2.5 Servicios de seguridad en redes (NAT, VPN, SSL, IPséc).

Redes privadas virtuales (VPN)

VPN (Virtual Private Network) es la interconexión de un conjunto de ordenadores haciendo uso de una
infraestructura pública, normalmente compartida, para simular una infraestructura dedicada o privada. Las
VPNs tienen la característica de utilizar direccionamiento no integrado en la red del ISP.

Utiliza encapsulado permitido en la red pública, transportando paquetes de la red privada. Para ello utilizan
el encapsulamiento IP-IP.
El direccionamiento es independiente del de la red pública.
• Solución muy útil actualmente para comunicar una empresa a través de Internet.
• A menudo conllevan un requerimiento de seguridad (encriptación con IPSec).
• Se basa en la creación de túneles. Los túneles pueden conectar usuarios u oficinas remotas.
Funcionamiento de un túnel VPN para usuario remoto
Túnel VPN para una oficina remota

IPSec Introducción

• Es una ampliación de IP, diseñada para funcionar de modo transparente en redes existentes

• Usa criptografía para ocultar datos

• Independiente del los algoritmos de cifrado

• Aplicable en IPv4 y obligatorio en IPv6

• Está formado por:

– Una Arquitectura (RFC 2401)

– Un conjunto de protocolos

– Una serie de mecanismos de autenticación y encriptado (DES, 3DES y mejor por hardware)

• Se especifica en los RFCs 1826, 1827, 2401, 2402, 2406 y 2408.

Principales funcionalidades de IPSec

• AH (Autentication Header, RFC 2402): garantiza que el datagrama fue enviado por el remitente y que
no ha sido alterado durante su viaje. P.ej utilizando algoritmo MAC

• ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser
examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la
función de AH de autentificación.

Ambos AH y ESP, definen una cabecera Ipsec incluida en el paquete a enviar.

ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo
seguro (manual y automático) de intercambio de claves utilizadas en las tareas de encriptado y autentificación
de AH y ESP. Incluye a IKE o Internet Key Exchange. Utiliza Diffie-Hellman
Modos de funcionamiento de IPSec

• Modo transporte: comunicación segura extremo a extremo. Requiere implementación de IPSec en

ambos hosts. No se cifra la cabecera IP.

• Modo túnel: comunicación segura entre routers únicamente, que ejecutan pasarelas de seguridad.
Permite incorporar IPSec sin tener que modificar los hosts. A los paquetes se añade otra cabecera.
Se integra cómodamente con VPNs.

IPsec modo transporte

Encapsulado de IPSec
Encriptación SSL

¿Qué es SSL?

SSL significa "Secure Sockets Layer". SSL Definición, Secure Sockets Layer es un protocolo diseñado para
permitir que las aplicaciones para transmitir información de ida y de manera segura hacia atrás. Las
aplicaciones que utilizan el protocolo Secure Sockets Layer sí saben cómo dar y recibir claves de cifrado con
otras aplicaciones, así como la manera de cifrar y descifrar los datos enviados entre los dos.

¿Cómo funciona el SSL? Algunas aplicaciones que están configurados para ejecutarse SSL incluyen
navegadores web como Internet Explorer y Firefox, los programas de correo como Outlook, Mozilla
Thunderbird, Mail.app de Apple, y SFTP (Secure File Transfer Protocol) programas, etc Estos programas
son capaces de recibir de forma automática SSL conexiones.

Para establecer una conexión segura SSL, sin embargo, su aplicación debe tener una clave de cifrado que le
asigna una autoridad de certificación en la forma de un Certificado. Una vez que haya una única clave de su
cuenta, usted puede establecer una conexión segura utilizando el protocolo SSL.

SSL - Una breve historia

En los primeros días de la World Wide Web, claves de 40-bit de poco se usaron. Cada bit puede contener
un uno o un cero - lo que significaba que eran dos 40claves diferentes disponibles. Eso es un poco más de
un billón claves distintas.

Debido a la velocidad cada vez mayor de computadoras, se hizo evidente que una clave de 40 bits no era lo
suficientemente seguro. Posiblemente, con los procesadores de gama alta que vendría en el futuro, los piratas
informáticos podría llegar a probar todas las claves hasta encontrar el adecuado, lo que les permite descifrar y
robar información privada. Que tomaría algún tiempo, pero era posible.

