27 y certificados. Si se utilizan certificados, es necesario un certificado de equipo para establecer la confianza de IPSec durante la negociación de Intercambio de claves de Internet (IKE) en las conexiones VPN basadas en L2TP/IPSec. Para que un servidor VPN y un cliente VPN establezcan la confianza en una conexión VPN L2TP/IPSec, ambos equipos deben contar con un certificado de 27 Infraestructura de Claves Públicas (PKI, Public Key Infrastructure) 40

42 equipo emitido por la misma entidad emisora de certificados raíz de empresa en la que se confía. Si ambos equipos cuentan con certificados emitidos por la entidad emisora de certificados raíz de confianza durante la negociación IPSec y los intercambian, se establece una confianza mutua y se realiza la asociación de seguridad Cómo se utilizan los certificados en los servidores VPN? Al intentar establecer una conexión VPN L2TP/IPSec entre un cliente y un servidor VPN, la autenticación de los equipos no se produce si el certificado del cliente VPN no tiene configurado el propósito Autenticación del cliente en las extensiones EKU y el certificado del servidor VPN no tiene configurado el propósito Autenticación del servidor en las extensiones EKU. IPSec consulta las extensiones EKU del certificado de cliente para determinar si está presente el identificador de objeto del propósito Autenticación del cliente. Si en las extensiones EKU se incluye el identificador de objeto del propósito Autenticación del cliente, IPSec puede utilizar el certificado para llevar a cabo la autenticación. De la misma manera, el cliente consulta el certificado del servidor VPN en busca del identificador de objeto del propósito Autenticación del servidor en las extensiones EKU. Aunque los servidores VPN que finalizan las conexiones de usuarios remotos sólo necesitan un certificado que tenga configurado el propósito Autenticación del servidor en las extensiones EKU, un servidor VPN que se utilice como extremo de una conexión VPN con otro servidor VPN origina como cliente y termina como servidor las conexiones VPN. Por este motivo, el certificado de estos servidores debe contener tanto el propósito Autenticación del servidor como el propósito Autenticación del cliente en las extensiones EKU. Además, debido a la forma en la trabaja la selección automática de certificados, ambos propósitos (Autenticación del servidor y Autenticación del cliente) deben estar contenidos en el mismo certificado. La selección automática de certificados puede proporcionar a IPSec cualquier certificado del almacén de certificados asociado a la entidad emisora de certificados 41

43 raíz de empresa en la que se confía, independientemente de los propósitos contenidos en el certificado. Si en el servidor están instalados dos certificados uno que contiene el propósito Autenticación del cliente y otro que contiene el propósito Autenticación del servidor, existe la posibilidad de que la selección automática de certificados utilice el certificado erróneo para la autenticación. Por ejemplo si se requiere el certificado que contiene el propósito Autenticación del cliente es posible que el certificado suministrado mediante la selección automática de certificados contenga el propósito Autenticación del servidor. En este caso no se produce la autenticación de equipos Métodos de inscripción de certificados y pertenencia a dominios La pertenencia a dominios de los equipos para los que desea inscribir certificados afecta al método de inscripción de certificados que se puede elegir. Los certificados de equipos que son miembros de un dominio se pueden inscribir automáticamente, mientras que los administradores deben inscribir los certificados de equipos que no son miembros de un dominio mediante el Web. El método de inscripción de certificados para los equipos que no son miembros de un dominio se conoce como un proceso de inicio de confianza mediante el cual se crean los certificados y después, los administradores los solicita o distribuyen manualmente de forma segura para establecer una confianza común Inscripción de certificados que son miembros de un dominio Si el servidor VPN, el servidor IAS es miembro de un dominio puede configurar la inscripción automática de certificados de equipo y usuario. Después de configurar y habilitar la inscripción automática, todos los equipos que son miembros del dominio reciben certificados de equipo cuando se actualiza la directiva de grupo, tanto si la actualización se fuerza manualmente 42

44 Si el equipo es miembro de un dominio en el que no está instalado puede instalar manualmente certificados de equipo si los solicita a través del complemento Certificados Inscripción de certificados que NO son miembros de un dominio La inscripción de certificados de equipos que no son miembros de un dominio no se puede realizar mediante inscripción automática. Si un equipo está unido a un dominio, existe una confianza establecida que permite que tenga lugar la inscripción automática sin la intervención del administrador. Si un equipo no está unido a un dominio no existe la confianza y no se emite un certificado. Debe establecerse la confianza mediante uno de los siguientes métodos: El administrador en quién se confía debe solicitar un certificado de equipo o usuario mediante la herramienta de inscripción en Web de la entidad emisora de certificados. El administrador debe guardar un certificado de equipo o de usuario en algún dispositivo de almacenamiento e instalarlo en el equipo que no es miembro de un dominio. Si el administrador no puede tener acceso al equipo el certificado puede ser instalado por un usuario del dominio en el que el administrador confíe. Muchas infraestructuras de red contienen servidores VPN e IAS que no son miembros de un dominio. Por ejemplo, es posible que un servidor VPN de una red perimetral no sea miembro de un dominio por razones de seguridad. En ese caso, el servidor VPN que no es miembro de un dominio debe tener instalado un certificado de equipo que contenga el propósito Autenticación del servidor en las extensiones EKU para que pueda negociar correctamente conexiones VPN basadas en L2TP/IPSec con los clientes. 43

45 Servicios de inscripción en la Web de la entidad emisora de certificados Tomamos como ejemplo la familia Windows que proporciona un conjunto de páginas Web de la entidad emisora de certificados con los Servicios de Certificate Server. Las páginas de inscripción en Web permiten conectarse a la entidad emisora de certificados mediante un explorador Web y realizar tareas habituales, como solicitar certificados de una entidad emisora de certificados. Una vez diseñada e implementada la infraestructura de claves públicas (PKI) y cuando tenga asignados los permisos necesarios en las plantillas de certificados, puede solicitar certificados para los equipos mediante las páginas de inscripción en Web de la entidad emisora de certificados. Para solicitar un certificado para un equipo que no sea miembro de un dominio mediante la herramienta de inscripción en Web de la entidad emisora de certificados 44

46 Capítulo 3. PROTOCOLOS Y SEGURIDAD Protocolos Protocolo de Túnel Punto a Punto (PPTP) El protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol). Es una extensión del Protocolo punto a punto (PPP) la cual aprovecha las ventajas de los mecanismos de autenticación, compresión y cifrado de PPP. PPTP se instala con el protocolo TCP/IP y puede configurarse ya sea para 5 o 128 puertos PPTP Encapsulación Las tramas PPP se empaquetan con un encabezado de Encapsulación de Enrutamiento Genérico (GRE, Generic Routing Encapsulation) y un encabezado IP. En el encabezado IP están las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN. Son necesarios 8 bytes adicionales para formar la encapsulación cuando se usa dentro del entramado por defecto. La figura 3-1 muestra el formato de la trama PPP. Formato de la trama PPP Indicador (1 byte) Dirección (1 byte) Control (1 byte) Protocolo (1o 2 bytes) Información (variable) Suma (2 o 4 bytes) Indicador (1 byte) Figura 3-1: Formato de trama PPP Las tramas PPP comienzan con un Indicador asignado con valor

47 Luego tenemos la Dirección que siempre está asignado con el valor de A continuación tenemos el Control que tiene un valor predeterminado de El campo protocolo tiene 1 o 2 bytes y su valor identifica el contenido del datagrama que está en el campo de Información del paquete. El campo información puede tener 0 o mas bytes, este campo contiene el datagrama para el protocolo que se especifica en el campo protocolo. Luego tenemos el campo Suma de comprobación que generalmente es de 2 bytes. Finalmente tenemos el Indicador que tiene asignado un valor de Los valores en los campos de Indicador y Control son valores por defecto que utiliza PPP para la suma de verificación en cada marco de entramado Cifrado La trama PPP se cifra con las claves de cifrado de los procesos de autenticación MS- CHAP, EAP-TLS 28. Los clientes de red privada virtual (VPN) deben utilizar el protocolo de autenticación MS-CHAP, EAP-TLS para poder cifrar las cargas de las tramas PPP. El cifrado se usa para dar confidencialidad a los datos enviados entre el cliente VPN y el servidor VPN a través de la red compartida o pública ya que siempre va ha existir el riesgo de que un usuario no autorizado intercepte los datos. Es recomendable configurar al servidor VPN para que exija comunicaciones cifradas, de esta manera los usuarios que se conecten al servidor deberán cifrar sus datos de, lo contrario no se permitirá la conexión. 28 Seguridad de nivel de transporte del Protocolo de autenticación extensible (EAP-TLS): Es un protocolo definido en las peticiones de comentario RFC 2716 y se utiliza en entornos seguros y certificados. El intercambio de mensajes EAP-TLS ofrece autenticación mutua, transferencias cifradas totalmente y protegidas 46

48 Es posible utilizar una conexión PPTP no cifrada en donde la trama PPP se envía como texto sin formato, pero este tipo de conexión PPTP sin cifrado no se recomienda en conexiones VPN a través de Internet, ya que las comunicaciones de este tipo no son seguras Protocolo de Túnel capa 2 (L2TP) El Protocolo de túnel de capa 2 (L2TP, Layer Two Tunneling Protocol). Es un protocolo basado en RFC 29 y estándares que se admitió por primera vez en los sistemas operativos de cliente y de servidor Windows L2TP utiliza la Seguridad de protocolos Internet (IPSec) para los servicios de cifrado. La combinación de L2TP e IPSec se conoce como L2TP/IPSec que proporciona los servicios de red privada virtual (VPN) principales de encapsulación y cifrado de datos privados. Tanto L2TP como IPSec deberán ser compatibles con el cliente VPN y el servidor VPN Encapsulación La encapsulación de paquetes L2TP/IPSec consta de dos niveles: 1. Encapsulación L2TP. Las tramas PPP se empaquetan con un encabezado L2TP y un encabezado UDP Encapsulación IPSec. 29 Request For Comments (RFC): Es una serie de documentos que contiene nuevas sugerencias o actualizaciones para estándares de Internet 30 User Datagrama Protocol (UDP): Protocolos que no requiere una conexión directa entre el que envía y recibe. Permite el envío de paquetes de datos a través de Internet. 47

