Capitulo 6 VPN y Firewalls

Transcripción

1 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de una red pública Pero tiene todas funcionalidades de una red privada Nacieron por la combinación de la penetración de las redes de datos públicas y el deseo de las corporaciones de mantenerse conectado aún fuera de las facilidades principales Es un grupo de sitios que se comunican de una manera segura sobre rutas no-seguras Tipos de VPN El concepto de VPN a cambiado según las tecnologías lo han hecho Tipos: VPN Intranet Múltiples facilidades VPN es implementada en cada sitio Las conexiones son entre usuarios confiables Una vez autenticado se tiene a disposición los mismos recursos que en el corporativo Aplica la misma política de seguridad

2 VPN Extranet Similar a la VPN Intranet solo que los sitios remotos pertenecen a diferentes corporaciones La comunicación es entre usuarios no-confiables Los requerimientos de seguridad son mucho más exigentes que en la VPN Intranet VPN Acceso Remoto Usuarios remotos no-confiables Acceso conmutado a través de ISP s 3 Desde el punto de vista táctico la VPN tiene las siguientes ventajas: Ahorro en gastos No hay líneas privadas, llamadas de larga distancia u 800 Ahorro en equipo de acceso remoto (RAS) y enrutadores El manejo y mantenimiento puede ser atendido por una empresa externa Desde el punto de vista estratégico: Facilita e impulsa la asociación de negocios Mayor y más fuerte relación entre cliente y proveedor Implementación de nuevas formas de negocio 4

3 6. Seguridad en la VPN La VPN atraviesa una parte de la red pública y es usada para pasar información sensible La seguridad se vuelve crítica La idea es asegurar la integridad de la información a través de la red pública 5 La solución VPN debe minimamente proveer los siguientes requerimientos básicos: Autenticación Verifica al identidad del usuario y restringe el acceso a solo los autorizados Monitorea quien, que y cuando se accede a la información Encriptamiento de la información Mantener ilegible e incoherente los datos mientras pasan la red pública Es clave el manejo, la generación y refrescamiento de las llaves de encripción Manejo de direcciones Manejo de direcciones privadas 6

4 Autenticación Grupo de procedimientos que verifican la identidad del usuario sin ambigüedades Los propósitos: Ganar acceso ( login ) Asegurar el envío de un mensaje La identidad de un usuario puede estar basada en alguna de las siguientes cosas: Algo que el usuario sabe ID/Password Método simple pero más vulnerable Algo que el usuario tiene Smartcard Algo único acerca del usuario Biometría (huellas digitales, patrón retinal, voz) 7 8 Hay tres tipos de sistemas de autenticación: RADIUS (RFC 38 y RFC 39) LDAP Basado en clave Cualquiera de los anteriores tienen dos responsabilidades: Asegurar que el usuario es quien dice ser Garantizar al usuario los apropiados privilegios del sistema Hay dos protocolos para validar la identidad del usuario PAP CHAP Una vez autenticado las políticas y controles son obtenidos de una base de datos y aplicado el perfil

5 RADIUS (RFC 38, 39) Proceso del RADIUS El cliente llama y el RAS contesta El RAS pasa la información de autenticación (PPP) al servidor RADIUS Si la autenticación es positiva, el servidor RADIUS responde con una aceptación y el perfil (dirección IP, tiempo de conexión, etc.) Si la autenticación es negativa, la llamada es terminada indicando la razón Con la información del perfil, el RAS completa al negociación PPP con el cliente 9 0 Encripción Tiene dos componentes: Algoritmo y llave Los algoritmos son funciones matemáticas Transforma un texto plano a un texto indescifrable usando la llave La seguridad del algoritmo esta directamente relacionado a la longitud de la llave (40, 56 o 8 bits) DES usa una llave de 56 bits, 3-DES bits y el AESs usa una llave de 56 bits El Encriptamiento puede ser vía hardware o software

6 Hay dos tipos de algoritmos de encriptamiento: Encripción simétrica Origen y destino usa una misma llave Es eficiente en cuanto al tiempo invertido El problema es la administración de la llave Encripción asimétrica Es un esquema de llave pública Usa dos llaves complementarias (llave y candado) Manejo de direcciones NAT Traslación automática de direcciones IP internas a diferentes direcciones globales (públicas) Usa una clase A facilitando la administración de esas direcciones Esta posicionado entre la red e Internet Es transparente para los equipos de cada lado y puede ser ejecutado estática o dinámicamente Facilita la diferenciación entre usuarios internos y de Internet

7 3 Tuneleo Originalmente se refería al transporte de un paquete hecho en un protocolo y enviado sobre una red que usa uno distinto Los túneles en VPN también involucran el encapsulamiento de un paquete en otro Primero es autenticado, encriptado y comprimido Ambos extremos deben de usar el mismo protocolo de tuneleo Hay dos clases de tuneleo: A nivel A nivel 3 4 En el nivel, el protocolo de esa capa (PPP) es encapsulado Descansan en que PPP provea de encripción, autenticación e integridad El LTP y PPTP son protocolos para la creación túneles Proveen de encripción de extremo a extremo En el nivel 3, el protocolo de red es encapsulado Empieza y termina en la red de proveedor del servicio IPSEC

8 6.3 Modelos de servicio VPN El modelo de servicio define el lugar en donde residen los puntos terminales que soportan VPN Hay tres modelos sobre los cuales VPN puede ser implementado: Empresa a Empresa Proveedor de servicios a Empresa Proveedor de servicios a Proveedor de servicios 5 6 En el modelo Empresa a Empresa: Internet es un trasporte transparente Es el modelo más común Los protocolo de tuneleo más empleados son: PPTP y IPSEC Hay dos posibles escenarios: Que un túnel exista entre dos elementos VPN Extiende la Intranet y Extranet Que un túnel exista entre una PC del cliente y un elemento en una VPN remota El túnel se controla en los extremos y puede operar en cualquier ISP