Las claves se alargaron a 128 bits. Eso es 2 128 claves, códigos de cifrado o
340.282.366.920.938.463.463.374.607.431.768.211.456 único. (Eso es 340000000000000 billones de
billones, para aquellos de ustedes hacer el seguimiento en casa.) Se determinó que si las computadoras siguió
avanzando en la velocidad como lo han hecho en el pasado, estos códigos de 128 bits que permanecen
seguros durante por lo menos una década más, si no más. Certificados DigiCert no se detienen allí, sin
embargo. Los certificados SSL DigiCert también son compatibles con el nuevo estándar de RSA 2048-bit de
encriptación.

SSL y Consumidores
Navegadores automáticamente notificar a los usuarios cuando las conexiones son seguras. Su potencial de
clientes de comercio electrónico se utiliza para asegurar las compras, y no va a enviar su información privada
si se encuentran con Problemas de SSL.

Sin el cifrado SSL, la mayor parte de sus clientes simplemente comprar en otro lado. Usted no puede
ofrecer una autenticación segura a sus clientes sin una Certificado SSL.

Baratos los certificados SSL con seguridad alta

Bajo costo de certificación SSL es a menudo "Seguridad baja", con la validación de mínimos. Certificados de
alta DigiCert de Aseguramiento de ofrecer el mismo nivel de 2048 bit de encriptación SSL, como las Autoridades
de Certificación más caros, como Symantec o Thawte. ¿Por qué pagar más, cuando se pueden obtener los
certificados SSL con encriptación de 2048 bits de DigiCert por mucho menos?
 TRADUCCIÓN DE DIRECCIONES DE RED (NAT)

La traducción de direcciones de red o NAT (del inglés Network Address Translation) es un

mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan
mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas
en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de
protocolos que incluyen información de direcciones dentro de la conversación del protocolo.

El tipo más simple de NAT proporciona una traducción una-a-una de las direcciones IP. La RFC 2663
se refiere a este tipo de NAT como NAT Básico, también se le conoce como NAT una-a-una. En este
tipo de NAT únicamente, las direcciones IP, las sumas de comprobación (checksums) de la cabecera
IP, y las sumas de comprobación de nivel superior, que se incluyen en la dirección IP necesitan ser
cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la funcionalidad básica del
TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de traducción). Es
corriente ocultar un espacio completo de direcciones IP, normalmente son direcciones IP privadas,
detrás de una única dirección IP (o pequeño grupo de direcciones IP) en otro espacio de direcciones
(normalmente público).

NAT es como el recepcionista de una oficina grande. Imagine que le indica al recepcionista que
no le pase ninguna llamada a menos que se lo solicite. Más tarde, llama a un posible cliente y
le deja un mensaje para que le devuelva el llamado. A continuación, le informa al recepcionista
que está esperando una llamada de este cliente y le solicita que le pase la llamada a su
teléfono.

El cliente llama al número principal de la oficina, que es el único número que el cliente conoce.
Cuando el cliente informa al recepcionista a quién está buscando, el recepcionista se fija en
una tabla de búsqueda que indica cuál es el número de extensión de su oficina. El recepcionista
sabe que el usuario había solicitado esta llamada, de manera que la reenvía a su extensión.
Funcionamiento