49 En el mensaje L2TP resultante se empaqueta el encabezado y el finalizador de Carga de seguridad de encapsulación (ESP) de IPSec, un finalizador de autenticación IPSec que proporciona autenticación e integridad de mensajes, y un encabezado IP final. El encabezado IP contiene las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN. A continuación la figura 3-2 muestra la encapsulación L2TP e IPSec Trama PPP Cabecera PPP Encriptación PPP de carga útil Cabecera UDP Cabecera L2TP Cabecera PPP Encriptación PPP de carga útil Cabecera IP Cabecera IPSec ESP Cabecera UDP Cabecera L2TP Cabecera PPP Encriptación PPP de carga útil Rastreador IPSec ESP Rastreador IPSec Figura 3-2: Encapsulación L2TP e IPSec para un datagrama PPP Cifrado El mensaje L2TP se cifra con el Estándar de Cifrado de Datos (DES) o Triple DES (3DES) mediante claves de cifrado generadas en el proceso de negociación de Intercambio de claves de Internet (IKE). De igual manera como en el protocolo anterior, es posible utilizar una conexión L2TP no cifrada en la que la trama PPP se envía como texto sin formato Envío de Capa 2 (L2F) L2F fue diseñado como protocolo de túnel de tráfico desde usuarios remotos hacia las organizaciones o empresa. 48

50 Una diferencia entre PPTP y L2F es que el túnel creado por L2F no depende de IP, lo cual le permite trabajar directamente con otro tipo de redes como Frame Relay o ATM. Al igual que PPTP, L2F emplea PPP para la autentificación de los usuarios remotos. L2F permite túneles para soportar más de una conexión Protocolo de Seguridad IP (IPSEC) Protocolo de Seguridad IP (IPSec) se creó con la finalidad de proveer seguridad a los paquetes IP que son enviados a través de una red pública. IPSec permite al usuario autentificar y cifrar cada uno de los paquetes IP. Al separar las aplicaciones de autentificación y encriptación de paquetes se tienen dos maneras diferentes de usar IPSec que se conocen como modos: Modo Transporte: Sólo el segmento de la capa de transporte de un paquete IP es autentificado y encriptado. Modo de túnel: La autentificación y encriptación se aplica a todo el paquete. Este modo es más seguro con respecto al anterior debido a que trata con todo el paquete y no solo un segmento. IPsec también consta de dos sub-protocolos: Encapsulated Security Payload (ESP): Protege los datos del paquete IP de las interferencias de terceros para el cual cifrando el contenido utilizando algoritmos de criptografía simétrica como por ejemplo AES 31. Authentication Header (AH): Protege la cabecera del paquete IP de interferencias de personas ajenas así como también contra la falsificación (spoofing), esto lo hace calculando la suma de comprobación criptográfica y aplicando a los campos de cabecera IP una función hash segura. 31 AES: Cifrador de bloque que opera con bloques y claves de longitudes variables. Permite una implementación eficiente y rápida en software, hardware, tarjetas inteligentes, etc. 49

51 Consideraciones de diseño VPN de acceso remoto Se deberá tener en cuenta los siguientes aspectos de diseño antes de implementar conexiones VPN de acceso remoto: Elegir entre conexiones L2TP/IPSec o basadas en PPTP. Instalar certificados. Configurar filtros de paquetes del servidor de seguridad. Crear una directiva de acceso remoto para las conexiones VPN de acceso remoto. Usar un servidor IAS. Usar Administrador de Conexiones (Connection Manager) Elegir entre conexiones L2TP/IPSec o basadas en PPTP Cuando se vaya a elegir un tipo de conexión se debe tomar en cuenta los siguientes aspectos: PPTP: se puede utilizar con una gran variedad de clientes. PPTP no requiere una infraestructura de claves públicas (PKI) para emitir certificados de equipo. Mediante el cifrado, las conexiones VPN basadas en PPTP proporcionan confidencialidad de los datos, pero no proporcionan integridad de los datos ni autenticación del origen de datos. L2TP: Acepta certificados de equipo o una clave previamente compartida como método de autenticación para Protocolo de Seguridad IP (IPSec).La autenticación de certificados de equipo requiere infraestructura de claves públicas (PKI) para emitir certificados de equipo al servidor VPN y a todos los equipos cliente VPN. 50

52 Mediante IPSec, las conexiones VPN L2TP/IPSec proporcionan confidencialidad, integridad y autenticación de los datos Instalar Certificados Para crear conexiones VPN de acceso remoto L2TP/IPSec utilizando la autenticación mediante certificados de equipo para IPSec, es necesario instalar certificados de equipo en el cliente VPN y en el servidor VPN. Para una ampliación del tema revisar Capítulo Configuración de filtros de paquete del servidor de seguridad Un servidor de seguridad debe configurarse en los filtros de paquetes para permitir el tráfico entre los clientes VPN de Internet y el servidor VPN. Este debe quedar bien configurado puesto de que si no lo hace permitirá a usuarios autorizados, y no autorizados ingresen al servidor VPN. Pero cuando configure los filtros deberá probar antes de que usuarios autorizados no puedan ingresar al servidor VPN Crear una directiva de acceso remoto para las conexiones VPN de acceso remoto Mediante las directivas de acceso remoto, se puede crear una directiva que solicite que las conexiones VPN de acceso remoto utilicen métodos de autenticación y ayuda de cifrado específicos. Se puede crear una directiva que contenga dos condiciones: Tipo de puerto NAS establecido como Virtual (VPN) Grupo de Usuarios VPN: Se puede crear grupos cuyos miembros sean las cuentas de los usuarios que crean las conexiones VPN de acceso remoto a través de Internet 51

53 Finalmente se debe configurar el perfil de la directiva para seleccionar un método de autenticación y un nivel de cifrado específicos Usar servidor IAS Si se dispone de varios servidores VPN, debe configurarse las directivas de acceso remoto y el registro para cada servidor VPN. Si se desea aprovechar las directivas de acceso remoto y los registros centralizados, se puede configurar los servidores VPN como clientes del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) 32. También se deberá utilizar un servidor IAS con el Servicio de enrutamiento y acceso remoto (RRAS, Routing and Remote Access Service) Usar Administrador de Conexiones En una creación VPN de acceso remoto, se puede utilizar un Administrador de Conexiones, para proporcionar un marcador personalizado con conexiones VPN configuradas previamente a todos los clientes de acceso remoto de la organización Seguridad Autenticación La autenticación de clientes de redes privadas virtuales (VPN) por el servidor VPN es un aspecto muy importante de la seguridad. La autenticación tiene lugar en dos niveles: 32 Servicio de usuario de acceso telefónico de autenticación remota (RADIUS): Es un protocolo cliente-servidor que permite que el equipo de acceso a la red envíe solicitudes de administración de cuentas y autenticación a un servidor RADIUS. 52

54 1. Autenticación en el nivel de equipo: Cuando se utiliza Protocolo de Seguridad IP (IPSec) en una conexión VPN de Protocolo de túnel de capa 2 (L2TP) a través de IPSec (L2TP/IPSec), la autenticación de nivel de equipo se realiza mediante el intercambio de certificados de equipo o una clave previamente compartida durante el establecimiento de la asociación de seguridad IPSec. 2. Autenticación en el nivel de usuario: Para enviar datos a través del túnel de Protocolo de Túnel Punto a Punto (PPTP) o L2TP, se debe autenticar el cliente de acceso remoto o el enrutador de marcado a petición que solicita la conexión VPN. La autenticación de nivel de usuario se produce a través de un método de autenticación de Protocolo Punto a Punto (PPP) Autorización Solo se aceptan conexiones VPN de aquellos usuarios y enrutadores que tengan autorización. La autorización de las conexiones VPN se determina mediante las propiedades de marcado en las directivas de la cuenta del usuario y de acceso remoto. No es necesario crear cuentas de usuario adicionales sólo para las conexiones VPN. Los servidores VPN utilizan las cuentas de usuario especificadas en las bases de datos de cuentas de usuario disponibles de acuerdo con la seguridad de los sistemas operativos Cómo funciona la seguridad en la conexión A continuación se describe lo que ocurre durante el intento de conexión de un cliente VPN basado en el Protocolo de Túnel Punto a Punto (PPTP) con un servidor VPN basado en PPTP. 1. El cliente VPN crea un túnel PPTP con el servidor VPN. 2. El servidor envía un mensaje al cliente. 53

