Professional Documents
Culture Documents
Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
Tnel encriptado
Los clientes remotos de la VPN sern considerados igual que los clientes internos de la red
Tnel IP
Datos 192.168.100.1 192.168.101.1 Datos 192.168.100.1 192.168.101.1
192.168.100.0/24
192.168.101.0/24
10.10.10.1
10.10.10.2
Utilizando el campo de datos del paquete IP, se transmite un nuevo paquete IP, identificando origen y destino dentro de la VPN 192.168.100.1 192.168.101.1
Cabecera IP externa utilizada para encaminar el trfico entre los extremos de la VPN dentro de la red del operador 10.10.10.1 10.10.10.2
Solo los clientes autorizados y con los protocolos de encriptacin adecuados podrn conectarse mediante VPN
Los equipos Firewall son los que establecen el tnel entre ellos Oficina 1 Oficina 2
4.
Tipos de tneles
IPSec
Extensin segura del protocolo IP Muy potente pero de alta complejidad y costo computacional
Solucin ms simple ya que no altera la pila de protocolos, haciendo la implementacin independiente del ncleo del sistema operativo
IPSec
Conjunto de protocolos que permiten extender las funcionalidades de IP:
establecer claves de forma dinmica encriptar y autenticar cada unidad de datos
Dos modos:
modo de transporte
Solo el campo de datos se codifica Tpico en las comunicaciones host a host
modo tunel
Un paquete IP entero se encapsula en IPSec Ha de aadirse una nueva cabecera para que el routing siga funcionando Utilizado en comunicaciones sede a sede, host a sede y host a host
IPSec. Protocolos
ISKMP (Internet Security Association and Key Management Protocol)
Permite el establecimiento de SA (Security Agreement) entre los elementos participantes en la comunicacin Gestiona las claves de sesin de forma que estas se mantienen secretas Autentifica la fuente y verifica la integridad de los datos Protocolo IP 51 Verifica la integridad de los datos y garantiza el secreto de los mismos Protocolo IP 50
Cabecera IP
AH Header Permite verificar los campos no variables de la cabecera IP (la fuente) y la integridad de los datos
TCP/UDP Segment
Cabecera IP
ESP Header
TCP/UDP Segment
ESP Trailer
Encriptacin de datos
Clave pblica
Conocida por todo el mundo
Clave privada
Conocida solo por su propietario
Mensaje
Mensaje Encriptado
Mensaje
Algoritmo
Algoritmo
Solo el poseedor de la clave privada puede desencriptar los mensajes El resto tendran que implementar un ataque por fuerza bruta, que, con las capacidades de computo actuales y la seleccin correcta de las claves es inviable Permite la firma de mensajes garantizando su autenticidad
Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
Internet
192.168.101.0/24
IP Pblica del cliente
El cliente tiene que conocer el rango de direcciones remoto para poder decidir si meter el trfico por el tnel VPN o enviarlo directamente a Internet
Disponemos de, al menos, dos mecanismos de autentificacin: Autentificacin bsica basada en secreto compartido (clave alfanumrica) Autentificacin avanzada basada en certificados
Configuracin de VPNs
Activacin
Pestaa VPNs Seleccionar casilla Activo Pulsar en Guardar Zona comn
Incluye aplicacin para importar certificados creados desde un Linux Disponible desde:
http://sourceforge.net/projects/lsipsectool/
Red interna que estamos utilizando Direccin IP pblica del otro extremo del tnel IPSec Direccin IP remota para monitorizar el estado del tunel IPSec (pings peridicos)
Tipo de autentificacin
Clave precompartida
En el Linsys IPSec
Resolucin de problemas: 1. Botn de reinicio de VPN 2. Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart 3. Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!
El IPCop tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)
El cliente tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)
Certificado CA1
Grabar el certificado en algn lugar del disco local del cliente de VPN Importarlo desde Linsys IPSec:
Opciones IPSec certificados Certificados personales Seleccionar fichero
Con clave la que se indic en Fichero de contrasea en la interfaz del IPCop
Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio
192.168.100.0/24
IPCop1
IPCop2
192.168.101.0/24
Cada equipo debe saber las direcciones detrs del otro extremo del tnel para tomar decisiones de qu trfico enviar a Internet y qu trfico enviar por el Tunel VPN
Clave pre-compartida En caso de que en el primer intento no funcione: 1. 2. 3. Botn de reinicio de VPN Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!
IPCop1
IPCop2
Clave compartida
Certificado CA2
IPCop1
IPCop2
Descargar certificados a equipo local desde el navegador Debemos dar un nombre nico a estos ficheros para diferenciar los de los dos IPCops
Para IPCop1 hostcert-1.pem, cacert-1.pem Para IPCop2 hostcert-2.pem, cacert-2.pem
IPCop1
IPCop2
/var/ipcop/ca/cacert.pem /var/ipcop/ca/NombreCARemotacert.pem
Dentro de Autentificacin
Seleccionar Cargar un certificado
Cargar el certificado del otro extremo de la VPN En IPCop1 hostcert-2.pem En IPCop2 hostcert-1.pem IPCop1 IPCop2