You are on page 1of 30

Introduccin a los servicios de Red Privada Virtual

Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio

VPN (Red Privada Virtual)


Ofrecer un servicio que permita a los clientes, situados en puntos distantes de una red de comunicaciones, tener la impresin de compartir la misma red independientemente de su situacin
Autorizacin de acceso Proteccin de los datos
Infraestructura comn

Tnel encriptado

Los clientes remotos de la VPN sern considerados igual que los clientes internos de la red

Tnel IP
Datos 192.168.100.1 192.168.101.1 Datos 192.168.100.1 192.168.101.1

192.168.100.0/24

192.168.101.0/24

10.10.10.1

10.10.10.2

Utilizando el campo de datos del paquete IP, se transmite un nuevo paquete IP, identificando origen y destino dentro de la VPN 192.168.100.1 192.168.101.1

Cabecera IP externa utilizada para encaminar el trfico entre los extremos de la VPN dentro de la red del operador 10.10.10.1 10.10.10.2

Adems, los datos en el tnel de una VPN suele ir encriptados

VPN Host a Servidor (Host)


Dos equipos se conectan de forma remota estableciendo un tnel entre ellos
Son tiles cuando el usuario solo quiere acceder a recursos locales del otro extremo

Conexin punto a punto entre dos elementos

VPN Host a Sede


Un equipo remoto se conecta a la red de su empresa a travs de una red pblica de telecomunicaciones
Un extremo del tnel es, por ejemplo, el Firewall de entrada a la oficina El otro extremo es el PC del cliente
El usuario necesita saber de la presencia de la VPN

Solo los clientes autorizados y con los protocolos de encriptacin adecuados podrn conectarse mediante VPN

VPN Sede a Sede


Dos oficinas remotas se conectan directamente a travs de una infraestructura comn
Ahora, los dos extremos del tnel pueden ser, por ejemplo, los firewall de entrada a la red Para los clientes de la red es totalmente transparente
Ahora, los clientes ven sus respectivos Firewall como su router de salida IP.

Los equipos Firewall son los que establecen el tnel entre ellos Oficina 1 Oficina 2

Servidores de Mediacin (Hamachi LogMeIn)


1. 2. Los clientes seleccionan una clave pblica y una privada. Los clientes establecen una conexin con un servidor de mediacin, le comunican su clave pblica y se les asigna un IP virtual. 3. Los usuarios definen redes en las que pueden participar solo un grupo de usuarios. Los clientes establecen un tnel directo, que gracias a la ayuda del servidor de mediacin puede atravesar Firewalls, NAT/PAT,

4.

Tipos de tneles
IPSec
Extensin segura del protocolo IP Muy potente pero de alta complejidad y costo computacional

TLS/SSL (Transport Layer Security / Secure Socket Layer) VPN


Surge a partir de los protocolos seguros de navegacin web
Se basa en encapsular trfico sobre sesiones SSH

Solucin ms simple ya que no altera la pila de protocolos, haciendo la implementacin independiente del ncleo del sistema operativo

IPSec
Conjunto de protocolos que permiten extender las funcionalidades de IP:
establecer claves de forma dinmica encriptar y autenticar cada unidad de datos

Dos modos:
modo de transporte
Solo el campo de datos se codifica Tpico en las comunicaciones host a host

modo tunel
Un paquete IP entero se encapsula en IPSec Ha de aadirse una nueva cabecera para que el routing siga funcionando Utilizado en comunicaciones sede a sede, host a sede y host a host

IPSec. Protocolos
ISKMP (Internet Security Association and Key Management Protocol)
Permite el establecimiento de SA (Security Agreement) entre los elementos participantes en la comunicacin Gestiona las claves de sesin de forma que estas se mantienen secretas Autentifica la fuente y verifica la integridad de los datos Protocolo IP 51 Verifica la integridad de los datos y garantiza el secreto de los mismos Protocolo IP 50

IKE (Internet Key Exchange)


AH (Authetication Header) Protocol ESP (Encapsulation Header Protocol)

Cabecera IP

AH Header Permite verificar los campos no variables de la cabecera IP (la fuente) y la integridad de los datos

TCP/UDP Segment

Cabecera IP

ESP Header

TCP/UDP Segment

ESP Trailer

ESP Auth Permite autentificar todos los campos anteriores

Encriptacin de datos

Tipos de VPNs IPSec PSK o certificados


Las claves utilizadas en la encriptacin basada en certificados son ms largas 1024 bits y escogidas de forma que los protocolos se comporten de una forma especialmente robusta La clave precompartida (PSK) se elige de forma que sea fcilmente recordable
Demasiado corta? Ataques por diccionario?