55 3. El cliente envía una respuesta cifrada al servidor. 4. El servidor responde adecuadamente la respuesta con la base de datos de cuentas de usuarios. 5. Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN. Descripción de lo que ocurre durante el intento de conexión de un cliente VPN basado en L2TP a través de Protocolo de Seguridad IP (IPSec) con un servidor VPN basado en L2TP/IPSec. 1. La asociación de seguridad IPSec se crea mediante certificados de equipo y el proceso de negociación de Intercambio de claves de Internet (IKE). 2. El cliente VPN crea un túnel L2TP con el servidor VPN. 3. El servidor envía un mensaje al cliente. 4. El cliente envía una respuesta cifrada al servidor. 5. El servidor responde adecuadamente la respuesta con la base de datos de cuentas de usuarios. 6. Si la cuenta es válida y se autoriza la conexión, el servidor acepta la conexión de acuerdo con las directivas de acceso remoto y las propiedades de la cuenta de usuario del cliente VPN La seguridad una vez realizada la conexión Luego de pasar la autorización y la autenticación, y tras conectar a la LAN, los clientes VPN de conexiones VPN de acceso remoto sólo pueden tener acceso a los recursos de la red para los que tengan permisos. Los clientes VPN de acceso remoto están sujetos a la seguridad de los sistemas operativos. Es decir, los clientes VPN de acceso remoto no pueden hacer nada para aquellos usuarios que no tengan los suficientes permisos y acceso a los recursos de la red. El servidor VPN debe autenticar a los clientes VPN de acceso remoto para que éstos puedan tener acceso a la red. 54

56 Para restringir el acceso para las conexiones VPN de acceso remoto en cuanto al tráfico IP se utilizan filtros de paquetes basados en una directiva de acceso remoto Como se da el almacenamiento en caché de credenciales Si los servidores de acceso remoto están configurados para aceptar las credenciales de dominio de los usuarios: nombre de usuario y contraseña como medio para autenticar las solicitudes de acceso, las credenciales utilizadas para el acceso remoto son las mismas que las necesarias para el acceso a los recursos de la red; estos pueden ser: servidores de archivos, servidores de aplicaciones y servidores de correo electrónico. Cada vez que el cliente de acceso remoto intenta acceder a un servidor de la red, el servidor envía un mensaje al cliente para solicitar sus credenciales y asegurarse de que sólo los usuarios autorizados utilicen los recursos del servidor. Si el equipo cliente es miembro del dominio del servidor, el cliente responde automáticamente con las credenciales de inicio de sesión del usuario, y obtiene acceso a los recursos el usuario tiene permisos. Si el equipo cliente que intenta conectarse no es miembro del dominio del servidor, el cliente no tendrá las credenciales de inicio de sesión correctas para responder el mensaje del servidor, cada vez que el usuario intente obtener acceso a un recurso de la red, se le pedirá que especifique las credenciales o se le denegará el acceso. Las credenciales que se utilizan para la autenticación en el servidor de acceso remoto se almacenan o se guardan en la caché del cliente, el cliente responde al mensaje del servidor con las credenciales de acceso remoto almacenadas en la caché y obtiene acceso a los recursos para los que el usuario tenga permisos de seguridad Cifrado de Datos El cifrado de datos se usa para proporcionar confidencialidad a los datos enviados entre el cliente VPN y el servidor VPN a través de la red compartida o pública, donde siempre existe el riesgo de que un usuario no autorizado intercepte los datos. 55

57 Hay que configurar el servidor VPN para exigir comunicaciones cifradas. Los usuarios que se conectan al servidor deben cifrar sus datos, caso contrario, no se permitirá la conexión. En las conexiones VPN, se utiliza el cifrado de seguridad de Protocolo Internet (IPSec) con el Protocolo de túnel de capa 2 (L2TP). Dado que el cifrado de datos se realiza entre el cliente VPN y el servidor VPN, que no es necesario en el vínculo de comunicaciones establecido entre un cliente de acceso telefónico y su Proveedor de Servicios Internet (ISP). Por ejemplo, si un usuario móvil utiliza una conexión de acceso telefónico para conectarse con un ISP local. Una vez realizada la conexión a Internet, el usuario crea una conexión VPN con el servidor VPN de la organización, si la conexión VPN está cifrada, no es necesario cifrar la conexión de acceso telefónico entre el usuario y el ISP. El cifrado de datos para las conexiones de Protocolo punto a punto (PPP) o Protocolo de Túnel Punto a Punto (PPTP) sólo está disponible si se utiliza MS-CHAP y EAP- TLS como método de autenticación de nivel de usuario. El cifrado de datos de las conexiones L2TP se basa en la autenticación de nivel de equipo IPSec, que no requiere ningún método de autenticación específico de nivel de usuario. El cifrado de datos VPN no proporciona cifrado de extremo a extremo. El cifrado de extremo a extremo es el cifrado de datos entre la aplicación cliente y el servidor que aloja el recurso o servicio al que tiene acceso la aplicación cliente. Para obtener un cifrado de extremo a extremo se puede utilizar IPSec para crear una conexión segura después de realizar la conexión VPN Filtrado de paquetes Para proteger el servidor VPN del envío o recepción de datos de todas las transmisiones excepto las transmisiones VPN en la interfaz de Internet, es necesario configurar los filtros de entrada y salida para PPTP o L2TP/IPSec en la interfaz que corresponde a la conexión a Internet. 56

58 En las conexiones VPN de enrutador a enrutador se debe configurar también los filtros de paquetes PPTP o L2TP/IPSec en el enrutador de llamada o el cliente VPN. Ya que el enrutamiento IP está habilitado de forma predeterminada en las interfaces de la intranet y en la interfaz que corresponde a la conexión a Internet se reenvía los paquetes IP entre Internet y la intranet de esta manera se proporciona una conexión directa enrutada entre la intranet y los posibles intrusos de Internet. Para proteger la intranet de forma que sólo se reenvíen a ella las transmisiones enviadas y recibidas a través de conexiones VPN seguras, se debe configurar filtros PPTP o L2TP/IPSec en la interfaz de Internet. Si tiene un servidor de seguridad, debe configurar en él filtros de paquetes para permitir el tráfico entre el enrutador VPN y los enrutadores de Internet Filtros de paquetes para PPTP Al configurar los filtros, el servidor podrá determinar que tipo de tráfico tendrá acceso, debido a que existe mucho tráfico no autorizado intentado acceder a la red. En PPP es posible configurar filtros de paquetes de entrada y de salida mediante la interfaz de Internet y la interfaz de la red perimetral Filtros en la Interfaz de la red perimetral Para permitir que accedan a la red los distintos tipos de tráfico se deben configurar los siguientes filtros de entrada en el servidor de seguridad de la interfaz de la red perimetral Dirección IP de origen de la interfaz de la red perimetral del servidor VPN y puerto de origen TCP: Este filtro permite el tráfico de mantenimiento del túnel PPTP desde el servidor hacia el cliente VPN 57

59 Dirección IP de origen de la interfaz con la red perimetral del servidor VPN y un identificador de protocolo IP: De igual manera este filtro permite datos del túnel PPTP desde el servidor hacia el cliente. Dirección IP de origen de la interfaz de la red perimetral del servidor VPN y puerto de destino TCP Filtros en la Interfaz de Internet Para permitir que accedan a la red los distintos tipos de tráfico se deben configurar los siguientes filtros de entrada en el servidor de seguridad de la interfaz de Internet Dirección IP de destino de la interfaz de la red perimetral del servidor VPN y puerto de destino TCP 33 : Este filtro permite tráfico de mantenimiento del túnel PPTP desde el cliente hacia el servidor PPTP. Dirección IP de destino de la interfaz de la red perimetral del servidor VPN y un identificador de protocolo IP: De igual manera este filtro permite datos de túnel PPTP desde el cliente hacia el servidor PPTP. Dirección IP de destino de la interfaz de la red perimetral del servidor VPN y puerto de origen TCP: Este filtro sólo es necesario cuando el servidor VPN actúa como cliente VPN (un enrutador de llamada) en una conexión VPN de enrutador a enrutador. Este filtro sólo debe utilizarse junto con los filtros de paquetes PPTP y configurarse en la interfaz de la red perimetral del servidor VPN. De igual manera se debe configurar estas características para los filtros de salida en la Interfaz de Internet. 33 Protocolo de Control de Transmisión (TCP, Transmission Control Protocol ): Este protocolo es para la transmisión de datos en Red y especialmente en Internet 58

60 Filtros de paquetes para L2TP/IPSec Se debe configurar el siguiente filtro de entrada que se presenta a continuación y descartar aquellos que no cumplan con este criterio. Dirección IP de destino de la interfaz del servicio VPN y el puerto de destino UDP: Este filtro permite el tráfico de Intercambio de claves de Internet (IKE) hacia el servidor VPN. También permite el tráfico L2TP desde el cliente hacia el servidor Consideraciones sobre la seguridad de conexión de acceso remoto a las VPN Con las siguientes consideraciones se puede mejorar la seguridad de las VPN de acceso remoto Conexiones L2TP Las conexiones VPN L2TP/IPSec proporcionan confidencialidad e integridad de los datos, así como de la autenticación del origen de los datos. Para autenticar la asociación de seguridad IPSec, las conexiones L2TP/IPSec deben utilizar lo siguiente: Un certificado de equipo Los certificados de equipo son un método de autenticación recomendada ya que proporcionan autenticación segura y son muy difíciles de suplantar. La autenticación mediante certificados de equipo requiere Infraestructura de Claves Públicas (PKI) para emitir certificados de equipo al servidor VPN y a todos los clientes VPN Una clave previamente compartida Una clave predeterminada compartida es una cadena de texto configurada en el cliente VPN y el servidor VP. Esta clave es un método de autenticación muy 59

