Professional Documents
Culture Documents
1 Introduccin
La seguridad es un motivo de preocupacin cuando se utiliza Internet pblica para realizar
negocios. Las redes virtuales privadas (VPN) se utilizan para garantizar la seguridad de los datos a
travs de Internet. Una VPN se utiliza para crear un tnel privado a travs de una red pblica. Se
puede proporcionar seguridad a los datos mediante el uso de cifrado en este tnel a travs de
Internet y con autenticacin para proteger los datos contra el acceso no autorizado.
En este captulo, se explican los conceptos y los procesos relacionados con las VPN, as como los
beneficios de las implementaciones de VPN y los protocolos subyacentes requeridos para
configurar las VPN.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.0.1.2 Actividad de clase: Resumen sobre las
VPN
Resumen sobre las VPN
Una pequea o mediana empresa crece y necesita que los clientes, los trabajadores a distancia y
los empleados que se conectan por cable y de forma inalmbrica puedan acceder a la red principal
desde cualquier ubicacin. Como administrador de red de la empresa, usted decidi implementar
las VPN para aportar seguridad, facilitar el acceso a la red y ahorrar costos.
Su trabajo es asegurar que todos los administradores de red comiencen el proceso de planificacin
de VPN con el mismo conjunto de conocimientos.
Se deben investigar cuatro reas informativas bsicas de VPN, y dichas reas se deben presentar
al equipo de administracin de la red:
En la ilustracin, se muestran las topologas que utilizan las redes modernas para conectar
ubicaciones remotas. En algunos casos, las ubicaciones remotas se conectan solo a la oficina
central, mientras que en otros casos, las ubicaciones remotas se conectan a sitios adicionales.
Las organizaciones utilizan las VPN para crear una conexin de red privada de extremo a extremo
a travs de redes externas como Internet o las extranets. El tnel elimina la barrera de distancia y
permite que los usuarios remotos accedan a los recursos de red del sitio central. Una VPN es una
red privada creada mediante tunneling a travs de una red pblica, generalmente Internet. Una
VPN es un entorno de comunicaciones en el que el acceso se controla de forma estricta para
permitir las conexiones de peers dentro de una comunidad de inters definida.
Las primeras VPN eran exclusivamente tneles IP que no incluan la autenticacin o el cifrado de
los datos. Por ejemplo, la encapsulacin de routing genrico (GRE) es un protocolo de tunneling
desarrollado por Cisco que puede encapsular una amplia variedad de tipos de paquetes de
protocolo de capa de red dentro de los tneles IP. Esto crea un enlace virtual punto a punto a los
routers Cisco en puntos remotos a travs de una internetwork IP.
Para implementar las VPN, se necesita un gateway VPN. El gateway VPN puede ser un router, un
firewall o un dispositivo de seguridad adaptable (ASA) de Cisco. Un ASA es un dispositivo de
firewall independiente que combina la funcionalidad de firewall, concentrador VPN y prevencin de
intrusiones en una imagen de software.
Captulo
Como se muestra en la ilustracin, una VPN utiliza conexiones virtuales que se enrutan a travs de
Internet desde la red privada de una organizacin hasta el sitio remoto o el host del empleado. La
informacin de una red privada se transporta de manera segura a travs de la red pblica para
formar una red virtual.
Ahorro de costos: las VPN permiten que las organizaciones utilicen un transporte externo
de Internet rentable para conectar oficinas remotas y usuarios remotos al sitio principal; por lo
tanto, se eliminan los costosos enlaces WAN dedicados y los bancos de mdem. Adems,
con la llegada de las tecnologas rentables de ancho de banda alto, como DSL, las
organizaciones pueden utilizar VPN para reducir los costos de conectividad y, al mismo
tiempo, aumentar el ancho de banda de la conexin remota.
Compatibilidad con la tecnologa de banda ancha: las redes VPN permiten que los
trabajadores mviles y los empleados a distancia aprovechen la conectividad por banda
ancha de alta velocidad, como DSL y cable, para acceder a las redes de sus organizaciones.
La conectividad por banda ancha proporciona flexibilidad y eficacia. Las conexiones por
banda ancha de alta velocidad tambin proporcionan una solucin rentable para conectar
oficinas remotas.
Seguridad: las VPN pueden incluir mecanismos de seguridad que proporcionan el mximo
nivel de seguridad mediante protocolos de cifrado y autenticacin avanzados que protegen
los datos contra el acceso no autorizado.
las VPN
Captulo 7: Seguridad de la conectividad Site-to-Site 7.1.2.1 VPN de sitio a sitio
Sitio a sitio
Acceso remoto
Una VPN de sitio a sitio se crea cuando los dispositivos en ambos lados de la conexin VPN
conocen la configuracin de VPN con anticipacin, como se muestra en la ilustracin. La VPN
permanece esttica, y los hosts internos no saben que existe una VPN. En una VPN de sitio a sitio,
los hosts terminales envan y reciben trfico TCP/IP normal a travs de un gateway VPN. El
gateway VPN es el responsable de encapsular y cifrar el trfico saliente para todo el trfico de un
sitio en particular. Despus, el gateway VPN lo enva por un tnel VPN a travs de Internet a un
gateway VPN de peer en el sitio de destino. Al recibirlo, el gateway VPN de peer elimina los
encabezados, descifra el contenido y transmite el paquete hacia el host de destino dentro de su red
privada.