El despliegue basado en PSK es ms sencillo


Los especialistas en seguridad recomiendan utilizar las VPNs basadas en PSK solo para comprobar que el despliegue es viable (encaminamiento, firewall,) y posteriormente migrar a certificados.

Criptografa de clave pblica y privada


Se basan en operaciones de aritmtica modular que son de clculo sencillo pero de muy difcil inversin

Clave pblica
Conocida por todo el mundo

Clave privada
Conocida solo por su propietario

Mensaje

Mensaje Encriptado

Mensaje

Algoritmo

Algoritmo
Solo el poseedor de la clave privada puede desencriptar los mensajes El resto tendran que implementar un ataque por fuerza bruta, que, con las capacidades de computo actuales y la seleccin correcta de las claves es inviable Permite la firma de mensajes garantizando su autenticidad

Despliegue de VPNs basadas en IPCop


Host a Sede

Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio

Elementos VPN Host a Sede

Internet

192.168.101.0/24
IP Pblica del cliente
El cliente tiene que conocer el rango de direcciones remoto para poder decidir si meter el trfico por el tnel VPN o enviarlo directamente a Internet

Tipo de autentificacin y encriptacin de datos

IP Pblica del Servidor de VPNs

Red privada detrs del servidor de VPNs

Disponemos de, al menos, dos mecanismos de autentificacin: Autentificacin bsica basada en secreto compartido (clave alfanumrica) Autentificacin avanzada basada en certificados

Configuracin de VPNs
Activacin
Pestaa VPNs Seleccionar casilla Activo Pulsar en Guardar Zona comn

VPNs definidas en el equipo

Configuracin de VPN cliente a sede basada en secreto compartido


Pulsar en botn Agregar Seleccionar el Tipo de VPN
Anfitrin-a-red = Host a Sede Remota Red a Red = Sede a Sede

Pulsar nuevamente Agregar

Configuracin de VPN basada en secreto compartido en la sede


Se basan en una clave alfanumrica compartida
Nombre descriptivo. Su nica utilidad es diferenciar las distintas VPNs en la interfaz grfica de IPCop

Direcciones IP internas que queramos que sean encaminables desde la IP remota

Limitar los host que se pueden conectar con esa VPN

Seleccionar este campo

Clave pre-compartida Clave pre-compartida

Configuracin de VPN en el cliente


El soporte para IPSec de Microsoft es complejo de gestionar y soporte con asistentes no incluye algunas funcionalidades del protocolo Recurriremos a clientes de terceros para conectarnos a la sede desde un cliente Windows
LinSys Ipsec Tool
Interfaz grfico y soporte para funcionalidades avanzadas de Ipsec
PFS (Perfect Forward Secrecy)

Incluye aplicacin para importar certificados creados desde un Linux Disponible desde:
http://sourceforge.net/projects/lsipsectool/

Shrew Soft VPN Access Manager


http://www.shrew.net/

Linsys IPSec Tool


Direccin IP pblica a utilizar en el extremo cliente del tnel IPSec

Red interna que estamos utilizando Direccin IP pblica del otro extremo del tnel IPSec Direccin IP remota para monitorizar el estado del tunel IPSec (pings peridicos)

Tipo de autentificacin

Red remota detrs del tnel IPSec. Necesario para encaminar

Clave precompartida

Monitorizacin y resolucin de problemas del tnel IPSec


Monitorizacin: En el IPCop entrando por ssh al puerto 222:
tail f /var/log/messages El intercambio de mensajes, en caso de finalizar correctamente el establecimiento, tiene que terminar en SA Established Botn derecho sobre el icono de la barra de tareas
Ver Log

En el Linsys IPSec

Resolucin de problemas: 1. Botn de reinicio de VPN 2. Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart 3. Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!

VPN Cliente a Sede basada en certificados


En el IPCop objetivo de las VPNs vamos a generar un certificado Raz y uno de Host
Desde la pantalla inicial de VPNs
Generar certificados Host/Raz
Crea dos ficheros hostcert.pem y cacert.pem

Se utilizarn en este caso para:


Autentificacin del IPCop contra los clientes Autenticidad de los certificados de Host y Clientes

El IPCop tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)

El cliente tiene que poder autentificar al cliente (conocer su clave pblica) y poder verificar su la autenticidad del certificado (conocer la clave pblica de la autoridad de certificacin)

Certificado IPCop1 emitido por CA1


(firmado digitalmente por CA1)

Certificado cliente emitido por CA1


(firmado digitalmente por CA1)

Certificado CA1

Configuracin de VPNs cliente a sede basadas en certificados


Ahora, la encriptacin y autentificacin se basar en certificados

Nombre del certificado de cliente y contrasea para importarlo

Exportar el certificado creado


Conectarse a la interfaz web Pulsar en el icono Descargar Certificado
Certificados PKCS12: Combinan el certificado de clave pblica, clave privada y la autoridad certificadora en un solo certificado
Simplifica el proceso de manipulacin de ficheros e intercambio de los mismo con los clientes
Solo es necesario manipular un fichero e interpretarlo

Grabar el certificado en algn lugar del disco local del cliente de VPN Importarlo desde Linsys IPSec:
Opciones IPSec certificados Certificados personales Seleccionar fichero
Con clave la que se indic en Fichero de contrasea en la interfaz del IPCop

Pulsar en la flecha para aceptar los cambios

Despliegue de VPNs basadas en IPCop


Sede a Sede

Manuel Vilas Paz Roberto Garca Fernndez Xabiel Garca Paeda David Melendi Palacio

Elementos de VPN sede a sede


Internet

192.168.100.0/24

IPCop1

IPCop2

192.168.101.0/24

Red privada detrs del servidor 1 de VPNs

IP Pblica del Servidor 1 de VPNs

Tipo de autentificacin y encriptacin de datos

IP Pblica del Servidor 2 de VPNs

Red privada detrs del servidor 2 de VPNs

Cada equipo debe saber las direcciones detrs del otro extremo del tnel para tomar decisiones de qu trfico enviar a Internet y qu trfico enviar por el Tunel VPN

Configuracin de VPNs Sede a Sede basadas en secreto compartido


Nombre (alfanumrico) IP del otro extremo de la VPN

Subred remota detrs del otro extremo. No se pueden solapar!!

Clave pre-compartida En caso de que en el primer intento no funcione: 1. 2. 3. Botn de reinicio de VPN Entrar en la lnea de comandos del equipo y reiniciar el servicio: /etc/rc.d/ipsec restart Si nada de lo anterior funciona REINICIAR EL EQUIPO!!!!

Configuracin de VPNs Sede a Sede basadas en secreto compartido

IPCop1

IPCop2

Red privada detrs del servidor 1

IP Pblica del Servidor 1

IP Pblica del Servidor 2

Red privada detrs del servidor 2

Clave compartida

Elementos de VPN Sede a Sede basada en certificados


Certificado CA1

Autoridad certificadora (CA)


Entidad confiable que garantiza la autenticidad de los certificados de emitidos

Certificado CA2

Red privada IPCop1

IPCop1

IPCop2

Red privada IPCop2

Certificado IPCop1 emitido por CA1


(firmado digitalmente por CA1) IPCop1, para garantizar la identidad de IPCop2 necesita disponer del certificado de IPCop2 y conocer el certificado de su autoridad certificadora. De esta manera puede comprobar la autenticidad del certificado.

Certificado IPCop2 emitido por CA2


(firmado digitalmente por CA2) IPCop2, para garantizar la identidad de IPCop1 necesita disponer del certificado de IPCop1 y conocer el certificado de su autoridad certificadora. De esta manera puede comprobar la autenticidad del certificado.

VPN Sede a Sede basada en certificados. Importar certificado CA remota


En cada IPCop vamos a generar un certificado Raz y uno de Host
Desde la pantalla inicial de VPNs
Generar certificados Host/Raz
Crea dos ficheros hostcert.pem y cacert.pem

Descargar certificados a equipo local desde el navegador Debemos dar un nombre nico a estos ficheros para diferenciar los de los dos IPCops
Para IPCop1 hostcert-1.pem, cacert-1.pem Para IPCop2 hostcert-2.pem, cacert-2.pem

Cargar en cada IPCop el certificado de la CA del otro


En Autoridades Certificadoras introducir el nombre del otro IPCop En IPCop1 cargar cacert-2.pem En IPCop2 cargar cacert-1.pem

IPCop1

IPCop2

/var/ipcop/ca/cacert.pem /var/ipcop/ca/NombreCARemotacert.pem

VPN Sede a Sede basada en certificados. Importar certificado IPCop remoto


Crear una VPN Net-to-Net
Dentro de Conexin
Agregar nueva VPN tipo Net-to-Net En Remote Host/IP introducir la IP pblica del otro IPCop En Remote Subnet introducir la red privada detrs del otro IPCop

Dentro de Autentificacin
Seleccionar Cargar un certificado
Cargar el certificado del otro extremo de la VPN En IPCop1 hostcert-2.pem En IPCop2 hostcert-1.pem IPCop1 IPCop2

Situacin de los certificados de host: /var/ipcop/certs/hostcert.pem /var/ipcop/certs/NombreVPNcert.pem

You might also like