Las Comunicaciones en las Redes Privadas Virtuales TESIS QUE PARA OBTENER EL TITULO DE INGENIERO EN COMUNICACIONES Y ELECTRONICA

INSTITUTO POLITECNICO NACIONAL ESCUELA SUPERIOR DE INGENIERIA MECANICA Y ELECTRICA Las Comunicaciones en las Redes Privadas Virtuales TESIS QUE PARA OBTENER EL TITULO DE INGENIERO EN COMUNICACIONES Y ELECTRONICA PRESENTAN HERNÁNDEZ OSORIO JESUS HERNÁNDEZ RUIZ JUAN VICTOR ASESOR METODOLOGICO Ing. Olea Ramírez José Irene ASESORES TECNICOS Ing. José Luis Yáñez López Ing. Arturo Hit Espinosa MEXICO DF 2010 0

CONTENIDO TEMÁTICO Objetivo Justificación 6 Introducción 7 Acrónimos 9 Capítulo I: Elementos de una VPN 12 1.1 Red privada virtual 12 1.2 Red local o privada 12 1.3 Red insegura 15 1.4Tunel VPN 16 1.5 Servidor 16 1.6 Router 18 1.7 NAT 21 1.8 Usuario remoto o road warrior 23 1.8 Oficina remota o Gateway 24 Capítulo II: Arquitectura de una VPN 25 2.1Proporcionada por un servidor de Internet 26 2.1Basadas en Firewall 26 2.2.1 Los firewalls a nivel de red 28 2.2.2 Firewall a nivel de aplicación 29 2.3 Basadas en Caja Negra 29 2.4 Basadas en acceso remoto 30 2.5 Basadas punto a punto (road warrior road warrior) 31 2.6 Basadas en LAN A LAN (oficina remota oficina remota) 32 2.7 Basadas en LAN a punto 33 Capítulo III: Políticas de seguridad 35 3.1 Seguridad de una Red Privada Virtual 37 3.1.1 Criptografía de clave pública 37 3.1.2 Criptografía de clave simétrica 37 3.1.3 Algoritmos 40 3.1.3.1 DES (Data Encryption Standard, Estándar de Cifrado de datos) 40 3.1.3.2 3DES (Triple Data Encryption Standard, Estándar de Cifrado de 1

Datos Triple) 42 3.1.3.3 RC5 (Rivest Cipher, Cifrado de Rivest) 43 3.1.3.4 IDEA (International Data Encryption Algorithm, Algoritmo Internacional de Cifrado de Datos) 43 3.1.3.5 AES (Advanced Encryption Standard, Estándar de Cifrado Avanzado) 43 3.1.4 Criptografía de clave asimétrica 44 3.1.4.1 Cifrado con clave asimétrica 44 3.1.5 Cifrado con clave de sesión (Sistema Hibrido) 45 3.1.6 Autenticación de participantes (desafío-respuesta) 47 3.1.7 Firma digital 48 3.1.8 Algoritmos de cifrado de clave asimétrica 50 3.1.9 Algoritmos de autenticación 52 3.1.9.1 MD5 (Message-Digest Algorithm 5, Algoritmo de resumen de Mensaje 5) 52 3.1.9.2 SHA-1 (Secure Hash Algorithm 1, Algoritmo de Hash Seguro 1) 52 3.1.10 Infraestructura de clave pública (PKI) 53 3.1.10.1 CA (Certification Authority, Autoridad de Certificación) 54 3.1.10.2 RA (Registration Authority, Autoridad de Registro) 55 3.1.10.3 VA (Validation Authority, Autoridad de Validación) 56 3.1.10.4 Certificados digitales 57 Capítulo IV: Protocolos 58 4.1 IPSec (Internet Protocol Security, Protocolo de Seguridad de Internet) 58 2