9 7 En el modelo Proveedor de servicio a Empresa: VPN existe entre un RAS mantenido y operado por el ISP y un elemento VPN de la Intranet corporativa Se pueden usar IPSEC, LTP o PPTP Los usuarios remotos son los clientes de este modelo En el modelo Proveedor de servicio a Proveedor de servicio: VPN empieza y termina en el espacio de los ISP s El LTP y PPTP son preferidos Son los menos utilizados 8 Protocolo para la creación del túnel Este protocolo define los parámetros de comunicación antes de que los datos pasen a través de la VPN Los elementos VPN, arbitran el protocolo a usarse, el método de autenticación y encapsulamiento PPTP, LTP e IPSEC

10 9 PPTP Es un protocolo de nivel dos El objetivo es separar las funciones del acceso remoto Aprovechar la infraestructura de Internet pero de manera segura Usado primariamente en conexiones conmutadas y puede transportar una variedad de protocolo de red además del IP pero requiere que la red de transporte sea IP Encapsulan el protocolo usando el encabezado generic routing encapsulation o GRE Usa PAP, CHAP y MS-CHAP como esquema de autenticación Muestra debilidades en la encripción y es poco usado 0 LTP Misma flexibilidad que el PPTP y es usado en conexiones conmutadas y dedicadas Puede correr sobre una variedad de redes de transporte además de IP, X.5 o ATM Permite el manejo de varios túneles entre dos puntos o bien múlticanaliza varias conexiones sobre un solo túnel Maneja mensajes de control y de datos Usa PAP, CHAP y MS-CHAP como esquema de autenticación

11 IPSEC Protocolo de nivel tres y solo opera con el IP Define dos encabezados: AH (authentication header) y el ESP (encapsulating security payload) Opera en dos modos: Transporte (no encapsula, solo autentica) Túnel En el modo transporte no hay nuevo encabezado que se agregue al paquete En cualquiera de los modos, se necesita un canal seguro para intercambiar los parámetros de establecimiento del túnel, se le llama SA AH realiza un checksum sobre todo el paquete y lo incluye justo después del encabezado IP ESP autentica y encripta 6.4 Firewalls El Firewall establece una barrera entre la red pública y la privada Controla y monitorea el tráfico a través de este limite Una vez la empresa abre sus operaciones a Internet el Firewall es el primer paso en las políticas de seguridad Mantiene afuera los usuarios no deseados Ya que la VPN permite el acceso a la red corporativa a usuarios remotos el Firewall es indispensable

12 3 La VPN al crear un túnel entre dos direcciones, el equipo VPN puede actuar como Firewall También pueden estar atrás de este Son un componente esencial en la política de seguridad Los firewalls actúan como una puerta de seguridad en el perímetro de la red Monitorean y controlan el trafico que entra o sale No protegen contra cambios en la información que pasa por la red pública (virus) o ataques internos 4 Hay tres tipos de firewall: Filtering router Stateful packete filter Application gateway Filtering router: La forma más simple y antigua Filtran paquetes en base a direcciones IP, puertos TCP o UDP No manejan información de estado por lo tanto no se pueden implementar políticas complejas No autentifican

13 Stateful packet filter: Manejan información de estado de cada conexión y tratan a los paquetes como parte de esa conexión Se pueden implantar políticas más complejas Tiene un excelente sistema de alarma y reporte de eventos Son lo elementos más costos 5 6 Application gateways: Corre en un bastion host Sistema altamente seguro y dedicado a soportar el software del gateway No soportan acceso de los usuarios Mínimas funcionalidades y máxima seguridad Opera como un proxy para el resto de las computadoras en la red privada Procesan, validan y regeneran cada paquete recibido Pueden implantas las más complejas políticas de seguridad (observa todos los niveles del modelo OSI)

14 7 Posición del firewall y la VPN VPN provee de encripción y autenticación El firewall provee de autorización Determinan que recursos de la red el usuario puede acceder Cuando las empresas quieren compartir algo de su información se crea una DMZ Una DMZ esta delineada por dos firewalls Uno entre la red pública y la DMZ y el otro entre la red privada y la DMZ La relación entre el firewall y la VPN debe de ser bien planeada para lograr su optimo desempeño 8 La ventaja de terminar la VPN en la red privada es que la información es protegida a través de su paso por la DMZ Es una opción muy segura pero abre agujeros en el firewall No es una practica deseable El terminar la VPN en la DMZ y permitir el flujo de la información desprotegida por el firewall elimina la necesidad de abrir agujeros Usa los puertos ya abiertos Reduce el riesgo de la red privada pero la DMZ es un lugar inseguro para la información

15 9 El poner el elemento VPN a la par del Firewall La VPN es terminada en la DMZ pero la información desprotegida es entregada directamente a la red privada No es expuesta en la DMZ No es necesario abrir agujeros en el firewall No impone mayor carga el firewall Puede adicionarse un enrutador filtro a esta configuración para aumentar la seguridad 3 0 El terminar la VPN en el Firewall: Permite proteger los datos de VPN a través de la DMZ Minimiza el número de conexiones físicas y simplifica la configuración Se debe de estar seguro que el equipo Firewall/VPN puede con la carga Si el Firewall/VPN llega a se comprometido, toda la red también los será