Professional Documents
Culture Documents
TECNOLGICO DE
ACAPULCO
ADMINISTRACIN DE LA SEGURIDAD
Profesor:
10320803
10320777
Contenido
Conexin a Sistemas Remotos de Acceso -VPN -.......................................................3
OBJETIVO............................................................................................................ 3
INTRODUCCIN................................................................................................... 4
Diferencias entre LAN y VPN................................................................................... 7
Tipos de conexin VPN........................................................................................... 8
Puertos y tneles................................................................................................... 9
Protocolo PPTP............................................................................................ 10
Protocolo L2TP............................................................................................. 10
Protocolo IPSec........................................................................................... 10
DESARROLLO.................................................................................................... 11
Conexin del Cliente......................................................................................... 15
CONCLUSIN..................................................................................................... 20
BIBLIOGRAFA.................................................................................................... 21
OBJETIVO
El objetivo de este laboratorio es:
Familiarizarse con las redes privadas virtuales y establecer una
configuracin de conectividad VPN en la plataforma Windows 2003
( mayor) Linux.
Hardware y software a utilizar
Mnimo 2 Equipos de Cmputo.
Analizador de protocolos (Sniffer).
Opcional una mquina virtual
Tareas a desarrollar
Documentar el proceso de conexin de los nodos remotos.
Monitorear la operacin y los encabezados Ethernet con un analizador de
protocolos.
Monitorear la operacin y los encabezados VPN con un analizador de
protocolos.
El Reporte final tcnico debe incluir los siguientes elementos:
Describir el procedimiento que utiliz para establecer la conectividad fsica
de la red.
Describir el procedimiento que utiliz para establecer la conectividad lgica
de la red, sustentar con la captura del proceso de establecimiento de la
conexin y la liberacin de la conexin.
Describir la diferencia encontrada en los encabezados capturados (sniffer)
en la red protegida y en la red sin proteccin.
INTRODUCCIN
Una red privada virtual o VPN, por sus siglas en ingls (Virtual Private Network),
es una tecnologa de comunicaciones que permite una extensin de la red local
sobre una red pblica insegura, como Internet.
Se suele hablar de redes porque pueden interconectar y extender otras redes o
segmentos y, tambin, permiten crear tneles dentro de una misma red. Son
privadas porque se mantiene la confidencialidad de la informacin y tienen
directamente asociada la seguridad. Para esto se implementan controles de
autenticacin y cifrado para las conexiones.
Se dice que son virtuales porque, al establecer una conexin, el cliente extiende
virtualmente la red hasta esa ubicacin. Las redes fsicas son distintas, pero se
trabaja dentro de la misma red lgica.
Siguiendo los mismos principios funcionales de los circuitos dedicados, las VPNs
permiten una comunicacin digital segura entre dos partes (o redes), creando una
red de rea amplia (WAN) a partir de las LANs existentes. La diferencia con
respecto a frame relay o ATM est en el medio de transporte. Las VPNs transmiten
sobre IP usando datagramas (UDP) como la capa de transporte, haciendo un
conducto seguro a travs de la Internet hasta la direccin destino. La mayora de
las implementaciones de software libre de VPN incorporan estndares abiertos y
encriptacin para enmascarar an ms el trnsito de datos.
Algunas organizaciones emplean soluciones de hardware VPN para aumentar la
seguridad, mientras que otras utilizan las implementaciones basadas en software
o protocolos. Hay muchos fabricantes con soluciones de hardware VPN tales
como Cisco, Nortel, IBM y Checkpoint. Hay una solucin libre de VPN basada en
software para Linux llamada FreeS/Wan que utiliza una implementacin
estandarizada de IPSec (o Protocolo de Internet de Seguridad). Estas soluciones
VPN actan como enrutadores especializados que se colocan entre la conexin IP
desde una oficina a la otra.
Cuando un paquete es transmitido a un cliente, lo enva a travs del enrutador o
puerta de enlace, el cual posteriormente aade informacin de cabecera para el
enrutamiento y autenticacin llamado la Cabecera de autenticacin (AH). Los
datos son encriptados y encapsulados con instrucciones de descifrado y manejo
llamado Encapsulating Security Payload (ESP). El enrutador VPN receptor extrae
la informacin y la enruta a su destino (bien sea una estacin de trabajo o un nodo
en la red). Usando una conexin de red-a-red, el nodo receptor en la red local
recibe los paquetes descifrados y listos para ser procesados. El proceso de
Entramos
datos, pero no brinda confidencialidad. Por otro lado, ESP (Encapsulating Security
Payload), que se encarga de proveer confidencialidad de datos. Finalmente,
ISAKMP (Internet Security Association and Key Management Protocol), que brinda
los mecanismos de intercambio de claves y autenticacin de AH y ESP.