61 insegura, solo se recomienda como una medida temporal mientras se implementa la Infraestructura de clave públicas (PKI) Autenticación de usuarios segura Para la autenticación de usuarios se debe usar el esquema de autenticación más seguro posible en la configuración VPN de acceso remoto. El esquema de autenticación más seguro consiste en utilizar EAP-TLS con certificados debido a que este brinda protección el los niveles de transporte actuando como un software para protección de antivirus y control de acceso a la red Cifrado de datos Para el cifrado se puede utilizar cifrado de extremo a extremo con cifrado de vínculos: El cifrado de vínculos cifra sólo los datos del vínculo establecido entre el cliente VPN y el servidor VPN. En las conexiones L2TP/IPSec, IPSec proporcionan cifrado en el vínculo establecido entre el cliente VPN y el servidor VPN. El cifrado de extremo a extremo cifra los datos entre el host de origen y su destino final. Puede utilizarse IPSec después de realizar la conexión VPN para cifrar los datos desde el host de origen al host de destino Filtrado de paquetes PPTP o L2TP/IPSec Para proteger el servidor VPN del envío o recepción de todas las transmisiones excepto las transmisiones VPN en su interfaz de Internet, es necesario configurar filtros de entrada y salida para PPTP o L2TP/IPSec en la interfaz que corresponde a la conexión a Internet Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configuran filtros PPTP o L2TP/IPSec en esta, el tráfico recibido en esta interfaz se enrutará con lo que se puede reenviar tráfico de Internet no deseado a la intranet. 60

62 Filtrado de paquetes del servidor de seguridad Es bastante frecuente proteger a los hosts de la intranet, por ejemplo un servidor VPN de los hosts de Internet mediante un servidor de seguridad. Si tiene un servidor de seguridad, se debe configurar en el servidor los filtros de paquetes para permitir el tráfico entre los clientes VPN de Internet y el servidor VPN Servidores VPN multiuso Debido a la forma en que se crean las rutas en los clientes VPN de acceso remoto, es posible que el cliente VPN envíe transmisiones sin cifrar al servidor VPN en lugar de hacerlo a través del túnel cifrado de la conexión VPN. Por ejemplo, el cliente VPN puede conectar a otros servicios que se ejecuten en el servidor VPN sin enrutar el tráfico a través de la conexión VPN. Sólo se envía sin cifrar el tráfico destinado a la dirección IP pública del servidor VPN. Sin embargo la transmisión del cliente estará cifrada si utiliza la dirección IP de la interfaz interna o privada del servidor VPN. Cuando un cliente VPN de acceso remoto realiza una conexión VPN con un servidor VPN, se crea una serie de rutas en la tabla de enrutamiento IP del cliente: Ruta predeterminada que utiliza la conexión VPN La nueva ruta predeterminada de la conexión VPN reemplaza de forma efectiva la ruta predeterminada existente durante el tiempo de la conexión. Una vez establecida la conexión, todo el tráfico que no corresponda a una dirección de la red conectada directamente o la dirección del servidor VPN se envía sin cifrar a través de la conexión VPN. Ruta de host al servidor VPN que utiliza la conexión de red local La ruta de host de la dirección del servidor VPN se crea para poder tener acceso al servidor VPN mediante la red conectada localmente. Si la ruta de host no está presente no se puede enviar tráfico VPN al servidor VPN. El resultado de tener la ruta de host para el servidor VPN, es que todo el tráfico que se envía a las aplicaciones que se ejecutan en el servidor VPN no se envía a través de 61

63 la conexión VPN, sino que se envía sin cifrar a través de la red situada entre el cliente VPN y el servidor VPN. Además, si hay filtros de paquetes configurados en el servidor VPN que sólo permitan el tráfico de conexiones VPN, el resto del tráfico enviado al servidor VPN se descarta. En este caso todos los intentos de conectarse a los servicios que se ejecutan en el servidor VPN darán errores porque el tráfico que intenta conectarse a dichos servicios no se envía a través de la conexión VPN. La clave para determinar qué dirección utiliza el cliente VPN para tener acceso a los servicios que se ejecutan en el servidor VPN esta en la forma en que se resuelve el nombre del servidor VPN. En general los usuarios y las aplicaciones hacen referencia a los recursos de la red mediante nombres, en lugar de utilizar direcciones IP. El nombre debe resolverse en una dirección IP mediante DNS 34. Si las infraestructura DNS de la intranet no contienen un registro que asigne el nombre del servidor VPN a la dirección IP pública del servidor VPN, el tráfico dirigido a los servicios que se ejecutan en el servidor VPN siempre se envía a través de la conexión VPN. Antes de establecer la conexión VPN, el cliente VPN utiliza la infraestructura DNS de Internet para resolver el nombre del servidor VPN en sus direcciones IP públicas Impedir el enrutamiento de tráfico desde los clientes de acceso remoto Una vez que un cliente de acceso remoto establece correctamente una conexión PPTP o L2TP de forma predeterminada, cualquier paquete enviado a través de la conexión se recibe en el servidor VPN y se reenvía. Entre los paquetes enviados a través de la conexión se pueden incluir: Paquetes originados en el equipo cliente de acceso remoto. Paquetes enviados al cliente de acceso remoto por otros equipos. Cuando el equipo cliente de acceso remoto establece la conexión VPN se crea de forma predeterminada una ruta para que todo el tráfico que coincida con esa ruta se 34 Sistema o servicio de nombres de dominio (DNS, Domain Name System): Servicio de Internet que traduce nombres de dominios compuestos por letras, en direcciones IP compuestas por números. 62

64 envíe a través de la conexión VPN. Si otros equipos reenvían tráfico al cliente VPN de acceso remoto, tratando al equipo cliente de acceso remoto como un enrutador, dicho tráfico también se puede reenviar a través de la conexión VPN. Esto genera un problema de seguridad, ya que el equipo que envía el tráfico al cliente VPN de acceso remoto no ha sido autenticado por el servidor VPN. El equipo que envía tráfico al equipo cliente VPN de acceso remoto tiene acceso en la red física a los mismos recursos que el equipo cliente VPN de acceso remoto autenticado. Para impedir que el servidor VPN envíe tráfico a través de la conexión VPN para equipos que no sean clientes VPN de acceso remoto autenticados, se debe configurar los siguientes filtros de paquetes en la directiva de acceso remoto que se utiliza para las conexiones VPN: Filtro desde el cliente: Denegar todo el tráfico excepto el que se lista a continuación: Tabla de permisos que debe tener el cliente Campo Filtro de paquete IP Dirección de origen Máscara de red de origen Dirección de destino Máscara de red de destino Protocolo Configuración Dirección del usuario Máscara del usuario Cualquiera Cualquiera Cualquiera Filtro hacia el cliente: Denegar todo el tráfico excepto el que se lista a continuación: 63

65 Tabla de permisos que se tiene hacia el cliente Campo Filtro de paquete IP Dirección de origen Máscara de red de origen Dirección de destino Máscara de red de destino Protocolo Configuración Cualquiera Cualquiera Dirección del usuario Máscara del usuario Cualquiera Este conjunto de filtros de paquetes IP hará que el servidor VPN descarte todo el tráfico enviado a través de la conexión VPN excepto el que tenga origen o destino en los clientes VPN de acceso remoto autenticados. La figura 3-3 muestra como se da el tráfico desde los clientes de acceso remoto Cliente de Acceso Remoto INTERNET Intranet Empresa ABC Servidor VPN Figura 3-3: Tráfico desde los clientes de acceso remoto Filtrado de paquetes con el perfil de la directiva de acceso remoto Para definir los tipos específicos de transmisiones IP permitidas para las conexiones VPN de acceso remoto, es necesario configurar filtros de paquetes IP en la directiva de acceso remoto utilizada en las conexiones VPN de acceso remoto. 64

66 Mediante los filtros de paquetes se puede establecer las transmisiones IP que se permitirán desde los clientes de acceso remoto (filtros desde el cliente) o hacia los clientes de acceso remoto (filtros al cliente) sobre la base de un conjunto de excepciones: todo el tráfico excepto aquél que este especificado por los filtros de la directiva de acceso remoto se aplica a todas las conexiones de acceso remoto que cumplen la directiva de acceso remoto. Por ejemplo, las directivas de acceso permiten el acceso de tráfico si estos cumplen con algunos requisitos como: el cliente debe ser miembro de la VPN, debe tener asignados los protocolos con los que trabaja el servidor y en el servidor este cliente debe tener activado la opción de permiso de acceso remoto. 65

67 Capítulo 4. ANÁLISIS Y RECOMENDACIONES Análisis de las VPN existentes en la Universidad Politécnica Salesiana Como sabemos una VPN es un servicio que permite a los usuarios establecer conexiones seguras sobre una red pública como es Internet. Actualmente la Universidad Politécnica Salesiana cuenta con los servicios de una VPN, esto es de gran ayuda sobre todo para los usuarios que continuamente están viajando y necesitan acceder a los sistemas de información de la universidad Con el servicio de las VPNs los usuarios únicamente necesitan contar con un computador y tener acceso a Internet para la comunicación Requerimientos mínimos que se necesita para implementar una VPN sobre Windows XP Para poder instalar, configurar y utilizar el servicio de VPN debemos disponer de un equipo que cumpla los requerimientos siguientes: Sistema Operativo Windows XP. Procesador Pentium o superior El espacio en disco duro debe ser mínimo de 10 MB y 128 MB de memoria RAM. Tener acceso a Internet Software para Cliente VPN 66

68 4.1.2 Características con las que cuenta la UPS Actualmente la universidad cuenta con los siguientes componentes en el computador donde se encuentra configurado las VPN Sistema Operativo Windows XP 512 en memoria RAM Procesador Pentium IV Procesador 2.05 GHZ BIOS Flash de 1024 KB Cuenta con Acceso a Internet Configuración VPN de la UPS La configuración de la VPN está a nivel de hardware ya que la Universidad cuenta con un Firewall CISCO ASA Firewall Cisco ASA 5520, líder del sector y los servicios IPsec/SSL 35 VPN, dirigidos a entornos de red para grandes empresas. Puede proporcionar más de 1,2 gigabits por segundo (Gbps) de rendimiento de firewall y da soporte a 200 redes de área local virtuales (VLAN), de tal forma que las empresas pueden segmentar su red en numerosas zonas de alto rendimiento para mejorar la seguridad. También ofrece servicios VPN escalables, que soportan hasta clientes IPsec y SSL VPN por aplicación. Mediante sus capacidades de agrupación de VPN y de balanceo de carga, las empresas pueden agrupar hasta 10 dispositivos Cisco ASA 5520, dando servicio a usuarios simultáneos de IPsec y SSL VPN. 35 Nivel de socket seguro (SSL, Secure Socket Layer): Tecnología de cifrado para la Web utilizada con el fin de proporcionar transacciones seguras, por ejemplo la transmisión del número de la tarjeta de crédito para el comercio electrónico. 67

69 Pasos de configuración: Primero se debe levantar el servicio de VPN cliente al servidor Asignar la subred a los clientes VPN Luego de debe escoger los protocolos de Encriptación: estos son IPSec, ESP, 3DES, SHA. Todos estos protocolos de criptografía se le asigna al puerto de salida del Firewall ya que este es quién realliza el túnel de conexión con los clientes. Luego se escoge las políticas de autenticación. Se escoge también las políticas de hash. Se escoge las políticas de Grupo. Se escoge las políticas de tiempo de vida de la conexión. Luego se crea los Grupos y password para los clientes VPN. Se crea el túnel para los grupos y se incluye el protocolo de túnel IPSec. Finalmente se crea los usuarios, las contraseñas y sus respectivos privilegios Protocolos con los que trabaja la UPS IPSec Es una Infraestructura basada en estándares abiertos que brinda confidencialidad, integridad y autenticación de datos. Razones por la cual la universidad está usando este protocolo: IPSec proporciona seguridad a IP y a los protocolos de capas superiores. IPSec emplea dos protocolos diferentes AH y ESP para asegurar la confidencialidad, autenticación e integridad de la comunicación. Aquí en la Universidad se hace uso de los dos protocolos en forma independiente. Protege el datagrama IP completamente o solo los protocolos de capas superiores ya que este trabaja a Modo de Túnel y Modo Transporte. En la Universidad utilizan la configuración a Modo Túnel. 68

70 IPSec emplea códigos de autenticación de mensaje basado en resúmenes HMAC 36 IPsec emplean algoritmos estándar de cifrado simétrico como DES. Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes donde el paquete recibe un número de secuencia y sólo es aceptado si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente ESP Carga de Seguridad Encapsulada (ESP, Encapsulating Security Payload). Tiene las siguientes características: Proporciona confidencialidad y autenticación del origen de los datos. Detección de reproducciones: es decir cuando un atacante almacena los paquetes originales y los reproduce posteriormente. Proporciona integridad de secuencias parciales y confidencialidad del flujo de tráfico limitado. ESP asegura la integridad del paquete empleando una HMAC. ESP Aregua la confidencialidad empleando cifrado de datos DES Estándar de cifrado de datos (DES, Data Encryption Standard) tiene las siguientes características: Usa dos claves y tres ejecuciones del algoritmo DES. Tiene una secuencia de: Cifrado Descifrado Cifrado. Permite a los usuarios de Triple DES descifrar datos de los usuario DES. 36 Código de autenticación de mensajes basado en funciones hash criptográficas (HMAC, Hash Message Authentication Codes): Los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. 69

71 Los ataques criptoanalíticos tienen poco o casi nada de impacto en la información. La longitud de claves es de 112 bits SHA Algoritmo de hash seguro (SHA): tiene las siguientes características Es una alternativa a MD5 Una característica de SHA es que sirve para generar firmas digitales, pero actualmente la universidad no cuenta con este servicio. Toma un mensaje de menos de 264 bits de longitud para producir un resumen del mensaje de 160 bits. Un resumen de mensaje grande proporciona seguridad contra colisiones por fuerza bruta Diagrama VPN de la Universidad Politécnica Salesiana Máquina UPS Máquina UPS 2 Servidor VPN Máquina UPS INTERNET FIREWALL CISCO ASA 5520 Cliente VPN Servidor WEB 70

72 En el diagrama expuesto, las direcciones privadas no son las reales que se utiliza en la Universidad Politécnica Salesiana, ya que por motivos de seguridad, el Administrador de la Red no proporcionó esa información. Las direcciones especificadas (excepto la pública) son a fines de ejemplo. Lo que realiza el cliente VPN es conectarse a Internet a través de un ISP local para tratar de realizar la conexión al servidor VPN Antes de ingresar al servidor VPN el usuario debe autenticarse y esto la va hacer el Firewall que está colocado antes de los servidores, este lo que hará es verificar si el cliente que intenta conectarse está registrado en el servidor, en caso de que el usuario no exista se rechazará la conexión caso contrario el usuario puede acceder a los recursos de la VPN Configuración sugerida La configuración está enfocada hacia el Firewall que usa la universidad Entrar al modo de configuración global: Firewall>enable Firewall#configure terminal Configurar las zonas de interfaces para designar las zonas de seguridad: Firewall(config)#nameif serial0 outside segurity0 Firewall(config)#nameif ethernet0 extranet segurity50 Firewall(config)#nameif ethernet1 inside segurity100 Configurar las especificaciones de ethernet que por lo general se les deja en automático: Firewall(config)#interface serial0 auto Firewall(config)#interface ethernet0 auto Firewall(config)#interface ethernet1 auto Las interfaces se deben identificar con direcciones máscaras IP. Estas direcciones solo son tomadas como ejemplo: Firewall(config)#ip address outside

73 Firewall(config)#ip address extranet Firewall(config)#ip address outside Luego de esto se crean las listas de acceso, se puede crear un conjunto de seguridad, estos conjuntos van desde el 0 hasta el 15. Firewall(config)#nameif ethernet0 inside security15 Firewall(config)#nameif ethernet1 inside security15 Firewall(config)#nameif serial0 outside security15 Ésta es una configuración elevada para el usuario que tendrá el máximo privilegio dentro del uso de las VPN. En este caso sería el administrador. En la UPS por política de seguridad utilizan el nivel máximo de seguridad. Ahora debemos crear un ACL 37 que permita el tráfico con la seguridad creada anteriormente. Luego usamos estos comandos El comando static nos permitirá hacer visible una dirección externa. Firewall(config)#static (inside, outside) netmask Con el comando conduit crearemos la ACL Firewall(config)#conduit permit tcp host eq 80 any Y finalmente con el comando apply, aplicamos la ACL a la interfaz Firewall(config)#apply (extranet) 10 outgoing_src Luego en el mismo firewall de debe escoger las políticas de seguridad. Como política de hash optaría por MD5 ya que Cisco lo utiliza para tareas de autenticación dentro de la estructura de IPSec. Además MD5 verifica la integridad y autentica el origen de una comunicación. Con está función de hash se puede evitar el uso de SHA que usa la Universidad ya que este no es muy ventajoso para el caso de la universidad debido a que ahí no se brinda el servicio de firmas digitales. Otro protocolo de seguridad que se recomienda es IPSec debido a que este asegura la confidencialidad, autenticación e integridad de la comunicación que son elementos claves para garantizar que la VPN es totalmente confiable. Finalmente el último protocolo sería DES ya que este protocolo es bastante robusto en lo que respecta al tamaño de las claves. DES maneja una longitud 37 Lista de control de acceso. Mecanismo que sirve para especificar los permisos de acceso al propio dispositivo o a las redes que están tras él. 72

74 de 56 bits, es decir existen 2 56 claves posibles lo que un ataque por este sentido llevaría mucho tiempo, lo cual lo hace más seguro. La Universidad maneja otros protocolos como ESP separado de IPSec, bajo mi punto de vista no le veo muy óptimo ya que IPSec emplea este protocolo y por ende sus características. De igual manera trabaja con 3DES, como sabemos este maneja cifrado-descifrado-cifrado, la etapa de descifrado no tiene un gran significado criptográfico aparte que hace un poco más lento al sistema al usar más recursos, con emplear DES sería más que suficiente, pero antes de saber definitivamente que algoritmo usar, la Universidad debe implantar políticas de contraseñas dependiendo de la clasificación de la Información Recomendar Alternativas de Seguridad Los administradores de la universidad deben tener en cuenta que cada uno de los componentes que está usando tiene algún tipo de vulnerabilidad, por lo que tiene que poner atención a estas vulnerabilidades que podrían causar mucho daño a la universidad pudiendo estos ser robo de la información o alteración de la misma (por ejemplo las notas de los estudiantes, estrategias competitivas de la universidad, etc.). Por esta razón no se debe descuidar los posibles riesgos que existan, ya que no debemos olvidar que la información es el activo más importante de cualquier organización. Primero la universidad debe tratar de mantener una configuración más simple, debido a que esta es más fácil de administrar y estar siempre pendiente de las cosas que suceden. Una configuración compleja también conlleva a que se descuiden algunas puertas lo que significaría que hay más puntos por donde acceder a la VPN. Una configuración sencilla (pero fuerte) nos permite identificar cuales son los puntos más vulnerables en la red para incrementar la seguridad. 73

75 Una recomendación muy importante es que no solo se debe poner seguridad en el acceso a Internet sino a los puntos también donde tienen acceso los usuarios internos (por ejemplo los estudiantes). Para evitar ataques como: suplantación de direcciones, ataques a los servidores, intermediarios, los administradores de la universidad deben poner más énfasis en el manejo del protocolo IPSec ya que este puede evitar todos estos ataques, aparte que también IPSec está a nivel de red proporcionando seguridad automática a todas las aplicaciones. Deberían analizar a fondo cada una de las ventajas que ofrece este protocolo antes que usar bastantes protocolos y se vuelva más complicada la administración. La universidad también debe mantener clasificada lo más que pueda la información y dependiendo de su importancia mantenerla alejada de los puntos más vulnerables de la red. Toda la información que se envíe a través de las VPN siempre debe estar encriptada por más pequeña que esta sea, ya que si por cualquier motivo alguien en la red se roba la información no le será útil por que no cuenta con las claves para descifrarlo. Una recomendación muy importante es No usar la configuración estándar por qué alguien que desee atacar lo primero que intentará es probar la configuración estándar. También se recomienda a los administradores de la universidad que mantengan un monitoreo constante de la red; por ejemplo, cuando alguien ingresa a Internet siempre está expuesto a que ingrese virus o código malicioso. 74

76 En la universidad es bastante común la descarga de software mediante Internet, con un importante riesgo de descargarse software con virus. Una alternativa a este problema podría ser usar un resumen MD5, esto consiste en comprobar que la descarga no ha sido alterada con respecto a la información publicada en Internet Definir políticas de contraseñas ya que actualmente la Universidad no cuenta con este tipo de políticas, estas políticas se deberán implantar de acuerdo a la clasificación de la Información, esta puede ser: Secreta, Confidencial, Privada o Pública. El máximo tiempo que se recomienda para el cambio de contraseñas es de 90 días. Manual para usuarios que desean acceder a la VPN Primero el usuario deberá instalar el software en su máquina. El software a utilizar es Cisco System VPN Client, si no le tiene se puede descargar de la página u otra alternativa es 75

77 Como en toda instalación típica ponemos siguiente 76

78 77

79 Una vez terminad la instalación debemos reiniciar la máquina esto es necesario para la actualización de los componentes. Luego nos vamos a: o Inicio / Programas / Cisco System VPN Client 78

80 A continuación se nos presentará la siguiente ventana: Para realizar la conexión en la ventana damos clic en Nuevo (New) y tendremos la siguiente ventana para la configuración: 79

81 Luego en los campos que tenemos colocamos los siguientes datos: o En el campo conexión de entrada (Connection Entry) colocamos un nombre cualquiera ya que es solo una etiqueta de la conexión. o En el campo Descripción (Description) de igual forma colocamos cualquier nombre. o Ahora en el campo host colocamos la IP pública de la Universidad para nuestro caso es o Luego en el campo Nombre (Name) colocamos el nombre de grupo de la VPN, está información nos proporcionará el administrador de la VPN o En el campo password colocamos la contraseña que de igual manera nos dará el administrador o Finalmente confirmamos la contraseña. En la misma ventana damos clic en la pestaña Transporte (Transport) y se nos presentará la siguiente pantalla: 80

82 Habilitamos la opción de Túnel Transparente (Enable Transparent Tunneling) Para escoger las opciones de IPSec sobre UDP o IPSec sobre TCP va a depender del tipo de conexión que tengamos: o Si tenemos una conexión con Módem a través de acceso telefónico se deberá escoger la primera opción. o De lo contrario si nuestra conexión es mediante ADSL 38 o cable Módem escogeremos la segunda opción. Luego damos clic en la pestaña Dial Up y tendremos lo siguiente: Aquí habilitamos las dos primeras opciones: o Conectarse a Internet vía Dial UP o Área de red de Microsoft 38 Línea de suscriptor digital asimétrica (ADSL, Asymmetric Digital Subscriber Line). 81

83 Finalmente Guardamos (Save) todo lo configurado y la conexión queda definida como lo vemos en la pantalla del software. De aquí en adelante el usuario podrá conectarse las veces que desee: Únicamente para iniciar la conexión deberá dar clic en el botón Conectar (Connect) o en el Menu Conexiones de entrada (Connection Entry) 82

84 Ahora se inicia el proceso de conexión. En caso de que todavía no este establecida la conexión a Internet el cliente VPN llamará al servicio de acceso telefónico 83

85 Una vez que se ha establecido la conexión a Internet se nos solicitará el nombre de usuario y password 84

86 Si los datos ingresados están correctos finalmente se nos presentará la siguiente pantalla Para desconectarnos de la VPN damos clic en el candado que se aparece en la parte inferior derecha del computador. 85

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. Redes privadas virtuales. VPN Beneficios y desventajas con respecto a las líneas dedicadas. En años pasados si una oficina remota

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Necesidad de procesar y almacenar Información.

Necesidad de procesar y almacenar Información. Necesidad de procesar y almacenar Información. Necesidad de compartir Información (LAN, WAN, Internet). Las Redes Privadas Virtuales, surgen debido a deficiencias en seguridad, falta de confidencialidad

Más detalles

Mecanismos de protección. Xavier Perramon

Mecanismos de protección. Xavier Perramon Mecanismos de protección Xavier Perramon 50 Mecanismos de protección 3. Protección del nivel de red: IPsec. En los apartados anteriores hemos visto los mecanismos básicos de protección, que proporcionan

Más detalles

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA CONCEPTO VPN DEFINICIÓN, QUE SE PUEDE HACER CON UN VPN TIPOS DE VPN - ARQUITECTURA VPN ACCESO

Más detalles

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) La Red Privada Virtual (VPN), cuyo nombre deriva del inglés Virtual Private Network,

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta Temas Avanzados de Redes de Ordenadores ÍNDICE Vulnerabilidades de los protocolos de la arquitectura TCP/IP IPSec Definición Formato paquetes Modos funcionamiento

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

Como crear una red privada virtual (VPN) en Windows XP

Como crear una red privada virtual (VPN) en Windows XP Como crear una red privada virtual (VPN) en Windows XP Introducción Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

REDES PRIVADAS VIRTUALES (RPV)

REDES PRIVADAS VIRTUALES (RPV) Page 1 of 12 REDES PRIVADAS VIRTUALES (RPV) En Internet, cada vez más extendida, las empresas y gobiernos usan la red Internet como una herramienta más, confiándole información importante. El problema

Más detalles

Redes Privadas Virtuales Virtual Private Networks

Redes Privadas Virtuales Virtual Private Networks VPN 05/10/06 1 Redes Privadas Virtuales Virtual Private Networks Proporcionan una red de datos privada sobre infraestructuras de telecomunicaciones públicas, como Internet. Permita a los participantes

Más detalles

Introducción a la Seguridad con IP Seguro en Internet (IPSec)

Introducción a la Seguridad con IP Seguro en Internet (IPSec) Introducción a la Seguridad con IP Seguro en Internet (IPSec) M. en C. Mauricio Olguín Carbajal M. en C. Israel Rivera Zárate Profesores del CIDETEC-IPN Adrián Martínez Ramírez Erika Rocío Barrón Luis

Más detalles

Seguridad en el Perímetro

Seguridad en el Perímetro UNIVERSIDAD AMERICANA Seguridad en el Perímetro Unidad VI Redes de Comunicación Ing. Luis Müller 2011 Esta es una recopilación de la teoría referente a la asignatura Redes de Comunicación, a ser estudiada

Más detalles

Redes de Área Local: Configuración de una VPN en Windows XP

Redes de Área Local: Configuración de una VPN en Windows XP Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

Introducción Internet no tiene una estructura real, pero existen varios backbone principales. Estos se construyen a partir de líneas y routers de alta velocidad. Conectados a los backbone hay redes regionales

Más detalles

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores Capítulo 4 Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores garantías en seguridad en redes inalámbricas, eliminando las debilidades

Más detalles

Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Seguridad en el Acceso Remoto: SSH Seguridad en IP: IPSec Seguridad en el Correo Electrónico: PGP (GPG en Software Libre!!)

Más detalles

Cómo funcionan las redes privadas virtuales (VPN)

Cómo funcionan las redes privadas virtuales (VPN) Cómo funcionan las redes privadas virtuales (VPN) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Antecedentes Qué constituye una VPN? Analogía: cada LAN es como

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.- Cuáles de las siguientes son dos afirmaciones verdaderas acerca de DSL? (Elija dos opciones). los usuarios se encuentran en un medio compartido usa transmisión de señal de RF el bucle local puede tener

Más detalles

Tecnología VPN (1ª parte)

Tecnología VPN (1ª parte) Tecnología VPN (1ª parte) Lic. María Teresa Lozano Hernández, Lic. María de Lourdes Olvera Cárdenas, Ing. María del Rocío Velázquez Serrano, Profesoras del CIDETEC-IPN D esde hace mucho tiempo, el mundo

Más detalles

Seguridad en Redes Protocolos Seguros

Seguridad en Redes Protocolos Seguros Seguridad en Redes junio de 2009 Índice Dónde situar la seguridad? Podría ser en varias capas Lo veremos con algunos ejemplos. En la capa de Enlace: Seguridad inalámbrica. WEP y WPA En la capa de Red:

Más detalles

INFORME INSTALACION Y CONFIGURACION DE UNA VPN EXAMEN FINAL PRESENTADO POR: EDINSON ACEVEDO CONTRERAS PRESENTADO A: ING.