El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultáneas con un dispositivo
remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica
la dirección origen y destino. Esta combinación de números define una única conexión.
La mayoría de los NAT asignan varias máquinas (hosts) privadas a una dirección IP expuesta
públicamente. En una configuración típica, una red local utiliza unas direcciones IP designadas
“privadas” para subredes (RFC 1918). Un ruteador en esta red tiene una dirección privada en este
espacio de direcciones. El ruteador también está conectado a Internet por medio de una dirección
pública asignada por un proveedor de servicios de Internet. Como el tráfico pasa desde la red local a
Internet, la dirección de origen en cada paquete se traduce sobre la marcha, de una dirección privada
a una dirección pública. El ruteador sigue la pista de los datos básicos de cada conexión activa (en
particular, la dirección de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos
de seguimiento de la conexión almacenados en la fase de salida para determinar la dirección privada
de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una dirección IP de origen y una dirección IP de destino. En
general, los paquetes que pasan de la red privada a la red pública tendrán su dirección de origen
modificada, mientras que los paquetes que pasan a la red pública de regreso a la red privada tendrán
su dirección de destino modificada. Existen configuraciones más complejas.
Para evitar la ambigüedad en la forma de traducir los paquetes de vuelta, es obligatorio realizar otras
modificaciones. La mayor parte del tráfico generado en Internet son paquetes TCP y UDP, para estos
protocolos los números de puerto se cambian, así la combinación de la información de IP y puerto en el
paquete devuelto puede asignarse sin ambigüedad a la información de dirección privada y puerto
correspondiente. Los protocolos que no están basados en TCP y UDP requieren de otras técnicas de
traducción Los paquetes ICMP normalmente se refieren a una conexión existente y necesitan ser
asignado utilizando la misma información de IP. Para el ICMP al ser una conexión existente no se utiliza
ningún puerto.
Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método,
también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una
tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber dónde
deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe
en la tabla en un determinado puerto y dirección se puede acceder a un determinado dispositivo, como
por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que destacan:
Nat. Estática

Conocida también como NAT 1:1, es un tipo de NAT en el que una dirección IP privada se traduce a una
dirección IP pública, y donde esa dirección pública es siempre la misma. Esto le permite a un host, como
un servidor Web, el tener una dirección IP de red privada pero aun así ser visible en Internet.

Dinámica

Es un tipo de NAT en la que una dirección IP privada se mapea a una IP pública basándose en una tabla
de direcciones de IP registradas (públicas). Normalmente, el router NAT en una red mantendrá una tabla
de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegirá una
dirección IP de la tabla que no esté siendo usada por otra IP privada. Esto permite aumentar la seguridad
de una red dado que enmascara la configuración interna de una red privada, lo que dificulta a los hosts
externos de la red el poder ingresar a ésta. Para este método se requiere que todos los hosts de la red
privada que deseen conectarse a la red pública posean al menos una IP pública asociadas.

Sobrecarga

La más utilizada es la NAT de sobrecarga, conocida también como PAT (Port Address Translation -
Traducción de Direcciones por Puerto), NAPT (Network
Address Port Translation - Traducción de Direcciones de Red por Puerto), NAT de única
dirección o NAT multiplexado a nivel de puerto.

Solapamiento

Cuando las direcciones IP utilizadas en la red privada son direcciones IP públicas en uso en otra red,
el encaminador posee una tabla de traducciones en donde se especifica el reemplazo de éstas con una
única dirección IP pública. Así se evitan los conflictos de direcciones entre las distintas redes.
Tipos de NAT

Los dispositivos NAT no tienen un comportamiento uniforme y se ha tratado de clasificar su uso en

diferentes clases. Existen cuatro tipos de NAT:

NAT de cono completo (Full-Cone NAT). En este caso de comunicación completa, NAT mapeará
la dirección IP y puerto interno a una dirección y puerto público diferentes. Una vez establecido,
cualquier host externo puede comunicarse con el host de la red privada enviando los paquetes a
una dirección IP y puerto externo que haya sido mapeado. Esta implementación NAT es la menos
segura, puesto que una atacante puede adivinar qué puerto está abierto.
NAT de cono restringido (Restricted Cone NAT). En este caso de la conexión restringida, la IP y
puerto externos de NAT son abiertos cuando el host de la red privada quiere comunicarse con una
dirección IP específica fuera de su red. La NAT bloqueará todo tráfico que no venga de esa dirección
IP específica.
NAT de cono restringido de puertos (Port-Restricted Cone NAT). En una conexión restringida
por puerto NAT bloqueará todo el tráfico a menos que el host de la red privada haya enviado
previamente tráfico a una IP y puerto especifico, entonces solo en ese caso ésa IP:puerto tendrán
acceso a la red privada.
NAT Simétrica (Symmetric NAT). En este caso la traducción de dirección IP privada a dirección
IP pública depende de la dirección IP de destino donde se quiere enviar el tráfico. SQAL