Una VPN de sitio a sitio es una extensin de una red WAN clsica. Las VPN de sitio a sitio
conectan redes enteras entre s, por ejemplo, pueden conectar la red de una sucursal a la red de la
oficina central de una empresa. En el pasado, se requera una conexin de lnea arrendada o de
Frame Relay para conectar sitios, pero dado que en la actualidad la mayora de las empresas
tienen acceso a Internet, estas conexiones se pueden reemplazar por VPN de sitio a sitio.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.1.2.2 VPN de acceso remoto
VPN de acceso remoto
Si se utiliza una VPN de sitio a sitio para conectar redes enteras, la VPN de acceso remoto admite
las necesidades de los empleados a distancia, de los usuarios mviles y del trfico de extranet de
cliente a empresa. Una VPN de acceso remoto se crea cuando la informacin de VPN no se
configura de forma esttica, pero permite el intercambio dinmico de informacin y se puede
habilitar y deshabilitar. Las VPN de acceso remoto admiten una arquitectura cliente/servidor, en la
que el cliente VPN (host remoto) obtiene acceso seguro a la red empresarial mediante un
dispositivo del servidor VPN en el permetro de la red.
Las VPN de acceso remoto se utilizan para conectar hosts individuales que deben acceder a la red
de su empresa de forma segura a travs de Internet. La conectividad a Internet que utilizan los
trabajadores a distancia suele ser una conexin por banda ancha, DSL, cable o inalmbrica, como
se indica en la ilustracin.
Es posible que se deba instalar un software de cliente VPN en la terminal del usuario mvil; por
ejemplo, cada host puede tener el software Cisco AnyConnect Secure Mobility Client instalado.
Cuando el host intenta enviar cualquier tipo de trfico, el software Cisco AnyConnect VPN Client
encapsula y cifra este trfico. Despus, los datos cifrados se envan por Internet al gateway VPN
en el permetro de la red de destino. Al recibirlos, el gateway VPN se comporta como lo hace para
las VPN de sitio a sitio.
Nota: el software Cisco AnyConnect Secure Mobility Client se basa en las caractersticas que
ofrecan anteriormente Cisco AnyConnect VPN Client y Cisco VPN Client para mejorar la
experiencia de VPN permanente en ms dispositivos porttiles basados en computadoras porttiles
y smartphones. Este cliente admite IPv6.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.1.2.3 Actividad: Comparar los tipos de VPN
En esta actividad, configurar dos routers para admitir una VPN con IPsec de sitio a sitio para el
trfico que fluye de sus respectivas LAN. El trfico de la VPN con IPsec pasa a travs de otro
router que no tiene conocimiento de la VPN. IPsec proporciona una transmisin segura de la
informacin confidencial a travs de redes sin proteccin, como Internet. IPsec funciona en la capa
de red, por lo que protege y autentica los paquetes IP entre los dispositivos IPsec participantes
(peers), como los routers Cisco.
GRE est diseada para administrar el transporte del trfico multiprotocolo y de multidifusin IP
entre dos o ms sitios, que probablemente solo tengan conectividad IP. Puede encapsular varios
tipos de paquete de protocolo dentro de un tnel IP.
Como se muestra en la ilustracin, una interfaz de tnel admite un encabezado para cada uno de
los siguientes protocolos:
de GRE
Paso 1. Cree una interfaz de tnel con el comando interface tunnel number.
Paso 5. (Optativo) Especifique el modo de tnel GRE como modo de interfaz de tnel. El modo de
tnel GRE es el modo predeterminado de interfaz de tnel para el software IOS de Cisco.
La configuracin mnima requiere la especificacin de las direcciones de origen y destino del tnel.
Tambin se debe configurar la subred IP para proporcionar conectividad IP a travs del enlace de
tnel. Ambas interfaces de tnel tienen el origen del tnel establecido en la interfaz serial local
S0/0/0 y el destino del tnel establecido en la interfaz serial S0/0/0 del router peer. La direccin IP
se asigna a las interfaces de tnel en ambos routers. Tambin se configur OSPF para
intercambiar rutas a travs del tnel GRE.
Las descripciones de los comandos individuales de tnel GRE se muestran en la figura 4.
Nota: cuando se configuran los tneles GRE, puede ser difcil recordar cules son las redes IP
asociadas a las interfaces fsicas y cules son las redes IP asociadas a las interfaces de tnel.
Recuerde que antes de que se cree un tnel GRE, ya se configuraron las interfaces fsicas. Los
comandos tunnel source y tunnel destination se refieren a las direcciones IP de las interfaces
fsicas configuradas previamente. El comando ip address en las interfaces de tnel se refiere a
una red IP especialmente diseada para los propsitos del tnel GRE.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.2.2.2 Verificacin del tnel GRE
Existen varios comandos que se pueden utilizar para controlar los tneles GRE y resolver los
problemas relacionados. Para determinar si la interfaz de tnel est activa o inactiva, utilice el
comando show ip interface brief, el cual se muestra en la figura 1.
Para verificar el estado de un tnel GRE, utilice el comando show interface tunnel. El protocolo
de lnea en una interfaz de tnel GRE permanece activo mientras haya una ruta al destino del
tnel. Antes de implementar un tnel GRE, la conectividad IP ya debe estar operativa entre las
direcciones IP de las interfaces fsicas en extremos opuestos del tnel GRE potencial. El protocolo
de transporte de tnel se muestra en el resultado, que tambin aparece en la figura 1.
Si tambin se configur OSPF para intercambiar rutas a travs del tnel GRE, verifique que se
haya establecido una adyacencia OSPF a travs de la interfaz de tnel con el comando show ip
ospf neighbor. En la figura 2, observe que la direccin de interconexin para el vecino OSPF est
en la red IP creada para el tnel GRE.
GRE se considera una VPN porque es una red privada que se crea con tunneling a travs de una
red pblica. Mediante la encapsulacin, un tnel GRE crea un enlace virtual punto a punto a los
routers Cisco en puntos remotos a travs de una internetwork IP. Las ventajas de GRE son que se
puede utilizar para canalizar el trfico que no es IP a travs de una red IP, lo que permite la
expansin de la red mediante la conexin de subredes multiprotocolo en un entorno de backbone
de protocolo nico. Adems, GRE admite el tunneling de multidifusin IP. Esto significa que se
pueden utilizar los protocolos de routing a travs del tnel, lo que habilita el intercambio dinmico
de informacin de routing en la red virtual. Por ltimo, es habitual crear tneles GRE IPv6 a travs
de IPv4, donde IPv6 es el protocolo encapsulado e IPv4 es el protocolo de transporte. En el futuro,
es probable que estas funciones se inviertan cuando IPv6 pase a cumplir la funcin de protocolo IP
estndar.
Sin embargo, GRE no proporciona cifrado ni ningn otro mecanismo de seguridad. Por lo tanto, los
datos que se envan a travs de un tnel GRE no son seguros. Si se necesita una comunicacin de
datos segura, se deben configurar redes VPN con IPsec o SSL.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.2.2.3
Informacin bsica/situacin
Usted es el administrador de red de una empresa que desea configurar un tnel GRE a una oficina
remota. Ambas redes estn configuradas localmente y solo necesitan que se configure el tnel.
Se contrat a un administrador de red principiante para configurar un tnel GRE entre dos sitios,
pero no pudo completar la tarea. Se le solicita a usted corregir los errores de configuracin en la
red de la empresa.
Las VPN con IPsec ofrecen conectividad flexible y escalable. Las conexiones de sitio a sitio pueden
proporcionar una conexin remota segura, rpida y confiable. Con una VPN con IPsec, la
informacin de una red privada se transporta de manera segura a travs de una red pblica. Esto
forma una red virtual en lugar de usar una conexin dedicada de capa 2, como se muestra en la
ilustracin. Para que siga siendo privado, el trfico se cifra a fin de mantener la confidencialidad de
los datos.
IPsec es un estndar IETF que define la forma en que se puede configurar una VPN de manera
segura mediante el protocolo de Internet.
IPsec es un marco de estndares abiertos que detalla las reglas para las comunicaciones seguras.
IPSec no se limita a ningn tipo especfico de cifrado, autenticacin, algoritmo de seguridad ni
tecnologa de creacin de claves. En realidad, IPsec depende de algoritmos existentes para
implementar comunicaciones seguras. IPsec permite que se implementen nuevos y mejores
algoritmos sin modificar los estndares existentes de IPsec.
IPsec funciona en la capa de red, por lo que protege y autentica los paquetes IP entre los
dispositivos IPsec participantes, tambin conocidos como peers. IPsec protege una ruta entre un
par de gateways, un par de hosts o un gateway y un host. Como resultado, IPsec puede proteger
prcticamente todo el trfico de una aplicacin, dado que la proteccin se puede implementar
desde la capa 4 hasta la capa 7.
IPsec funciona en la capa de red, por lo que protege y autentica paquetes IP.
Los servicios de seguridad IPsec proporcionan cuatro funciones fundamentales, las cuales se
muestran en la ilustracin:
Confidencialidad (cifrado): en una implementacin de VPN, los datos privados se
transfieren a travs de una red pblica. Por este motivo, la confidencialidad de los datos es
fundamental. Esto se puede lograr mediante el cifrado de los datos antes de transmitirlos a
travs de la red. Este es el proceso de tomar todos los datos que una computadora enva a
otra y codificarlos de una manera que solo la otra computadora pueda decodificar. Si se
intercepta la comunicacin, el pirata informtico no puede leer los datos. IPsec proporciona
caractersticas de seguridad mejoradas, como algoritmos de cifrado seguros.
Integridad de datos: el receptor puede verificar que los datos se hayan transmitido a
travs de Internet sin sufrir ningn tipo de modificaciones ni alteraciones. Si bien es
importante que los datos a travs de una red pblica estn cifrados, tambin es importante
verificar que no se hayan modificado cuando estaban en trnsito. IPsec cuenta con un
mecanismo para asegurarse de que la porcin cifrada del paquete, o todo el encabezado y la
porcin de datos del paquete, no se haya modificado. IPsec asegura la integridad de los datos
mediante checksums, que es una comprobacin de redundancia simple. Si se detecta una
alteracin, el paquete se descarta.
Autenticacin: verifica la identidad del origen de los datos que se envan. Esto es
necesario para la proteccin contra distintos ataques que dependen de la suplantacin de
identidad del emisor. La autenticacin asegura que se cree una conexin con el compaero
de comunicacin deseado. El receptor puede autenticar el origen del paquete mediante la
certificacin del origen de la informacin. IPsec utiliza el intercambio de claves de Internet
(IKE) para autenticar a los usuarios y dispositivos que pueden llevar a cabo la comunicacin
de manera independiente. IKE utiliza varios tipos de autenticacin, por ejemplo, nombre de
usuario y contrasea, contrasea por nica vez, biometra, clave previamente compartida
(PSK) y certificados digitales.
El acrnimo CIA se suele utilizar para ayudar a recordar las iniciales de estas tres funciones:
confidencialidad, integridad y autenticacin.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.3.2.1 Confidencialidad con cifrado
Confidencialidad
El trfico VPN se mantiene confidencial con el cifrado. Los datos de texto no cifrado que se
transportan a travs de Internet pueden interceptarse y leerse. Cifre la fecha para que se mantenga
privada. El cifrado digital de los datos hace que estos sean ilegibles hasta que el receptor
autorizado los descifre.
Para que la comunicacin cifrada funcione, el emisor y el receptor deben conocer las reglas que se
utilizan para transformar el mensaje original a su forma cifrada. Las reglas se basan en algoritmos
y claves asociadas. En el contexto del cifrado, un algoritmo es una secuencia matemtica de pasos
que combina un mensaje, texto, dgitos o las tres cosas con una cadena de dgitos denominada
clave. El resultado es una cadena de cifrado ilegible. El algoritmo de cifrado tambin especifica
cmo se descifra un mensaje cifrado. El descifrado es extremadamente difcil o imposible sin la
clave correcta.
En la ilustracin, Gail desea enviar una transferencia electrnica de fondos (EFT) a Jeremas a
travs de Internet. En el extremo local, el documento se combina con una clave y se procesa con
un algoritmo de cifrado. El resultado es un texto cifrado. El texto cifrado se enva a travs de
Internet. En el extremo remoto, el mensaje se vuelve a combinar con una clave y se devuelve a
travs del algoritmo de cifrado. El resultado es el documento financiero original.
La confidencialidad se logra con el cifrado del trfico mientras viaja por una VPN. El grado de
seguridad depende de la longitud de la clave del algoritmo de cifrado y la sofisticacin del
algoritmo. Si un pirata informtico intenta descifrar la clave mediante un ataque por fuerza bruta, la
cantidad de intentos posibles es una funcin de la longitud de la clave. El tiempo para procesar
todas las posibilidades es una funcin de la potencia de la computadora del dispositivo atacante.
Cuanto ms corta sea la clave, ms fcil ser descifrarla. Por ejemplo, una computadora
relativamente sofisticada puede tardar aproximadamente un ao para descifrar una clave de
64 bits, mientras que descifrar una clave de 128 bits puede llevarle de 10 a 19 aos.
Hellman
Integridad de datos
DH, presentado por Whitfield Diffie y Martin Hellman en 1976, fue el primer sistema en utilizar la
clave pblica o las claves criptogrficas asimtricas. En la actualidad, DH forma parte del estndar
IPsec. Adems, un protocolo denominado OAKLEY utiliza un algoritmo DH. OAKLEY es un
protocolo utilizado por el protocolo IKE, que forma parte del marco general denominado protocolo
de administracin de claves y de asociacin de seguridad de Internet.
Los algoritmos de cifrado, como DES, 3DES y AES, as como los algoritmos de hash MD5 y SHA-
1, requieren una clave secreta compartida simtrica para realizar el cifrado y el descifrado. Cmo
obtienen la clave secreta compartida los dispositivos de cifrado y descifrado? El mtodo ms
sencillo de intercambio de claves es un mtodo de intercambio de clave pblica entre dispositivos
de cifrado y descifrado.
El algoritmo DH especifica un mtodo de intercambio de clave pblica que proporciona una manera
para que dos peers establezcan una clave secreta compartida que solo ellos conozcan, aunque se
comuniquen a travs de un canal inseguro. Como todos los algoritmos criptogrficos, el
intercambio de claves DH se basa en una secuencia matemtica de pasos.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.3.2.4 Integridad con los algoritmos de hash
Los algoritmos de hash manejan la integridad y la autenticacin del trfico VPN. Los hashes
proporcionan integridad y autenticacin de datos al asegurar que las personas no autorizadas no
alteren los mensajes transmitidos. Un hash, tambin denominado sntesis del mensaje, es un
nmero que se genera a partir de una cadena de texto. El hash es ms corto que el texto en s. Se
genera mediante el uso de una frmula, de tal manera que es muy poco probable que otro texto
produzca el mismo valor de hash.
El emisor original genera un hash del mensaje y lo enva con el mensaje propiamente dicho. El
destinatario analiza el mensaje y el hash, produce otro hash a partir del mensaje recibido y
compara ambos hashes. Si son iguales, el destinatario puede estar lo suficientemente seguro de la
integridad del mensaje original.
En la ilustracin, Gail le envi a Alex un EFT de USD 100. Jeremas intercept y alter este EFT
para mostrarse como el destinatario y que la cantidad sea USD 1000. En este caso, si se utilizara
un algoritmo de integridad de datos, los hashes no coincidiran, y la transaccin no sera vlida.
Los datos VPN se transportan por Internet pblica. Como se muestra, existe la posibilidad de que
se intercepten y se modifiquen estos datos. Para protegerlos contra esta amenaza, los hosts
pueden agregar un hash al mensaje. Si el hash transmitido coincide con el hash recibido, se
preserv la integridad del mensaje. Sin embargo, si no hay una coincidencia, el mensaje se alter.
MD5: utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la
clave secreta compartida de 128 bits se combinan y se procesan con el algoritmo de hash
HMAC-MD5. El resultado es un hash de 128 bit. El hash se adjunta al mensaje original y se
enva al extremo remoto.
SHA: SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la
clave secreta compartida de 160 bits se combinan y se procesan con el algoritmo de hash
HMAC-SHA1. El resultado es un hash de 160 bits. El hash se adjunta al mensaje original y se
enva al extremo remoto.
Nota: el IOS de Cisco tambin admite implementaciones de SHA de 256 bits, 384 bits y 512 bits.
Las VPN con IPsec admiten la autenticacin. Al realizar negocios a larga distancia, es necesario
saber quin est del otro lado del telfono, del correo electrnico o del fax. Lo mismo sucede con
las redes VPN. El dispositivo en el otro extremo del tnel VPN se debe autenticar para que la ruta
de comunicacin se considere segura, como se indica en la ilustracin. Existen dos mtodos de
autenticacin de peers:
PSK: es una clave secreta que se comparte entre las dos partes que utilizan un canal
seguro antes de que se necesite utilizarla. Las claves previamente compartidas (PSK) utilizan
algoritmos criptogrficos de clave simtrica. Se introduce una PSK en cada peer de forma
manual y se la utiliza para autenticar el peer. En cada extremo, la PSK se combina con otra
informacin para formar la clave de autenticacin.
Firmas RSA: se intercambian certificados digitales para autenticar los peers. El dispositivo
local deriva un hash y lo cifra con su clave privada. El hash cifrado, o la firma digital, se
vincula al mensaje y se reenva hacia el extremo remoto. En el extremo remoto, se descifra el
hash cifrado con la clave pblica del extremo local. Si el hash descifrado coincide con el hash
recalculado, la firma es genuina.
IPsec utiliza RSA (sistema criptogrfico de claves pblicas) para la autenticacin en el contexto de
IKE. El mtodo de firmas RSA utiliza una configuracin de firma digital en la que cada dispositivo
firma un conjunto de datos de forma digital y lo enva a la otra parte. Las firmas RSA usan una
entidad de certificacin (CA) para generar un certificado digital de identidad exclusiva que se
asigna a cada peer para la autenticacin. El certificado digital de identidad tiene una funcin similar
a la de una PSK, pero proporciona una seguridad mucho ms slida. Las personas que originan
una sesin IKE y que responden a ella con firmas RSA envan su propio valor de ID, su certificado
digital de identidad y un valor de firma RSA que consta de una serie de valores IKE, cifrados con el
mtodo de cifrado IKE negociado (como AES).
Como se mencion anteriormente, el marco del protocolo IPSec describe la mensajera para
proteger las comunicaciones, pero depende de los algoritmos existentes.
Grupo de algoritmos DH: representa la forma en que se establece una clave secreta
compartida entre los peers. Existen varias opciones, pero DH24 proporciona la mayor
seguridad.
Nota: en esta seccin, se present IPsec para proporcionar una comprensin de cmo IPsec
protege los tneles VPN. La configuracin de VPN con IPsec excede el mbito de este curso.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.3.2.7 Actividad: Identificar la terminologa y
Usted es el administrador de red de una empresa que desea configurar un tnel GRE por IPsec a
una oficina remota. Todas las redes estn configuradas localmente y solo necesitan que se
configure el tnel y el cifrado.
Las VPN se convirtieron en la solucin lgica para la conectividad de acceso remoto por muchos
motivos. Las VPN proporcionan comunicaciones seguras con derechos de acceso hechos a la
medida de los usuarios individuales, como empleados, contratistas y socios. Tambin aumentan la
productividad mediante la extensin de la red y las aplicaciones empresariales de forma segura, a
la vez que reducen los costos de comunicacin y aumentan la flexibilidad.
Bsicamente, con la tecnologa VPN, los empleados pueden llevar la oficina con ellos, incluido el
acceso al correo electrnico y las aplicaciones de red. Las VPN tambin permiten que los
contratistas y socios tengan acceso limitado a los servidores, a las pginas web o a los archivos
especficos requeridos. Este acceso de red les permite contribuir a la productividad de la empresa
sin comprometer la seguridad de la red.
Seguridad IP (IPsec)
El tipo de mtodo VPN implementado se basa en los requisitos de acceso de los usuarios y en los
procesos de TI de la organizacin.
Tanto la tecnologa de VPN con SSL como la de VPN con IPsec ofrecen acceso a prcticamente
cualquier aplicacin o recurso de red. Las VPN con SSL ofrecen caractersticas como una fcil
conectividad desde las computadoras de escritorio que no administra la empresa, un escaso o nulo
mantenimiento del software de escritorio y portales web personalizados por el usuario al iniciar
sesin.
VPN con SSL del IOS de Cisco es la primera solucin de VPN con SSL basada en routers del
sector. Ofrece conectividad desde cualquier ubicacin, no solo desde los recursos administrados
por las empresas, sino tambin desde las computadoras de los empleados, las computadoras de
escritorio de los contratistas o de los socios de negocios, y los quioscos de Internet.
El protocolo SSL admite diversos algoritmos criptogrficos para las operaciones, como la
autenticacin del servidor y el cliente entre s, la transmisin de certificados y el establecimiento de
claves de sesin. Las soluciones de VPN con SSL de Cisco se pueden personalizar para empresas
de cualquier tamao. Estas soluciones ofrecen muchas caractersticas y ventajas de conectividad
de acceso remoto, incluido lo siguiente:
Acceso total a la red, sin clientes y basado en Web, sin software de escritorio instalado
previamente. Esto facilita el acceso remoto personalizado segn los requisitos de usuario y de
seguridad, y minimiza los costos de soporte de escritorio.
Proteccin contra virus, gusanos, spyware y piratas informticos en una conexin VPN
mediante la integracin de la seguridad de la red y de las terminales en la plataforma VPN
con SSL de Cisco. Esto reduce los costos y la complejidad de la administracin, ya que
elimina la necesidad de contar con equipos de seguridad e infraestructura de administracin
adicionales.
Uso de un nico dispositivo tanto para VPN con SSL como para VPN con IPsec. Esto
reduce los costos y la complejidad de la administracin, ya que facilita servicios VPN slidos
de acceso remoto y de sitio a sitio desde una nica plataforma con administracin unificada.
VPN con SSL del IOS de Cisco es una tecnologa que proporciona acceso remoto mediante un
navegador web y el cifrado SSL nativo del navegador web. Alternativamente, puede proporcionar
acceso remoto mediante el software Cisco AnyConnect Secure Mobility Client.
Cisco ASA proporciona dos modos principales de implementacin que se encuentran en las
soluciones de VPN con SSL de Cisco, como se muestra en la ilustracin:
Cisco AnyConnect Secure Mobility Client con SSL: requiere el cliente Cisco
AnyConnect.
Cisco ASA se debe configurar para admitir la conexin VPN con SSL.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.4.1.3 Soluciones VPN con SSL de Cisco
Cisco AnyConnect Secure Mobility Client con SSL
Las VPN con SSL basadas en el cliente proporcionan acceso total de red del estilo de LAN para los
usuarios autenticados. Sin embargo, los dispositivos remotos requieren la instalacin de una
aplicacin cliente, como el cliente Cisco VPN o el ms reciente AnyConnect, en el dispositivo para
usuarios finales.
En un Cisco ASA bsico configurado para el tunneling completo y una solucin de VPN con SSL de
acceso remoto, los usuarios remotos utilizan Cisco AnyConnect Secure Mobility Client, que se
muestra en la figura 1, para establecer un tnel SSL con Cisco ASA. Despus de que Cisco ASA
establece la VPN con el usuario remoto, este usuario puede reenviar trfico IP por el tnel SSL.
Cisco AnyConnect Secure Mobility Client crea una interfaz de red virtual para proporcionar esta
funcionalidad. El cliente puede utilizar cualquier aplicacin para acceder a cualquier recurso, sujeto
a las reglas de acceso, detrs del gateway VPN de Cisco ASA.
El modelo de implementacin de VPN con SSL sin clientes permite que las empresas proporcionen
acceso a los recursos corporativos incluso cuando la empresa no administra el dispositivo remoto.
En este modelo de implementacin, Cisco ASA se usa como dispositivo proxy de los recursos en
red. Proporciona una interfaz de portal web para que los dispositivos remotos naveguen la red
mediante capacidades de reenvo de puertos.
En una solucin de VPN con SSL bsica sin clientes de Cisco ASA, los usuarios remotos utilizan
un navegador web estndar para establecer una sesin SSL con Cisco ASA, como se muestra en
la figura 2. Cisco ASA presenta al usuario un portal web por el que puede acceder a los recursos
internos. En la solucin bsica sin clientes, el usuario puede acceder solo a algunos servicios,
como las aplicaciones web internas y los recursos de intercambio de archivos basados en el
explorador, como se muestra en la figura 3.
Muchas aplicaciones requieren la seguridad de una conexin VPN de acceso remoto con IPsec
para autenticar y cifrar datos. Cuando se implementan VPN para trabajadores a distancia y
sucursales pequeas, la facilidad de implementacin es fundamental si los recursos tcnicos no
estn disponibles para la configuracin de VPN en un router del sitio remoto.
La caracterstica de la solucin Cisco Easy VPN ofrece flexibilidad, escalabilidad y facilidad de uso
para las VPN con IPsec de sitio a sitio y de acceso remoto. La solucin Cisco Easy VPN consta de
tres componentes:
Cisco Easy VPN Server: es un router con IOS de Cisco o un firewall Cisco ASA que
funciona como terminal de cabecera de la VPN en las VPN de sitio a sitio o de acceso
remoto.
Cisco Easy VPN Remote: es un router con IOS de Cisco o un firewall Cisco ASA que
funciona como cliente VPN remoto.
Cisco VPN Client: una aplicacin compatible en una computadora que se utiliza para
acceder a un servidor Cisco VPN.
El uso de Cisco Easy VPN Server permite que los trabajadores mviles y a distancia que utilizan un
cliente VPN en sus computadoras o que utilizan Cisco Easy VPN Remote en un router perimetral
puedan crear tneles IPsec seguros para acceder a la intranet de la oficina central, como se
muestra en la ilustracin.
Captulo 7: Seguridad de la conectividad Site-to-Site 7.4.2.2 Cisco Easy VPN Server e Easy VPN
Remote
Cisco Easy VPN Server
Cisco Easy VPN Server permite que los trabajadores mviles y a distancia que utilizan un software
de cliente VPN en sus computadoras puedan crear tneles IPsec seguros para acceder a la
intranet de la oficina central donde se ubican datos y aplicaciones fundamentales. Permite que los
routers con IOS de Cisco y los firewalls Cisco ASA funcionen como terminales de cabecera de las
VPN de sitio a sitio o de acceso remoto. Los dispositivos de oficina remota utilizan la caracterstica
Cisco Easy VPN Remote o la aplicacin Cisco VPN Client para conectarse al servidor, que
despus inserta las polticas de seguridad definidas en el dispositivo VPN remoto. Esto asegura
que esas conexiones cuenten con las polticas actualizadas antes de que se establezca la
conexin.
Cisco Easy VPN Remote permite que los clientes de software o los routers con IOS de Cisco
funcionen como clientes VPN remotos. Estos dispositivos pueden recibir las polticas de seguridad
de Cisco Easy VPN Server, lo que minimiza los requisitos de configuracin de VPN en la ubicacin
remota. Esta solucin rentable es ideal para oficinas remotas con poco soporte de TI o para
implementaciones de equipo local del cliente (CPE) a gran escala donde es poco prctico
configurar varios dispositivos remotos de forma individual.
En la ilustracin, se muestran tres dispositivos de red con Easy VPN Remote habilitado, todos
conectados a Easy VPN Server para obtener los parmetros de configuracin.
La herramienta Cisco VPN Client es fcil de implementar y de utilizar. Permite que las
organizaciones establezcan tneles VPN de extremo a extremo cifrados para proporcionar una
conectividad segura a los empleados mviles o los trabajadores a distancia.
Para iniciar una conexin IPsec mediante Cisco VPN Client, todo lo que debe hacer el usuario es
abrir la ventana de Cisco VPN Client, la cual se muestra en la figura 1. La aplicacin Cisco VPN
Client indica los sitios disponibles configurados previamente. El usuario hace doble clic en un sitio
para seleccionarlo, y el cliente VPN inicia la conexin IPsec. En el cuadro de dilogo de
autenticacin del usuario, se autentica al usuario con un nombre de usuario y una contrasea,
como se muestra en la figura 2. Despus de la autenticacin, Cisco VPN Client muestra el estado
conectado.
La mayora de los parmetros de VPN se definen en Easy VPN Server del IOS de Cisco para
simplificar la implementacin. Despus de que un cliente remoto inicia una conexin de tnel VPN,
Cisco Easy VPN Server inserta las polticas de IPSec en el cliente, lo que minimiza los requisitos
de configuracin en la ubicacin remota.
Esta solucin simple y altamente escalable es ideal para implementaciones de acceso remoto a
gran escala donde es poco prctico configurar las polticas para varias computadoras remotas de
forma individual. Adems, esta arquitectura asegura que esas conexiones cuenten con las polticas
de seguridad actualizadas y elimina los costos operativos asociados al mantenimiento de un
mtodo coherente de administracin de polticas y claves.
Nota: la configuracin de Cisco VPN Client excede el mbito de este curso. Visite el sitio
www.cisco.com para obtener ms informacin.
Tanto la tecnologa de VPN con SSL como la de IPsec ofrecen acceso a prcticamente cualquier
aplicacin o recurso de red, como se muestra en la ilustracin. Las VPN con SSL ofrecen
caractersticas como una fcil conectividad desde las computadoras de escritorio que no administra
la empresa, un escaso o nulo mantenimiento del software de escritorio y portales web
personalizados por el usuario al iniciar sesin.
La solidez de la autenticacin
La seguridad general
de acceso remoto
Captulo 7: Seguridad de la conectividad Site-to-Site 7.5.1.1 Actividad de clase: Diseo de la
planificacin de VPN
Diseo de planificacin VPN
Su pequea o mediana empresa recibi algunos contratos nuevos recientemente. Esto aument la
necesidad de contratar trabajadores a distancia y servicios externos para la carga de trabajo. Los
proveedores y clientes de los nuevos contratos tambin necesitan acceso a la red a medida que
progresan los proyectos.
Como administrador de red de la empresa, usted reconoce que se deben incorporar VPN como
parte de la estrategia de red para admitir un acceso seguro para los trabajadores a distancia, los
empleados y los proveedores o clientes.
A fin de preparar la implementacin de las VPN en la red, elabora una lista de comprobacin de
planificacin para presentarla en la siguiente reunin del departamento.
Esta actividad le permite poner en prctica una variedad de habilidades, incluida la configuracin
de Frame Relay, PPP con CHAP, NAT con sobrecarga (PAT) y tneles GRE. Los routers estn
parcialmente configurados.
Una VPN de acceso remoto requiere que se instale un software en el dispositivo host individual que
accede a la red desde una ubicacin remota. Los dos tipos de VPN de acceso remoto son SSL e
IPsec. La tecnologa SSL puede proporcionar acceso remoto mediante el navegador web de un
cliente y el cifrado SSL nativo del navegador. Mediante el uso del software Cisco AnyConnect en el
cliente, los usuarios pueden obtener acceso total de red del estilo de LAN con SSL.
GRE es un protocolo de tunneling de VPN de sitio a sitio bsico no seguro que puede encapsular
una amplia variedad de tipos de paquete de protocolo dentro de tneles IP, lo que permite que una
organizacin entregue otros protocolos mediante una WAN basada en IP. En la actualidad, se
utiliza principalmente para entregar trfico de multidifusin IP o IPv6 a travs de una conexin IPv4
de solo unidifusin.
IPsec, un estndar IETF, es un tnel seguro que funciona en la capa 3 del modelo OSI que puede
proteger y autenticar paquetes IP entre peers IPsec. Puede proporcionar confidencialidad mediante
el cifrado, la integridad de datos, la autenticacin y la proteccin antirreproduccin. La integridad de
datos se proporciona mediante un algoritmo de hash, como MD5 o SHA. El mtodo de
autenticacin de peers PSK o RSA proporciona la autenticacin.
El nivel de confidencialidad que proporciona el cifrado depende del algoritmo utilizado y la longitud
de la clave. El cifrado puede ser simtrico o asimtrico. DH es un mtodo que se utiliza para
intercambiar de forma segura las claves para cifrar datos.