4.1.1 Protocolos de IPSec 58 4.1.1.1 AH (Authentication Header, Cabecera de autenticación) 60 4.1.1.2 ESP (Encapsulating Security Payload, Carga de Seguridad Encapsulada) 61 4.1.1.3 IKE (Internet Key Exchange, Intercambio de Claves en en Internet) 61 4.1.2 Modos de funcionamiento de IPSec 62 4.1.2.1 Modo túnel 62 4.1.2.2 Modo Transporte 64 4.1.3 NAT-Traversal 67 4.2 L2TP (Layer Two Tunneling Protocol, Protocolo de Túnel de Nivel Dos) 68 4.2.1 Mensajes de control y de datos 71 4.3 Protocolo PPTP (Point To Point Tunneling Protocol, Protocolo de Túnel Punto a Punto) 71 4.3.1 Conexión y comunicación PPP 73 4.3.2 Establecimiento de la conexión PPP 75 4.3.3 Autenticación del cliente PPP 75 4.3.4 Control de la conexión en PPTP 77 4.3.5 Autenticación PPTP 78 4.3.6 Encriptación PPTP 79 4.4 SSL (Secure Sockets Layer, Capa de Conexión Segura) 79 Capitulo V: Implementación 81 5.1 Diseño de la red 84 5.2 Desarrollo de la red 85 3

5.2.1 Configuración del servidor 85 5.2.1.2 Configuración del Firewall 93 5.2.2 Configuración del cliente 95 5.2.2.1 Configuración del Firewall 103 5.2.3 DynDNS 110 Glosario 112 Bibliografía 114 4

OBJETIVO Implementar una Red Privada Virtual en una plataforma Windows 5

INTRODUCCIÓN El presenta trabajo está enfocado hacia el estudio, diseño y construcción de un sistema de comunicación montado sobre una red de carácter público (internet) a base de encriptación, encapsulamiento de datos y túnel dedicado entre dos puntos del envió de información, llamado VPN. Que pueda ser implementado en el uso de distintos protocolos y sobre plataforma Windows. La necesidad de manejar la información de una manera segura y confiable, es a través de una VPN (Virtual Private Network, Red Privada Virtual), que permite tener un enlace privado, la cual es un canal de comunicación que va montado sobre una red pública, internet, y garantiza la integridad y confidencialidad de los datos entre sus participantes gracias a los procesos de autenticación, encriptación y codificación, para así tener un enlace privado, de ahí su nombre. En el capítulo 1, se analizan los diferentes elementos que conforman una VPN. En el capítulo 2, se ve como está conformada la arquitectura de las VPN s. En el capítulo 3 se estudian las políticas de seguridad que conforman las VPN s. Los protocolos desarrollados como son SSL, L2TP, IPSec y PPTP se estudian en el capítulo 4. Finalmente se desarrolla una VPN sobre plataforma Windows utilizando el asistente nativo de dicha plataforma en el capítulo 5. La investigación y desarrollo de este trabajo fueron realizados en el Laboratorio de Control del Depto. de Ingeniería en Comunicaciones y Electrónica de la ESIME Zacatenco. 6

ACRONIMOS A AES.- Estándar de Cifrado Avanzado (Advanced Encryption Standard). AH.- Cabecera de Autenticación (Authentication Header). C CA.- Autoridad de certificación (Certification Authority). CHAP.-Protocolo de Autenticación por Desafío Mutuo (Compression Control Protocol). CRL.- Lista de Revocación de Certificados (Certificate Revocation List). D DES.- Estándar de Encriptación de Datos (Data Encryption Standard). DNAT.- Traducción de Direcciones de Red Destino (Destination Network Address Translation). DNS.- Sistema de Nombres de Dominio (Domain Name System). DOI.- Dominio de Interpretación (Domain Of Interpretation). DSA.-Algoritmo de Firma Digital (Digital Signature Algorithm). E ESP.- Carga de Seguridad Encapsulada (Encapsulating Security Payload). I IKE.- Gestión de Claves en Internet (Internet Key Exchange). IP.- Protocolo de Internet (Internet Protocol). IPSec.- Protocolo de Seguridad de Internet (Internet Protocol Security). ISP.- Proveedor de Servicios de Internet (Internet Service Provider). L LAC. - Concentrador de Acceso L2TP (L2TP Access Concentrator). LAN. - Red de Area Local (Local Area Network). 7

L2TP. - Protocolo de Túnel de Nivel Dos (Layer Two Tunneling Protocol). M MD5.-Algoritmo de Resumen del Mensaje 5 (Message-Digest Algorithm 5). MTU.- Unidad Máxima de Transmisión (Maximum Transmission Unit). NAT.- Traducción de Direcciones de Red (Network Address Translation). O OSPF.- Primero la Ruta Libre más Corta (Open Shortest Path First). P PAP.- Protocolo de Autenticación de Clave (Password Authentication Protocol). PKI.- Infraestructura de Clave Pública (Public Key Infraestructure). PPP.- Protocolo de Punto a Punto (Point to Point Protocol). PPTP. - Protocolo de Túnel Punto a Punto (Point to Point Tunneling Protocol). RA.- Autoridad de Registro (Registration Authority). R RC5. - Cifrado de Rivest (Rivest Cipher). S SSL.- Capa de Conexión Segura (Secure Socket Layer). T TCP.- Protocolo de Control de Transmisión (Protocol Control Transmission) U UDP.- Protocolo de Datagrama de Usuario (User Datagram Protocol). V VPN.- Red Privada Virtual (Virtual Private Network). 3DES.- Estándar de Cifrado de Datos Triple (Triple Data Encryption Standard) 8

CAPÍTULO I ELEMENTOS DE UNA VPN 1.1 Red Privada Virtual Una VPN (Virtual Private Network, Red Privada Virtual) es un canal de datos privado que se implementa sobre una red de comunicaciones pública. Se encarga del enlace entre dos subredes (una subred remota y uno o varios usuarios remotos), por medio de un túnel virtual por el cual los paquetes se encapsularan antes de adentrarse en dicho túnel. El encapsulado no será otra cosa más que una nueva trama de datos, pero ahora encriptada. Los elementos de una VPN son: redes locales o privadas, redes inseguras, túneles VPN, routers, servidores, usuarios remotos o road warriors y oficinas remotas o gateways. 1.2 Red local o privada Es un segmento de red que pertenece a una LAN (Local Area Network, Red de Área Local), por lo normal presentan un acceso restringido a un grupo específico de usuarios. Este tipo de redes utilizan rangos de direcciones IP privadas, las cuales tienen la característica de poder ser utilizadas de forma libre dentro de una red interna, de tal forma que no sirven para conectarse a Internet., pues no son públicas, esto es, no tienen un dueño previamente establecido. Un ejemplo de redes locales o privadas puede ser la red interna del hogar o la red de alguna empresa. Dentro de la red privada se ubican diferentes dispositivos como routers, switches, firewalls, detectores de intrusos, computadoras personales, etc. L os cuales conforman algo llamado topología de red, entre las que tenemos: Bus, anillo, estrella y malla. La topología en Bus conecta distintos dispositivos a un cable principal, denominado backbone, enlace troncal o segmento. Se conectan terminadores, en cada uno de los extremos de la topología, con el fin de absorber las señales que se reflejan. SI se utiliza cable coaxial, sin terminadores, las señales que se reflejan producirán eco a través de la red, inutilizándola totalmente. Figura 1.2.1 Topología en Bus 9