Adicionalmente, dependiendo de cmo se implemente IPSec, tendremos dos
modos de operacin distintos.En el modo transporte se cifra el payload (dato) pero
no la cabecera IP, tal como podemos ver en la Figura. Este modo se utiliza para la
comunicacin punto a punto entre dos hosts y requiere que ambos soporten
IPSec.
El segundo modo de operacin es el conocido como modo tnel, donde se protege
el paquete IP completo con las cabeceras incluidas. Este modo es el utilizado para
comunicaciones punto a punto entre distintos Gateway. Una ventaja del modo
tnel es que la implementacin de IPSec solo debe ser montada en los Gateway,
independientemente de los clientes, a los paquetes se les agrega una nueva
cabecera.
Por otro lado, el control de acceso a la VPN est basado en las polticas de la
organizacin, haciendo que la implementacin de estas sea directa. Los
algoritmos de compresin, dependiendo del tipo de VPN, optimizan el trfico y
complementan las cargas asociadas al procesamiento de cifrado, descifrado,
etctera.
En el caso terico, una VPN ofrece un sistema de comunicaciones seguro, donde
la confidencialidad, la integridad y la autenticacin estn garantizadas. Pero de la
teora a la prctica, muchas veces hay un largo camino. Al igual que en el caso de
las VLANs, la mayora de las debilidades se presentan al momento de la
implementacin. Las configuraciones predeterminadas y la falta de recaudos
necesarios hacen que esta tecnologa muchas veces muestre ciertas
vulnerabilidades que no estn asociadas a la tecnologa en s. De ah que, una vez
ms, hagamos hincapi en la importancia de los procesos de hardening para
reducir los riesgos y la falsa sensacin de seguridad asociados a la presencia de
dispositivos tales como firewalls, sistemas de deteccin de intrusos, firewalls de
aplicacin, etc. Si bien muchos de ellos son necesarios dependiendo del entorno
que debamos proteger, el solo hecho de tenerlos crackeados en el data center no
garantiza que exista una proteccin efectiva.
Uno de los modos de operacin de IPSec por medio del cual se genera un canal
para llevar adelante el intercambio de claves en una VPN es el modo agresivo
(aggresivemode). Este modo no est recomendado porque parte del intercambio
se hace por un canal no cifrado, y si bien no es el modo que se usar por defecto,
muchas veces permanece habilitado como segunda opcin. Si un atacante
identifica la presencia del modo agresivo, puede forzar al terminador VPN a utilizar
este modo por sobre el principal, y as, obtener informacin que puede ser
utilizada para acceder al tnel en forma no autorizada.
Si el tnel se genera por software por ejemplo, sobre SSH o SSL, es
fundamental conocer las versiones implementadas de las aplicaciones e, incluso,
de los protocolos. Es sabido que la versin 1 SSH es vulnerable, al igual que la
versin 2 del protocolo SSL; incluso existen exploits pblicos conocidos y diversas
formas de aprovecharse de ellas.
Las VPN brindan una conexin segura entre la Internet, el usuario y la data o los
sitios WEB a los que se conectan, y encripta el intercambio de datos a travs de la
conexin. Un usuario abre un portal VPN en su Tablet o navegas en un sitio VPN,
y a partir de all opera la proteccin del VPN a travs de una serie de protecciones
especficas de las redes y computadoras con VPN.
Diferencias entre LAN y VPN
Las LAN son aquellas que se expande en un rea pequea, Su extensin est
limitada fsicamente a un edificio o a un entorno de hasta 200 metros. Una LAN
puede estar conectada con otras LAN a cualquier distancia por medio de una lnea
telefnica y ondas de radio.
Las LAN son capaces de transmitir datos a velocidades muy altas, pero las
distancias son limitadas. Generalmente estas redes transmiten datos a 10
megabits por segundo.
Las redes privadas virtuales Es una tecnologa de red que permite una extensin
de la red local sobre una red pblica o no controlada, como por ejemplo Internet.
Algunas caractersticas que ofrece VPN sobre LAN son:
Ofrece conectividad a zonas geogrficas
Mejora la seguridad
Reduce costes frente a otras soluciones WAN
Simplifica las redes de datos
Favorece el soporte remoto
Es compatible con las conexiones de banda ancha
VPN brinda seguridad eficaz para los usuarios que acceden a la red por va
inalmbrica mientras estn de viaje o alejados de sus oficinas. Con VPN, los
usuarios crean un "tnel" seguro entre dos o ms puntos de una red mediante el
cifrado, incluso si los datos cifrados se transmiten a travs de redes no seguras
como la red de uso pblico Internet. Los empleados que trabajan desde casa con
conexiones de acceso telefnico o de banda ancha tambin pueden usar VPN.
Las VPN ofrecen ventajas como:
Puertos y tneles
Puerto 1128
El puerto TCP 1128 usa el Protocolo de Control de Transmisin. TCP es uno de los
protocolos principales en redes TCP/IP. TCP es un protocolo orientado en la
conexin, necesita el apretn de manos para determinar comunicaciones de
principio a fin. Solo cuando la conexin es determinada, los datos del usuario
pueden ser mandados de modo bidireccional por la conexin.
TCP puerto 1128 garantiza la entrega de paquetes de datos en el mismo orden, en
Protocolo PPTP.
El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear
tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP.
Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes
de rea local se conectan con una conexin de igual a igual (con un sistema
de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de
IP.
De esta manera, los datos de la red de rea local (as como las direcciones
de los equipos que se encuentran en el encabezado del mensaje) se
encapsulan dentro de un mensaje PPP, que a su vez est encapsulado
dentro de un mensaje IP.
Protocolo L2TP.
L2TP es un protocolo de tnel estndar (estandarizado en una RFC,
solicitud de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP,
que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).
Protocolo IPSec.
IPSec es un protocolo definido por el IETF que se usa para transferir datos
de manera segura en la capa de red. En realidad es un protocolo que
mejora la seguridad del protocolo IP para garantizar la privacidad, integridad
y autenticacin de los datos enviados.
IPSec se basa en tres mdulos:
DESARROLLO
Configuracin de la maquina servidor en la conexin VPN.
Abrimos la configuracin de adaptadores de red, damos en el men archivo y
seleccionamos nueva conexin entrante:
Una vez que le damos en agregar nueva conexin entrante nos aparecer una
ventana como se muestra en la figura 2 y creamos un usuario, en este caso
crearemos al usuario cesar.
Una vez creados los usuarios este nos indicara que seleccionemos quien se podr
acceso remoto
conectar al equipo.
Una vez que seleccionamos los usuarios damos en siguiente y nos dir si
deseamos conectarnos a travs de internet, en este caso seleccionamos la casilla
como se muestra en la figura 4.
Figura 6: Finalizacin de la
red
Una vez que terminamos de configurar nuestra red VPN se procede a finalizar
donde esta nos mostrara el nombre del servidor el equipo en el cual se configuro
nuestra red.
Damos clic en Aceptar y ahora configuramos el cliente para que pueda acceder
con este nombre de usuario.
Una vez que damos clic sobre configurar una nueva conexin seleccionamos la
opcin conectarse a un red de trabajo.
Una
vez
Figura 10: Usar conexin de red VPN
que seleccionamos que vamos a conectarnos a una red VPN. Seleccionamos que
usuraremos nuestra conexin a internet como se muestra en la figura10.
12:y Ingresando
y una pantalla de proceso de
Una vez ingresado elFigura
usuario
contrasea usuario
nos saldr
contrasea
conexin y tiempo despus
nos mandara el mensaje de que el cliente se conecto.
Una vez que el cliente ingresa con el usuario y la contrasea que le asigno el
servidor, en la maquina servidor esta nos indica que hay un cliente conectado,
como se muestra en la figura 14.
Compartiendo un archivo
Para comprobar la conexin entre cliente y servidor compartiremos un archivo
desde la maquina cliente.
Para ello entramos al explorador de Windows y asignamos la carpeta que
deseamos enviar al servidor.
Capturas de Wireshark
Ahora comprobaremos la conexin por medio de una captura con Wireshark, para
observar el protocolo utilizado en la conexin VPN.
Se puede observar el protocolo PPTP en la conexin del cliente con la red VPN.
CONCLUSIN
Las redes privadas virtuales son una forma de comunicacin ms
segura, ya que nos permite conectarnos a una red de trabajo desde
nuestra casa, otro estado o incluso otro pas. Es una utilidad conveniente
cuando se desea mantener la seguridad en la transmisin de los datos.
Por otro lado, puede ser utilizado en redes de rea local esto por motivos
de seguridad de trasmisin de datos y evitar que estos sean
interceptados por programas Sniffer.
Una de las cosas importantes, es la creacin de usuarios en el servidor
de la red VPN, pues as estamos especificando las personas que tendr
acceso al servidor con una contrasea.
BIBLIOGRAFA
http://technet.microsoft.com/es-es/library/ff625695(v=ws.10).aspx
http://wiki.wireshark.org/SMB2