INFORME INSTALACION Y CONFIGURACION DE UNA VPN EXAMEN FINAL PRESENTADO POR: EDINSON ACEVEDO CONTRERAS PRESENTADO A: ING. INFORME INSTALACION Y CONFIGURACION DE UNA VPN EXAMEN FINAL PRESENTADO POR: EDINSON ACEVEDO CONTRERAS 1150512 PRESENTADO A: ING. JEAN POLO CEQUEDA UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11 Versión 28/02/11 :: Redes :: aplicación transporte red enlace física Redes Privadas David Villa :: http://www.inf-cr.uclm.es/www/dvilla/ 1 Contenidos Introducción Direccionamiento

Más detalles

Semana 11: Fir Fir w e a w lls

Semana 11: Fir Fir w e a w lls Semana 11: Firewalls Seguridad IP: IPSec Aprendizajes esperados Contenidos: Seguridad IP: IPSec Protocolos AH y ESP IPsec IPsec es una extensión al protocolo IP que proporciona p seguridad a IP y alosprotocolos

Más detalles

C A P Í T U L O VI PROTOCOLOS SEGUROS

C A P Í T U L O VI PROTOCOLOS SEGUROS C A P Í T U L O VI PROTOCOLOS SEGUROS 6.1 SSL (Secure Sockets Layer) 6.2 TLS (Transport Layer Security) 6.3 PCT (Private Communications Technology) 6.4 S-HTTP (Secure HyperText Transfer Protocol) 6.5 IPSEC

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta e-mail: lagarcia@ree.es 1. Introducción: Debilidades de TCP/IP El TPC-IP se creó en una época y en una situación donde la seguridad no era algo que concerniera demasiado. Inicialmente,

Más detalles

Capítulo 8, Sección 8.6: IPsec

Capítulo 8, Sección 8.6: IPsec Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross. 8.6-1 Capítulo 8 contenidos 8.1 Qué es la seguridad

Más detalles

Curso de Seguridad Infórmatica

Curso de Seguridad Infórmatica Curso de Seguridad Infórmatica Índice 6.1 Introducción a redes virtuales privadas 6.2 Funcionamiento de las VPN 6.3 Requerimientos de una VPN 6.4 Tunneling y VPN 6.5 Seguridad IP (IPSec) y protocolos vpn

Más detalles

Red privada virtual: Una descripción general

Red privada virtual: Una descripción general Windows NT Server Sistema operativo Red privada virtual: Una descripción general Bajado desde www.softdownload.com.ar Resumen Este documento proporciona una descripción general de redes privadas virtuales

Más detalles

UNIVERSIDAD TÉCNICA DEL NORTE

UNIVERSIDAD TÉCNICA DEL NORTE UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERIA EN CIENCIAS APLICADAS ESCUELA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Tesis previa la obtención del título de Ingeniero en Sistemas Computacionales

Más detalles

Concepto General de VPN

Concepto General de VPN Contenido Qué es una VPN? Tecnologias Anteriores. Descripción de las VPN. Arquitecturas VPN. Tunelamiento. PPTP (Protocolo de Túnel Punto a Punto). L2TP (Protocolo de Túnel de Capa 2). VPN SSL (Secure

Más detalles

RED PRIVADA VIRTUAL. Introducción

RED PRIVADA VIRTUAL. Introducción RED PRIVADA VIRTUAL Fernando Martín Moreno Jefe de Servicio de Sistemas y Comunicaciones en el Area de Proyectos Especiales de la Subdirección General de Proceso de Datos del Ministerio de Trabajo y Asuntos

Más detalles

SEGURIDAD EN SITIOS WEB

SEGURIDAD EN SITIOS WEB SEGURIDAD EN SITIOS WEB Septiembre 2001 Ing. Carlos Ormella Meyer SSW1 Formas de diagnósticos de seguridad: Evaluación de vulnerabilidades Pruebas de penetración Auditoría de seguridad SSW2 Evaluación

Más detalles

Introducción. Introducción. Seguridad y Alta Disponibilidad Virtual Private Networks. Definición:

Introducción. Introducción. Seguridad y Alta Disponibilidad Virtual Private Networks. Definición: Seguridad y Alta Disponibilidad Virtual Private Networks Félix Villanueva Molina Escuela Superior de Informática Universidad de Castilla-La Mancha Introducción Definición: Transportar datos privados sobre

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA AUTORÍA MARÍA CATALÁ CARBONERO TEMÁTICA SEGURIDAD, REDES ETAPA CICLO SUPERIOR DE INFORMÁTICA Y PROFESORADO Resumen La seguridad en los sistemas en

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway)

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo

Más detalles

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín CREACIÓN DE UNA VPN EN PACKET TRACER Presentado a: Milton García Presentado por: Paula Díaz Heidy solano Wilmar Albarracín FUNDACION UNIVERSITARIA SAN MARTIN INGENIERIA DE SISTEMAS NUEVAS TECONOLOGIAS

Más detalles

ipsec Qué es ipsec? IPSec: seguridad en Internet

ipsec Qué es ipsec? IPSec: seguridad en Internet Qué es ipsec? IPSec (Internet Protocol Security) es un desarrollo standard para seguridad en la red en el proceso del envío de paquetes en la capa de comunicación de red. IPSec: seguridad en Internet Un

Más detalles

Seguridad y Alta Disponibilidad

Seguridad y Alta Disponibilidad Seguridad y Alta Disponibilidad Virtual Private Networks Félix Villanueva Molina Escuela Superior de Informática Universidad de Castilla-La Mancha Introducción Introducción Definición: Transportar datos

Más detalles

UTILIZANDO WINDOWS SERVER 2008

UTILIZANDO WINDOWS SERVER 2008 CONFIGURACIÓN DE UNA RED PRIVADA VIRTUAL (VPN) UTILIZANDO WINDOWS SERVER 2008 Por Braulio Alvarez Gonzaga 1 INDICE INTRODUCCIÓN-----------------------------------------------------------------------------------01

Más detalles

VPN. Luis Opazo A. Dirección de Informática. Temuco, 10 de Septiembre 2010. Quées una VPN?

VPN. Luis Opazo A. Dirección de Informática. Temuco, 10 de Septiembre 2010. Quées una VPN? VPN Luis Opazo A. Dirección de Informática Temuco, 10 de Septiembre 2010 Quées una VPN? VPN (Virtual Private Network) es la forma de interconexión de distintas redes separadas geográficamente mediante

Más detalles

Capítulo 6: Servicios de Trabajadores a Distancia

Capítulo 6: Servicios de Trabajadores a Distancia CCNA Exploration 4 Acceso a la WAN Capítulo 6: Servicios de Trabajadores a Distancia Ricardo José Chois Antequera INSTITUTO TECNOLÓGICO DE SOLEDAD ATLÁNTICO - ITSA Version 4.0 2006 Cisco Systems, Inc.

Más detalles

Semana 10: Fir Fir w e a w lls

Semana 10: Fir Fir w e a w lls Semana 10: Firewalls DMZ y VPN Aprendizajes esperados Contenidos: Zonas desmilitarizadas (DMZ) Redes privadas virtuales (VPN) Zonas desmilitarizadas En seguridad informática, una ZONA DESMILITARIZADA (DMZ,

Más detalles

Diseño de redes VPN seguras bajo Windows server 2008

Diseño de redes VPN seguras bajo Windows server 2008 Diseño de redes VPN seguras bajo Windows server 2008 PROYECTO FINAL DE CARRERA INGENIERIA TECNICA EN TELECOMUNICACIONES ESPECIALIDAD TELEMATICA ANTONIO TUDELA BOTELLA ESCENARIO INICIAL Fusión de tres industrias

Más detalles

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL.

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. 1.- Qué diferencia hay entre NAT y PAT? NAT: Network Adress Translation. El router enmascara la dirección IP origen de los paquetes poniendola

Más detalles

Seguridad en Internet VPN IPSEC

Seguridad en Internet VPN IPSEC Seguridad en Internet VPN IPSEC Por Pablo Batchi Pablo.Batchi@bellnexia.networks.ca Contenido Entorno real. VPN IPSEC Aspectos técnicos. VPNs PPTP (Point to Point Tunneling Protocol) L2F (Layer 2 Forwarding)

Más detalles

Protocolos de Seguridad en Redes

Protocolos de Seguridad en Redes Protocolos de Seguridad en Redes Meleth 22 de julio de 2004 1 1. Introducción Para asegurar que una comunicación a través de una red es segura tiene que cumplir cuatro requisitos [1] : 1.Autenticidad:

Más detalles

Internet y su Arquitectura de Seguridad

Internet y su Arquitectura de Seguridad Internet y su Arquitectura de Seguridad CINVESTAV-IPN Departamento de Ingeniería Eléctrica E. Rafael Espinosa (respinosa@cs.cinvestav.mx) Guillermo Morales Luna (gmorales@cs.cinvestav.mx) Resumen Con el

Más detalles

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2 COMUNICACIÓN Y REDES DE COMPUTADORES II Clase 02 Aspetos basicos de Networking Parte 1 de 2 1 Contenido de la Clase 1. Terminología de Networking 1. Redes de Datos 2. Historia de las redes informáticas

Más detalles

Diseño de arquitectura segura para redes inalámbricas

Diseño de arquitectura segura para redes inalámbricas Diseño de arquitectura segura para redes inalámbricas Alfredo Reino [areino@forbes-sinclair.com] La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene unos beneficios incuestionables

Más detalles

Implementando iphone e ipad Descripción de seguridad

Implementando iphone e ipad Descripción de seguridad Implementando iphone e ipad Descripción de seguridad ios, el sistema operativo del iphone y el ipad, está basado en capas de seguridad. A través de él, el iphone y el ipad pueden acceder de forma segura

Más detalles

seguridad en redes inalámbricas

seguridad en redes inalámbricas Ç soluciones de seguridad en redes inalámbricas ` María Victoria Figueroa Domínguez Subdirectora General Adjunta del Ministerio de la Presidencia Daniel Merino Mateo Tecnocom En este artículo se pretende

Más detalles

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada 1 2 Aproximación práctica a la criptografía aplicada 1- Qué es la criptografía aplicada 2- Propiedades:

Más detalles

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay Teoría y Aplicación de la Informática 2 Redes Privadas Virtuales en Paraguay 1- INDTRODUCCIÓN: Mientras vayamos avanzando en el tiempo, el mercado y la alta competitividad, obligarán a cualquier empresa

Más detalles

AQUIÉN? no le agrada trabajar desde. Utilización y Aplicación de Túneles IPsec en ambiente de VPN empresarial

AQUIÉN? no le agrada trabajar desde. Utilización y Aplicación de Túneles IPsec en ambiente de VPN empresarial PROYECTO DE REDES DE COMPUTADORES, ELO-322 1 Utilización y Aplicación de Túneles IPsec en ambiente de VPN empresarial Sebastián Araya, Carlos Carvajal, Andrés Llico. Resumen La utilización de un sistema

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 6 Materia: Sistema Operativo II Facilitador: José Doñe Introducción En este trabajo estaremos tratando

Más detalles

Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN)

Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN) Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN) Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra.es/ En clases

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL ESCUELA DE FORMACIÓN TECNOLOGÍCA DISEÑO E IMPLEMENTACION DE UNA RED PRIVADA VIRTUAL (VPN) PARA LA EMPRESA HATO TELECOMUNICACIONES PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Diseño de una red WAN. para una compañía nacional

Diseño de una red WAN. para una compañía nacional Diseño de una red WAN para una compañía nacional 1 Índice de la presentación Descripción del proyecto Objetivos Introducción a las redes WAN Servicio MacroLAN Servicio VPN Servicio ADSL Situación de las

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

Guía de configuración de IPsec

Guía de configuración de IPsec Guía de configuración de IPsec Versión 0 SPA Definiciones de las notas A lo largo de esta guía del usuario se utiliza el siguiente icono: Las notas indican cómo responder ante situaciones que pueden presentarse,

Más detalles

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades

Más detalles

Capítulo 8. mhtml:file://c:\documents and Settings\Administrator\Desktop\esteban\sdfgsdfg\8 Segur...

Capítulo 8. mhtml:file://c:\documents and Settings\Administrator\Desktop\esteban\sdfgsdfg\8 Segur... Page 1 of 8 Capítulo 8 Seguridad: Nuevas funcionalidades en Windows Server 2003 Durante este capítulo Usted irá asimilando conocimientos acerca de las mejoras de seguridad introducidas en Windows Server

Más detalles

Protección de su Red

Protección de su Red Protección de su Red Ing. Teofilo Homsany Gerente General SOLUTECSA PaiBlla Mall, Local 45. Telefono: +507.209.4997 E mail: ventas@solucionesdetecnologia.com Áreas vulnerables de su red Gateway (entrada

Más detalles

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que TEMA 7: TECNOLOGIAS Y SERVICIOS DE SEGURIDAD EN INTERNET 1. INTRODUCCION Los requisitos en seguridad de la información manejada dentro de una organización han evolucionado sustancialmente en las últimas

Más detalles

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática IPSEC Internet Protocol Security Profesor: Luis M. Cardona Hernández Seguridad en las Redes Introducción TCP/IP

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad

IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad IPSEC Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad Servicios de Seguridad Integridad sin conexión Control de Acceso Autenticación Mecanismos anti-replay Confidencialidad de

Más detalles

Firewall VPN Cisco RV120 W Wireless-N

Firewall VPN Cisco RV120 W Wireless-N Firewall VPN Cisco RV120 W Wireless-N Lleve la conectividad básica a un nuevo nivel El Firewall VPN Cisco RV120 W Wireless-N combina una conectividad altamente segura (tanto a Internet como a otras ubicaciones

Más detalles

Universidad Austral de Chile

Universidad Austral de Chile Universidad Austral de Chile Facultad de Ciencias de la Ingeniería Escuela de Electricidad y Electrónica DISEÑO DE UNA VPN Y VOIP PARA UNA PYME A NIVEL NACIONAL. Tesis para optar al título de: Ingeniero

Más detalles

Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica

Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica IMPLEMENTACIÓN DE UN ENLACE DE RED PRIVADA VIRTUAL UTILIZANDO EL PROTOCOLO DE SEGURIDAD IPSec Belter

Más detalles

ADMINISTRADOR DE XARXES LOCALS

ADMINISTRADOR DE XARXES LOCALS ADMINISTRADOR DE XARXES LOCALS Administración de un entorno Microsoft Windows Server 2003 Módulo 1: Introducción a la administración de cuentas y recursos El entorno Windows Server 2003 Iniciar la sesión

Más detalles

GENERALIDADES DE LA COMUNICACIÓN DE DATOS

GENERALIDADES DE LA COMUNICACIÓN DE DATOS Comunicaciones I Capítulo 1 GENERALIDADES DE LA COMUNICACIÓN DE DATOS 1 El Sistema de Comunicación Sistema de comunicación: Lleva a cabo el intercambio de información entre dos entes ubicados en los extremos

Más detalles

4. Protección del nivel de transporte: SSL/TLS/WTLS.

4. Protección del nivel de transporte: SSL/TLS/WTLS. 58 Mecanismosde protección 4. Protección del nivel de transporte: SSL/TLS/WTLS. Tal y como hemos visto en el apartado anterior, el uso de un protocolo seguro a nivel de red puede requerir la adaptación

Más detalles

Redes Privadas Virtuales. (Virtual Private Network) VPN. Introducción.

Redes Privadas Virtuales. (Virtual Private Network) VPN. Introducción. Redes Privadas Virtuales (Virtual Private Network) VPN Introducción. Ante la necesidad de comunicar puntos remotos, y lo costoso que significaría tener una WAN (Wide Area Network) que significaría tirar

Más detalles

Prestación de servicios para trabajadores a distancia

Prestación de servicios para trabajadores a distancia Prestación de servicios para trabajadores a distancia Acceso a la WAN: capítulo 6 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Objetivos Describir los requisitos

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

UNIVERSIDAD DEL AZUAY

UNIVERSIDAD DEL AZUAY UNIVERSIDAD DEL AZUAY FACULTAD DE CIENCIAS DE LA ADMINISTARCION ESCUELA DE INGENIERÍA DE SISTEMAS ELABORACION DE UN TUTORIAL PARA LA CONSTRUCCION DE UNA RED VIRTUAL PRIVADA (VPN) TRABAJO PREVIO A LA OBTENCIÓN

Más detalles

Cómo las Redes privadas virtuales funcionan

Cómo las Redes privadas virtuales funcionan Cómo las Redes privadas virtuales funcionan Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Antecedentes Qué hace un VPN? Analogía: Cada LAN es una isla Tecnologías

Más detalles

Protocolos de red. Contenido

Protocolos de red. Contenido Protocolos de red Contenido Descripción general 1 Introducción a los protocolos 2 Protocolos y transmisión de datos 6 Protocolos más utilizados 10 Otros protocolos de comunicaciones 15 Protocolos de acceso

Más detalles

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com.

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com. PROYECTO 1 ÍNDICE 1. Presentación 2. Que es OpenVPN 3. Uso de las VPN s 4. Implementación 5. Seguridad 6. Ventajas 6. Requisitos 7. Objetivos 8. Presupuesto 2 Presentación Es una solución multiplataforma

Más detalles

ELO 322: REDES DE COMPUTADORES I

ELO 322: REDES DE COMPUTADORES I ELO 322: REDES DE COMPUTADORES I TUNNELING PROTOCOL Proyecto Grupo Byron Popper 2803050-9 Adrián Vasquez 2921010-1 Yen-kung Yu 2921063-2 Fecha 23/08/2013 Revisado por Nota 1. Resumen: La técnica de tunneling

Más detalles

MIB del túnel IP. MIB del túnel IP. Contenido. Encontrar la información de la característica. Requisitos previos para el túnel IP MIB

MIB del túnel IP. MIB del túnel IP. Contenido. Encontrar la información de la característica. Requisitos previos para el túnel IP MIB del túnel IP Descargue este capítulo del túnel IP Descargue el libro completo Guía de configuración de la interfaz y del componente de hardware, Cisco IOS Release 12.2SR (PDF - 3 MB) Feedback Contenido

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio 1nsloo.cl REDES DE COMPUTADORES Laboratorio Práctica 5 Seguridad en redes IP 1ª Parte: Listas de control de acceso 2ª Parte: VPN (Virtual Private Network) 1ª PARTE: LISTAS DE CONTROL DE ACCESO (ACCESS

Más detalles

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa CCNA Descubrimiento Introducción al enrutamiento y la conmutación en la empresa. Capítulo 1 Networking en la empresa Capítulo1 Networkingenlaempresa 1 Objetivos Describir una empresa. Identificar flujos

Más detalles

Unidad 3: El sistema operativo. Trabajo con conexión.

Unidad 3: El sistema operativo. Trabajo con conexión. Unidad 3: El sistema operativo. Trabajo con conexión. 1.- Red de ordenadores Vamos a describir que es una red informática o red de ordenadores. Una red informática es un sistema de interconexión entre

Más detalles

IP versión 6 TRABAJO DE INVESTIGACIÓN CARLOS ITURRIETA

IP versión 6 TRABAJO DE INVESTIGACIÓN CARLOS ITURRIETA IP versión 6 TRABAJO DE INVESTIGACIÓN CARLOS ITURRIETA Introducción En el mundo de las telecomunicaciones es indispensable la conectividad, para que esto sea posible es necesario identificar de alguna

Más detalles