En la topología en Anillo cada uno de los dispositivos es conectado a otros dos. La estructura no tiene comienzo ni fin, ya que esta topología tiene la forma de un anillo completo. Los dispositivos utilizan un transceptor para comunicarse con los host vecinos, estos transceptores actúan como repetidores, que regeneran cada señal a medida que pasa por el dispositivo. Figura 1.2.2 Topología en Anillo Para la topología en estrella todos los dispositivos son conectados a un nodo central común, por lo normal un hub o un switch. Cuando cualquier nodo envía información al nodo central, este retransmite la información que recibió y la envía hacia el destino. Al estar todo el cableado conectado al nodo central, si algún enlace falla, solamente esa porción de red se ve afectada, el resto de la red sigue con su actividad normal. Sin embargo, si el nodo central falla, fallara también toda la red. Figura 1.2.3 Topología en Estrella La topología en malla conecta todos los dispositivos de red entre sí y suministra una ruta hacia y desde cada dispositivo. La ventaja es que, ya que los dispositivos se conectan entre sí, la red presenta mayor confiabilidad y tolerancia a fallas. Pues si un segmento de cable falla, los dispositivos encuentran la manera más rápida para volver a enrutar el paquete a su respectivo destino. Entonces, los datos generalmente llegan a su destino siempre. 10

1.3 Red insegura Figura 1.2.4 Topología en Malla Son segmentos de red en las cuales cualquier persona podría tener acceso e interceptar la información que circula a través de la red, y así poder interpretar el contenido de la información. Figura 1.3.1 Red insegura Un ejemplo de este tipo de red es Internet. Cuando mandamos correo electrónico, descargamos algún archivo o hacemos alguna búsqueda, esta información está expuesta a ser capturada y después analizada, por lo que se pueden obtener así datos importantes como contraseñas, cuentas bancarias, documentos, etc. Este problema cuenta con la solución de esconder o dejar inaccesible la información que se envía entre los dos extremos de la red insegura. Esto se puede llevar a cabo de dos maneras: utilizando una línea física dedicada o cifrar la información antes de enviarla. 1.4 Túnel VPN Es un canal de comunicación por el cual circula la información de manera cifrada, esto es, de forma confidencial, sin que algún elemento ajeno al transmisor y receptor de la conexión pueda interpretar los datos que fluyen a través de él. El túnel atraviesa la red insegura, así si algún intruso se hace de algún paquete enviado a través de él, le será inútil, pues estaría totalmente ilegible. Los únicos que podrían interpretarlo correctamente serían aquellos que tuvieran la clave privada necesaria para poder descifrarlo. 11

Figura 1.4.1 Túnel VPN 1.5 Servidor Como su nombre lo indica, es un dispositivo que ofrece algún tipo de servicio o recurso a los usuarios de una determinada red. Es un dispositivo hardware en el cual van a estar abiertos una serie de puertos en función de los servicios proporcionados. Figura 1.5.1 Servidor Algunos ejemplos de este tipo de dispositivos son: Servidor de datos: Administra un conjunto de archivos y gestiona el acceso a los mismos. La manera de proporcionar acceso a la información almacenada se puede realizar a través de distintos protocolos de red, como por ejemplo SSH (Secure Shell, Interfaz de Usuario Segura), FTP (Protocol Transfer File, Protocolo de Transferencia de Archivos), SCP (Secure Copy Protocol, Protocolo de Copia Segura), etc. Servidor Web: Ofrece acceso a páginas y servicios Web mediante los protocolos http (Hypertext Transfer Protocol, Protocolo de Transferencia de Hipertexto) o HTTPS (Hypertext Transfer Protocol Secure, Protocolo Seguro de Transferencia de Hipertexto). Servidor de correo: Permite el envío de correos electrónicos a través del protocolo SMTP (Simple Mail Transfer Protocol, Protocolo Simple de Transferencia de Correo Electrónico). Servidor de aplicaciones: Tiene la capacidad de ejecutar distintas clases de aplicaciones en función de una determinada petición o solicitud enviada por un usuario, proporcionándole a continuación una respuesta con los resultados obtenidos. 12

1.6 Router Es un dispositivo que distribuye los datos que se envían entre dos o más redes, lo hace eligiendo la mejor ruta entre el destino y origen, basando su toma de decisión en distancias, y el tráfico de los enlaces. Opera a nivel de capa 3 (de red) del modelo OSI. Proporciona un control de tráfico filtrado de la información a nivel de red. Figura 1.6.1 Router Como hace la interfaz real entre las subredes locales y la red insegura, cualquier usuario que desee conectarse mediante una VPN hacia una determinada red remota, tendrá que utilizar como dispositivo de acceso a la red interna un router, y por lo tanto, el router deberá encargarse de redireccionar el servicio VPN hacia el dispositivo que se encuentra dentro de la VPN. El router es capaz de dirigir el tráfico de forma dinámica, esto es, selecciona el camino que debe seguir el paquete en el momento en que lo recibe, en base a parámetros como: tráfico en los enlaces, numero de saltos, velocidad, etc. Dicha información se almacena en tablas denominadas de enrutamiento dentro de la memoria RAM del router. Por otro lado, un router ADSL (Asymetric Digital Subscriber Line, Línea de Suscripción Digital Asimétrica), es un dispositivo que proporciona conectividad entre redes y enruta los paquetes, tiene la capacidad de modular y demodular los datos enviados a través de una línea ADSL. Esto lo logra filtrando las frecuencias y solo dejando pasar las del rango audible, el espacio libre es utilizado para colocar frecuencias portadoras moduladas y así poder aumentar la velocidad de transmisión. Y precisamente, para las VPN se emplean routers ADSL. De este modo un router ADSL se pude configurar en dos modos distintos: Multipuesto y monopuesto. En el modo multipuesto, el router permite la interconexión de más de una computadora, o host, a través de un switch intermedio, o directamente, sobre alguna de las entradas libres del router. Bajo estos términos, se crea una red privada intermedia entre el router y los equipos interconectados. La dirección IP pública la asume directamente el router. Así, cuando alguno de los host que conforman la red local del router quiera salir a Internet, el router efectuar un NAT (Network Address Translation, Traducción de Direcciones de Red) sobre las direcciones IP privadas de los host. 13

Figura 1.6.2 Router ADSL en modo multipuesto En modo monopuesto, el router hace la función de un módem, esto es, un dispositivo transparente que deja pasar de forma libre toda la información hacia un único host situado detrás de él. En este caso, la dirección IP pública se le asigna de forma directa al host final que se encuentra detrás del router, éste únicamente limita su función a modular la información transmitida. Figura 1.6.3 Router ADSL en modo monopuesto Este modo es ideal para el caso en donde se tenga un único host, pues se agiliza el tránsito de paquetes al no tener un dispositivo que filtre los datos. Pero su principal problema radica en que se deja expuesto de cara a Internet todos los puertos del host situado detrás del router. 1.7 NAT (Network Address Translation) La Traducción de Direcciones de Red, es una técnica que permite que uno o varios host compartan una única dirección IP pública, con el fin de tener acceso a una determinada red. La NAT es empleada por la necesidad de resolver la escasez de direcciones IP en el espacio de direccionamiento de IPv4. Esta técnica se emplea cuando se necesita conectar una LAN conformada por varios host, a Internet, y se dispone de menos direcciones IP públicas que host internos. 14

Los host requieren de una dirección IP pública para que puedan salir a Internet, es decir, necesitan de una dirección registrada y conocida por todos los host conectados a Internet. De este modo, una empresa que cuenta con miles de host no podría tener una dirección IP pública para cada host, principalmente por su costo. La solución de este problema, es reservar en Internet 3 rangos de direcciones denominadas direcciones privadas. No son otra cosa más que un grupo de direcciones IP que cada administrador de red puede utilizar de manera libre dentro de su red, mas sin embargo no le sirven para conectarse a Internet, puesto que no son públicas, es decir no tienen un dueño que esta previamente definido. Los rangos de direcciones privadas están formados por las siguientes subredes, dependiendo de la clase de direcciones IP: Clase Rango A 10.0.0.0-10.255.255.255 B 172.16.0.0-172.16.255.255 C 192.168.0.0-192.168.255.255 Entonces, para que un host que se ubica dentro de una red privada pueda salir a Internet, el router lleva acabo la traducción de direcciones, la dirección IP origen privada que se encuentre en el paquete se cambiará por la pública del router. Una vez que el paquete llegue al destino, éste responderá a la dirección pública del router, y a su vez, el router mandará el paquete hacia el host de la red interna. A este proceso se le conoce como SNAT (Source Network Address Translation, Traducción de Direcciones Origen de Red) debido a que se lleva a cabo una modificación de la dirección IP origen del paquete. En el caso en el que el router en lugar de modificar algún parámetro del campo origen, cambia la dirección o puerto del campo destino, se estará llevando acabo un DNAT (Destination Network Address Translation, Traducción de Direcciones Destino de Red). Este proceso se presenta cuando se quiere tener acceso a algún servicio de la red local desde una red externa. En las VPN, el principal problema del NAT se encuentra en el cifrado. Cuando se transmite un paquete se calcula un checksum (suma de control o huella) en base a la carga del paquete (cabecera y área de datos), Al pasar el paquete por el proceso NAT, el checksum será recalculado, pues las direcciones IP cambian. Para las VPN IPsec donde los datos se cifran en paquetes ESP, el checksum será cifrado dentro del área de datos del encapsulado, por lo que los datos serán desechados al llegar al destino (información alterada). Lo que se hace es que, cuando se detecta en la trayectoria del posible túnel VPN algún 15

elemento que pueda efectuar un NAT, los dos extremos del enlace acordarán enviar los datos cifrados en paquetes UDP (User Datagram Protocol, Protocolo de Datagrama de Usuario), dicho protocolo se limita a la especificación de los puertos origen y destino para el contenido del paquete. El campo de longitud informa del número de octetos del resto del mensaje y el checksum provee un valor para comprobar que la cabecera se ha recibido correctamente. 1.8 Usuario remoto o road warrior Este dispositivo es un elemento móvil, y al ser cliente, tiene la posibilidad de conectarse a una oficina remota mediante una VPN, para acceder a los recursos privados que se ubican detrás del Gateway. Figura 1.8.1 Usuario remoto o road warrior Este elemento puede encontrarse en cualquier parte del mundo y cuando lo requiera, tener acceso de forma confidencial a lo servicios compartidos de una determinada red. Ya que la VPN se ha establecido, el road warrior virtualmente se encontrara dentro de la red remota (un segmento aislado del exterior) y dispondrá de los mismos recursos a los que podría acceder si se encontrase físicamente dentro de la misma red. 1.9 Oficina remota o Gateway Este dispositivo es el encargado de hacer de puerta VPN entre varios elementos y la subred local que se encuentra detrás de una de sus interfaces. Tiene la potestad de otorgar o no el acceso a los recursos compartidos que en ella alberga, esto lo haces en función de una serie de permisos que se establecieron anteriormente (claves privadas, certificados digitales, nombres de usuario, contraseñas, políticas de seguridad, etc.). Figura 1.9.1 Oficina remota o Gateway 16

CAPITULO II ARQUITECTURA DE UNA VPN Existen muchas definiciones y aplicaciones sobre el concepto de Redes Privadas Virtuales (VPN s). Una VPN existe cuando se cuenta con una conexión privada entre dos puntos sin la necesidad de contar con enlaces dedicados entre dichos puntos. La red privada es virtual debido a que los circuitos de comunicación entre los dos puntos consumen recursos solo cuando se desea transmitir información entre dichos puntos. Por esta razón a estos circuitos se les llama circuitos virtuales (VC) y túneles. Existen innumerables opciones para la instalación de una VPN, desde las VPN independientes basadas en caja negra y las VPN basadas en un router, hasta las VPN basadas en software y en firewalls. Además de estas arquitecturas existe una amplia variedad de servicios y características que pueden implementarse en estos dispositivos. Los tipos de arquitecturas dentro de las VPN s son las siguientes: 1) Proporcionadas por un servicio de internet dentro de las cuales podemos obtener: las basadas en acceso remoto, las basadas en punto a punto así como LAN a LAN. 2) Basadas en firewalls 3) Basadas en cajas negras 4) Basadas en acceso remoto 5) Basadas punto a punto (road warrior road warrior) 6) Basadas en LAN A LAN (oficina remota oficina remota) 7) Basadas en LAN a punto 2.1 Proporcionada por un servidor de Internet El proveedor de Internet puede instalar en su oficina un dispositivo que se encargara de la creación del túnel para la organización. Las redes virtuales sobre internet se refiere a la utilización de circuitos virtuales (túneles) sobre internet la cual utiliza los protocolos TCP/IP. Esta práctica es actualmente una de las alternativas que empiezan a retomar un gran auge, debido a que ofrecen al cliente una alternativa para poder llevar a cabo todas sus transacciones siempre y cuando se le garantice una mayor seguridad en sus acciones. 17

2.2 Basadas en firewalls De la misma forma en que las VPN trabajan en los niveles más bajos del modelo OSI, el firewall actuará de la misma forma. Se puede definir de una forma simple una red firewall, como aquel sistema o conjunto combinado de sistemas que crean una barrera segura entre 2 redes. Para ilustrar esta definición podemos observar la figura 2.2.1. Figura 2.2.1 Red firewall El propósito de las redes firewall es mantener a los intrusos fuera del alcance de los trabajos que son propiedad de uno. Frecuentemente, una red firewall puede actuar comoo una empresa embajadora de Internet. Muchas empresas usan su sistema firewall como un lugar donde poder almacenar información pública acercaa de los productos de la empresa, archivos que pueden ser recuperados por personal de la empresa y otra información de interés para los miembros de la misma. Muchos de estoss sistemas han llegado a ser partes importantes de la estructura de servicios de Internet. Algunos firewalls solamente permiten tráfico de correo a través de ellos, de modo que protegen de cualquier ataque distinto de un servicio de correo electrónico. Otros firewalls proporcionan menos restricciones y bloquean servicios que son conocidos por sus constantes problemas de intrusión. Generalmente, los firewalls están configurados para proteger contra "logins" interactivos sin autorización, desde cualquier parte del mundo. Esto, ayuda principalmente, a prevenir actos de vandalismos en dispositivos y software de nuestra red. Redes firewalls más elaboradas bloquean el tráfico de fuera hacia adentro, permitiendo a los usuarios del interior, comunicarse libremente con los usuarios del exterior. Las redes firewall, puede protegernos de cualquier tipo de ataque a la red, 18

siempre y cuando se configuren para ello. Las redes firewall son también un buen sistema de seguridad a la hora de controlar estadísticas de usuarios que intentaron conectarse y no lo consiguieron, tráfico que atravesó la misma. Esto proporciona un sistema muy cómodo de auditar la red. Conceptualmente, hay dos tipos de firewalls: A nivel de red. A nivel de aplicación. 2.2.1 Las firewalls a nivel de red Generalmente, toman las decisiones basándose en la fuente, dirección de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación con quién está enviando un paquete ahora o desde donde está llegando en este momento. Los modernos firewalls a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre el estado de las conexione que están pasando a través de ellos y el tráfico que genera la red, así como estadísticas de peticiones y protocolos más frecuentes. Un aspecto importante que distingue a los firewalls a nivel de red es que enrutan el tráfico directamente a través de ellos, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios. 2.2.2 Firewall a nivel de aplicación Es un sistema en el que el servicio se proporciona por procesos que mantienen estados de conexión completos con TCP. Los firewalls a nivel de aplicación, a menudo redirigen el tráfico, de modo que el tráfico saliente, es como si se hubiera originado desde el firewall y no desde el host interno. Los firewalls son un componente crítico que proporcionan control de acceso a aplicaciones y servicios de la red. Junto con la autenticación, la integridad de datos y el entunelamiento. Cuando se implanta una red privada virtual, es una conclusión obligada que un firewall debe funcionar en su nivel más óptimo de seguridad en la red. 2.3 Basadas en Caja Negra Básicamente es un dispositivo con software de encriptación. No provee seguridad en la organización pero si en los datos. 19

