Capitulo 6 VPN y Firewalls



Documentos relacionados
VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

Semana 10: Fir Fir w e a w lls

Howto: Cómo configurar el mapeo estático de puertos en el router/firewall corporativo para las redes VPN de Panda GateDefender Integra

Diseño de redes VPN seguras bajo Windows server 2008

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

SEGURIDAD EN REDES IP

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Redes de Área Local: Configuración de una VPN en Windows XP

Javier Bastarrica Lacalle Auditoria Informática.

Semana 11: Fir Fir w e a w lls

Capítulo 6: Servicios de Trabajadores a Distancia

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Redes WAN VPN. Esteban De La Fuente Rubio L A TEX. 13 may Universidad Andrés Bello

GATEWAYS COMO FIREWALLS

Seminario Electrónico de Soluciones Tecnológicas sobre Acceso Remoto. 1 de 12

Redes Privadas Virtuales (VPN)

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

Internet y su Arquitectura de Seguridad

Redes Privadas Virtuales Virtual Private Networks

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

HOWTO: Cómo configurar el firewall para redes VPN

Firewalls, IPtables y Netfilter

66.69 Criptografía y Seguridad Informática FIREWALL

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

Coexistencia y Transición. Juan C. Alonso juancarlos@lacnic.net

Redes Privadas Virtuales

10 razones para cambiarse a un conmutador IP

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software - info@solucionempresarial.com.

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

TELECOMUNICACIONES Y REDES

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

HOWTO: Cómo configurar SNAT

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

Redes Privadas Virtuales

Q-expeditive Publicación vía Internet

Mecanismos de protección. Xavier Perramon

Necesidad de procesar y almacenar Información.

BREVE INTRODUCCIÓN A IPSEC

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Estableciendo Conectividad con el AMM para la Entrega de Medicio n Comercial

ipsec Qué es ipsec? IPSec: seguridad en Internet

Firewalls. Contenido. Principios acerca del diseño de Firewalls. Sistemas Confiables. Características Tipos Configuraciones

IPSEC. dit. Objetivo: proporcionar a IP (IPv4( IPv4, IPv6) ) mecanismos de seguridad. Servicios de Seguridad

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

INSTALACIÓN, OPERACIÓN Y PROGRAMACIÓN DE EQUIPOS Y SISTEMAS TELEFÓNICOS

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP:

Prueba de ping sobre DSL: Una verificación integral del servicio.

Capítulo 8, Sección 8.6: IPsec

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Mantiene la VPN protegida

Firewall Firestarter. Establece perímetros confiables.

Enlace web remoto a travez de SSh Juan Badilla Riquelme Anibal Espinoza Moraga Cesar Reyes Pino

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Concentradores de cableado

Redes de Computadoras El Protocolo PPP


Seguridad en Redes Protocolos Seguros

Capitulo III Implementación.

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Para detalles y funcionalidades ver Manual para el Administrador

Virtual Private Network (VPN) en una red local

PCI Day Today PCI DSS. WebSphere DataPower IBM Corporation

QUE ES SOLUCIÓN NET-LAN

CAPITULO 14 SEGURIDAD EN LA RED

Capítulo 5. Cliente-Servidor.

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

Mismo que se adjunta en impreso y disco magnético, así como la síntesis del asunto.

BlackBerry Mobile Voice System

MENSAREX: SISTEMA DE MENSAJERÍA DEL MINREX Gretel García Gómez Ministerio de Relaciones Exteriores Cuba.

Seguridad de la información: ARP Spoofing

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

Introducción a la Firma Electrónica en MIDAS

REDES PRIVADAS VIRTUALES (RPV)

Seguridad del Protocolo HTTP

OBJETIVOS DE APRENDIZAJE

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

UTILIZANDO WINDOWS SERVER 2008

Servidores corporativos Linux

We Care For Your Business Security

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

Qué es un firewall? cortafuegos firewall

CAPITULO IV CONCLUSIONES Y RECOMENDACIONES

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

Encriptación en Redes

Capa de TRANSPORTE. Ing. José Martín Calixto Cely Original: Galo Valencia P.

HOWTO: Cómo configurar el acceso web en varios interfaces de Integra

Transcripción:

6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de una red pública Pero tiene todas funcionalidades de una red privada Nacieron por la combinación de la penetración de las redes de datos públicas y el deseo de las corporaciones de mantenerse conectado aún fuera de las facilidades principales Es un grupo de sitios que se comunican de una manera segura sobre rutas no-seguras Tipos de VPN El concepto de VPN a cambiado según las tecnologías lo han hecho Tipos: VPN Intranet Múltiples facilidades VPN es implementada en cada sitio Las conexiones son entre usuarios confiables Una vez autenticado se tiene a disposición los mismos recursos que en el corporativo Aplica la misma política de seguridad

VPN Extranet Similar a la VPN Intranet solo que los sitios remotos pertenecen a diferentes corporaciones La comunicación es entre usuarios no-confiables Los requerimientos de seguridad son mucho más exigentes que en la VPN Intranet VPN Acceso Remoto Usuarios remotos no-confiables Acceso conmutado a través de ISP s 3 Desde el punto de vista táctico la VPN tiene las siguientes ventajas: Ahorro en gastos No hay líneas privadas, llamadas de larga distancia u 800 Ahorro en equipo de acceso remoto (RAS) y enrutadores El manejo y mantenimiento puede ser atendido por una empresa externa Desde el punto de vista estratégico: Facilita e impulsa la asociación de negocios Mayor y más fuerte relación entre cliente y proveedor Implementación de nuevas formas de negocio 4

6. Seguridad en la VPN La VPN atraviesa una parte de la red pública y es usada para pasar información sensible La seguridad se vuelve crítica La idea es asegurar la integridad de la información a través de la red pública 5 La solución VPN debe minimamente proveer los siguientes requerimientos básicos: Autenticación Verifica al identidad del usuario y restringe el acceso a solo los autorizados Monitorea quien, que y cuando se accede a la información Encriptamiento de la información Mantener ilegible e incoherente los datos mientras pasan la red pública Es clave el manejo, la generación y refrescamiento de las llaves de encripción Manejo de direcciones Manejo de direcciones privadas 6

Autenticación Grupo de procedimientos que verifican la identidad del usuario sin ambigüedades Los propósitos: Ganar acceso ( login ) Asegurar el envío de un mensaje La identidad de un usuario puede estar basada en alguna de las siguientes cosas: Algo que el usuario sabe ID/Password Método simple pero más vulnerable Algo que el usuario tiene Smartcard Algo único acerca del usuario Biometría (huellas digitales, patrón retinal, voz) 7 8 Hay tres tipos de sistemas de autenticación: RADIUS (RFC 38 y RFC 39) LDAP Basado en clave Cualquiera de los anteriores tienen dos responsabilidades: Asegurar que el usuario es quien dice ser Garantizar al usuario los apropiados privilegios del sistema Hay dos protocolos para validar la identidad del usuario PAP CHAP Una vez autenticado las políticas y controles son obtenidos de una base de datos y aplicado el perfil

RADIUS (RFC 38, 39) Proceso del RADIUS El cliente llama y el RAS contesta El RAS pasa la información de autenticación (PPP) al servidor RADIUS Si la autenticación es positiva, el servidor RADIUS responde con una aceptación y el perfil (dirección IP, tiempo de conexión, etc.) Si la autenticación es negativa, la llamada es terminada indicando la razón Con la información del perfil, el RAS completa al negociación PPP con el cliente 9 0 Encripción Tiene dos componentes: Algoritmo y llave Los algoritmos son funciones matemáticas Transforma un texto plano a un texto indescifrable usando la llave La seguridad del algoritmo esta directamente relacionado a la longitud de la llave (40, 56 o 8 bits) DES usa una llave de 56 bits, 3-DES bits y el AESs usa una llave de 56 bits El Encriptamiento puede ser vía hardware o software

Hay dos tipos de algoritmos de encriptamiento: Encripción simétrica Origen y destino usa una misma llave Es eficiente en cuanto al tiempo invertido El problema es la administración de la llave Encripción asimétrica Es un esquema de llave pública Usa dos llaves complementarias (llave y candado) Manejo de direcciones NAT Traslación automática de direcciones IP internas a diferentes direcciones globales (públicas) Usa una clase A facilitando la administración de esas direcciones Esta posicionado entre la red e Internet Es transparente para los equipos de cada lado y puede ser ejecutado estática o dinámicamente Facilita la diferenciación entre usuarios internos y de Internet

3 Tuneleo Originalmente se refería al transporte de un paquete hecho en un protocolo y enviado sobre una red que usa uno distinto Los túneles en VPN también involucran el encapsulamiento de un paquete en otro Primero es autenticado, encriptado y comprimido Ambos extremos deben de usar el mismo protocolo de tuneleo Hay dos clases de tuneleo: A nivel A nivel 3 4 En el nivel, el protocolo de esa capa (PPP) es encapsulado Descansan en que PPP provea de encripción, autenticación e integridad El LTP y PPTP son protocolos para la creación túneles Proveen de encripción de extremo a extremo En el nivel 3, el protocolo de red es encapsulado Empieza y termina en la red de proveedor del servicio IPSEC

6.3 Modelos de servicio VPN El modelo de servicio define el lugar en donde residen los puntos terminales que soportan VPN Hay tres modelos sobre los cuales VPN puede ser implementado: Empresa a Empresa Proveedor de servicios a Empresa Proveedor de servicios a Proveedor de servicios 5 6 En el modelo Empresa a Empresa: Internet es un trasporte transparente Es el modelo más común Los protocolo de tuneleo más empleados son: PPTP y IPSEC Hay dos posibles escenarios: Que un túnel exista entre dos elementos VPN Extiende la Intranet y Extranet Que un túnel exista entre una PC del cliente y un elemento en una VPN remota El túnel se controla en los extremos y puede operar en cualquier ISP