Se trata de un dispositivo cargado con software de cifrado para crear un túnel de VPN. Algunas cajas negras proporcionan el software que se ejecuta en un equipo automáticamente y ayuda a administrar ese dispositivo, otras pueden configurarse a través de un explorador web. Se cree que estos tipos de dispositivos de cifrado de hardware son más veloces que los tipos de software, ya que crean túneles más rápidos, baja demanda y ejecutan el proceso de cifrado con mayor rapidez. El dispositivo VPN de caja negra se sitúa detrás del firewall, aunque también puede situarse a un lado de si mismo. El firewall proporciona seguridad a su organización; pero no provee seguridad para sus datos. 2.4 Basadas en acceso remoto Hay dos tipos comunes de VPN. Acceso remoto, también llamada una red privada virtual de dial-up (VPDN), es una conexión de usuario-a-lan utilizada por una empresa que tiene empleados que necesitan para conectarse a la red privada desde varias ubicaciones remotas. Con los accesos remotos seguros, las conexiones vía modem telefónico pueden transferir datos seguros vía un proveedor de servicios Internet o vía una red corporativa. Los datos se encriptan en el cliente antes de que sean transmitidos y se desencriptan en la puerta del firewall. El software proporcionado, habilita a los usuarios remotos a que se pueden conectar a la red corporativa como si ellos estuvieran detrás del firewall. La tecnología de VPN proporciona un medio para usar el canal público de Internet como un canal apropiado para comunicar los datos privados. Con la tecnología de encriptación y encapsulamiento, una VPN básica, crea un pasillo privado a través de Internet. 2.5 Basadas punto a punto (road warrior road warrior) Este esquema se utiliza para conectar oficinas remotas con la sede central de una organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las oficinas remotas se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar las costosas conexiones punto a punto tradicional. En una VPN punto a punto representado en la figura 2.2, dos usuarios remotos van a establecer un túnel VPN a través de una red insegura. Una vez que el canal privado este establecido, los datos que se intercambien entre ellos viajarán cifrados, es decir aunque una tercera persona capture los paquetes enviados, nunca podrá interpretarlos. 20

Figura 2.5.1 Red Privada Virtual (VPN) punto a punto Este tipo de escenario puede darse por ejemplo cuando se quiera establecer un canal de comunicación seguro con otra persona que se encuentre en cualquier lugar del mundo, con el objetivo de poder enviarle o recibir de ella información de forma confidencial. El túnel VPN se podrá establecer y desconectar todas las veces que se desee. 2.6 Basadas en LAN A LAN (oficina remota oficina remota) En una VPN LAN a LAN, dos oficinas remotas van a establecerse un túnel VPN a través de una red insegura. Una vez que el canal privado este establecido, los datos intercambiados entre ambos gateways viajarán cifrados a través del túnel. En la figura 2.6.1 se ha establecido un túnel VPN entre oficina remota 1 y la oficina remota 2, es decir, la información viajara encriptada exclusivamente entre estos dos puntos finales, circulando en claro dentro de las redes internas de esta forma cuando el PC quiera guardar un fichero en el servidor a través de un enlace virtual, la oficina remota 2 lo cifrara y lo enviara a trves de un túnel, con destino a la oficina remota 1. A su vez, este Gateway será el encargado de descifrarlo y hacérselo llegar al servidor. Este tipo de escenario puede darse por ejemplo cuando una compañía disponga de varias sedes en distintos lugares geográficos. Una de las posibles soluciones para enlazar de forma segura todas las entidades, pasaría por establecer una oficina remota VPN en cada uno de los extremos, de tal forma que ellas mismas serian las encargadas de encriptar y desencriptar la información intercambiada antes de que esta realice el salto a internet. 21