7 En el modelo Proveedor de servicio a Empresa: VPN existe entre un RAS mantenido y operado por el ISP y un elemento VPN de la Intranet corporativa Se pueden usar IPSEC, LTP o PPTP Los usuarios remotos son los clientes de este modelo En el modelo Proveedor de servicio a Proveedor de servicio: VPN empieza y termina en el espacio de los ISP s El LTP y PPTP son preferidos Son los menos utilizados 8 Protocolo para la creación del túnel Este protocolo define los parámetros de comunicación antes de que los datos pasen a través de la VPN Los elementos VPN, arbitran el protocolo a usarse, el método de autenticación y encapsulamiento PPTP, LTP e IPSEC

9 PPTP Es un protocolo de nivel dos El objetivo es separar las funciones del acceso remoto Aprovechar la infraestructura de Internet pero de manera segura Usado primariamente en conexiones conmutadas y puede transportar una variedad de protocolo de red además del IP pero requiere que la red de transporte sea IP Encapsulan el protocolo usando el encabezado generic routing encapsulation o GRE Usa PAP, CHAP y MS-CHAP como esquema de autenticación Muestra debilidades en la encripción y es poco usado 0 LTP Misma flexibilidad que el PPTP y es usado en conexiones conmutadas y dedicadas Puede correr sobre una variedad de redes de transporte además de IP, X.5 o ATM Permite el manejo de varios túneles entre dos puntos o bien múlticanaliza varias conexiones sobre un solo túnel Maneja mensajes de control y de datos Usa PAP, CHAP y MS-CHAP como esquema de autenticación

IPSEC Protocolo de nivel tres y solo opera con el IP Define dos encabezados: AH (authentication header) y el ESP (encapsulating security payload) Opera en dos modos: Transporte (no encapsula, solo autentica) Túnel En el modo transporte no hay nuevo encabezado que se agregue al paquete En cualquiera de los modos, se necesita un canal seguro para intercambiar los parámetros de establecimiento del túnel, se le llama SA AH realiza un checksum sobre todo el paquete y lo incluye justo después del encabezado IP ESP autentica y encripta 6.4 Firewalls El Firewall establece una barrera entre la red pública y la privada Controla y monitorea el tráfico a través de este limite Una vez la empresa abre sus operaciones a Internet el Firewall es el primer paso en las políticas de seguridad Mantiene afuera los usuarios no deseados Ya que la VPN permite el acceso a la red corporativa a usuarios remotos el Firewall es indispensable

3 La VPN al crear un túnel entre dos direcciones, el equipo VPN puede actuar como Firewall También pueden estar atrás de este Son un componente esencial en la política de seguridad Los firewalls actúan como una puerta de seguridad en el perímetro de la red Monitorean y controlan el trafico que entra o sale No protegen contra cambios en la información que pasa por la red pública (virus) o ataques internos 4 Hay tres tipos de firewall: Filtering router Stateful packete filter Application gateway Filtering router: La forma más simple y antigua Filtran paquetes en base a direcciones IP, puertos TCP o UDP No manejan información de estado por lo tanto no se pueden implementar políticas complejas No autentifican

Stateful packet filter: Manejan información de estado de cada conexión y tratan a los paquetes como parte de esa conexión Se pueden implantar políticas más complejas Tiene un excelente sistema de alarma y reporte de eventos Son lo elementos más costos 5 6 Application gateways: Corre en un bastion host Sistema altamente seguro y dedicado a soportar el software del gateway No soportan acceso de los usuarios Mínimas funcionalidades y máxima seguridad Opera como un proxy para el resto de las computadoras en la red privada Procesan, validan y regeneran cada paquete recibido Pueden implantas las más complejas políticas de seguridad (observa todos los niveles del modelo OSI)

7 Posición del firewall y la VPN VPN provee de encripción y autenticación El firewall provee de autorización Determinan que recursos de la red el usuario puede acceder Cuando las empresas quieren compartir algo de su información se crea una DMZ Una DMZ esta delineada por dos firewalls Uno entre la red pública y la DMZ y el otro entre la red privada y la DMZ La relación entre el firewall y la VPN debe de ser bien planeada para lograr su optimo desempeño 8 La ventaja de terminar la VPN en la red privada es que la información es protegida a través de su paso por la DMZ Es una opción muy segura pero abre agujeros en el firewall No es una practica deseable El terminar la VPN en la DMZ y permitir el flujo de la información desprotegida por el firewall elimina la necesidad de abrir agujeros Usa los puertos ya abiertos Reduce el riesgo de la red privada pero la DMZ es un lugar inseguro para la información

9 El poner el elemento VPN a la par del Firewall La VPN es terminada en la DMZ pero la información desprotegida es entregada directamente a la red privada No es expuesta en la DMZ No es necesario abrir agujeros en el firewall No impone mayor carga el firewall Puede adicionarse un enrutador filtro a esta configuración para aumentar la seguridad 3 0 El terminar la VPN en el Firewall: Permite proteger los datos de VPN a través de la DMZ Minimiza el número de conexiones físicas y simplifica la configuración Se debe de estar seguro que el equipo Firewall/VPN puede con la carga Si el Firewall/VPN llega a se comprometido, toda la red también los será

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback