Professional Documents
Culture Documents
Que es VPN?
Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet.
Tipos de VPN
Existen 2 tipos de VPN, las cuales vamos a recalcar en esta exposicin, estos tipos son: VPN de sitio a sitio
Una VPN de sitio a sitio es una extensin de una networking WAN clsica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa.
Componentes VPN
Los componentes necesarios para establecer esta VPN incluyen lo siguiente: Una red existente con servidores y estaciones de trabajo Una conexin a Internet Gateways VPN, como routers, firewalls, concentradores VPN y ASA, que actan como extremos para establecer, administrar y controlar las conexiones VPN Software adecuado para crear y administrar tneles VPN
La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsulacin y encriptacin. La mayora de las VPN puede hacer las dos cosas. La encapsulacin tambin se denomina tunneling, porque transmite datos de manera transparente de red a red a travs de una infraestructura de red compartida utilizando algoritmos asimtricos. La encriptacin codifica los datos en un formato diferente mediante una clave secreta. La decodificacin vuelve los datos encriptados al formato original sin encriptar. Se utilizan algoritmos simtricos para cifrar estos datos, y normalmente cuando se utiliza fibra oscura no se encriptan los datos puesto que es un canal dedicado que no sale a internet.
Componentes VPN
de paquetes de datos dentro del paquete de datos de algn protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo as a su estado original. En el traslado a travs de Internet, los paquetes viajan encriptados.
El tunneling encapsula un paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. En conclusin Tunneling consiste en encapsular un protocolo de red sobre otro protocolo.
Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de trfico en escenarios IP Mvil
Seguridad tunneling
. Esta figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.
Frame Relay: Tcnica de comunicacin mediante retransmisin de tramas para redes de circuito virtual, Consiste en una forma simplificada de tecnologa de conmutacin de paquetes que transmite una variedad de tamaos de tramas o marcos (frames) de datos, es perfecto para la transmisin de grandes cantidades de datos. La tcnica Frame Relay se utiliza para un servicio de transmisin de voz y datos a alta velocidad que permite la interconexin de redes de rea local separadas geogrficamente a un coste menor. En la actualidad es una tecnologa que est siendo desplazada por las VPNs ATM (Asynchronous Transfer Mode): Tecnologa de telecomunicacin desarrollada para hacer frente a la gran demanda de capacidad de transmisin para servicios y aplicaciones. MPLS (Multiprotocol Label Switching): Conmutacin Multiprotocolo mediante etiquetas, es un mecanismo de transporte de datos estndar. Fue diseado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de trfico, incluyendo trfico de voz y de paquetes IP
protocolo para el establecimiento de tneles a travs de Internet, pudiendo transportar hasta 20 protocolos de red distintos,
IPsec (Internet Protocol security): Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado HMAC (hash, message authentication code) - SHA-1 (Security Hash Algorithm) para proteccin de integridad, y Triple DES (Data Encription Standard) -CBC (Cipher-block chaining, modo de cifrado por bloques) y AES-CBC (Advanced Encryption Standard) para confidencialidad. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL (secure sockets layer-protocolo de capa de conexin segura), TLS(transport layer security) y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo.
El grado de seguridad que proporciona un algoritmo de encriptacin depende de la longitud de la clave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las posibilidades de descifrar texto cifrado es una funcin de la potencia de cmputo del equipo. Por lo tanto, cuanto ms corta sea la clave, ms fcil ser romperla; pero, a su vez, ms fcil pasar el mensaje.
Seguridad Encapsulacin
Algunos de los algoritmos de encriptacin ms comunes y la longitud de claves que se utilizan son los siguientes: Algoritmo Estndar de cifrado de datos (DES). Algoritmo Triple DES (3DES). Estndar de encriptacin avanzada (AES). Rivest, Shamir y Adleman (RSA).
Encriptacin VPN
Algoritmo Estndar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza una clave de 56 bits para garantizar una encriptacin de alto rendimiento. El DES es un sistema de encriptacin de clave simtrica. Las claves simtricas y asimtricas se explican ms adelante. Algoritmo Triple DES (3DES): una variante ms reciente del DES que realiza la encriptacin con una clave, descifra con otra clave y realiza la encriptacin por ltima vez con otra clave tambin diferente. 3DES le proporciona mucha ms fuerza al proceso de encriptacin, utiliza claves de 168 bits.
Estndar de encriptacin avanzada (AES): el Instituto Nacional de Normas y Tecnologa (NIST) adopt el AES para reemplazar la encriptacin DES en los dispositivos criptogrficos. AES proporciona ms seguridad que DES y es ms eficaz en cuanto a su clculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256 bits. Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave asimtrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o superior.
Encriptacin simtrica
Los algoritmos de encriptacin como DES y 3DES requieren que una clave secreta compartida realice la encriptacin y el descifrado. Los dos equipos deben conocer la clave para codificar y decodificar la informacin. Con la encriptacin de clave simtrica (clave secreta), cada equipo encripta la informacin antes de enviarla por la red al otro equipo. La encriptacin de clave simtrica requiere el conocimiento de los equipos que se comunicarn para poder configurar la misma clave en cada uno.
Encriptacin simtrica
Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra se sustituye con la letra que se encuentra dos posiciones adelante en el alfabeto; "A" se convierte en "C" y "B" se convierte en "D" y as sucesivamente. En este caso, la palabra SECRETO se convierte en UGETGVQ. El emisor le ha informado al receptor que la clave secreta es "saltear 2". Cuando el receptor recibe el mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las dos letras anteriores a las del mensaje y llega al cdigo SECRETO. Cualquier otra persona que vea el mensaje slo ver el mensaje cifrado, que parece una frase sin sentido a menos que la persona conozca la clave secreta.
Encriptacin asimtrica
La encriptacin asimtrica utiliza diferentes claves para la encriptacin y el descifrado. El conocimiento de una de las claves no es suficiente para que un pirata informtico deduzca la segunda clave y decodifique la informacin. Una clave realiza la encriptacin del mensaje y otra, el descifrado. No es posible realizar ambos con la misma clave.
Encriptacin asimtrica
Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan que personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin denominado message digest, es un nmero de longitud fija generado a partir de una cadena de texto. El hash es menor que el texto. Se genera mediante una frmula, de forma tal que es extremadamente improbable que otro texto produzca el mismo valor de hash. Actualmente se pone en duda su seguridad puesto que se ha demostrado que dos claves diferentes pueden generar el mismo hash, aunque esto es muy poco probable que ocurra. El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El receptor descifra el mensaje y el hash recibido. A continuacin produce otro hash a partir del mensaje recibido y compara los dos hashes el recibido con el que el mismo gener. Si ambos son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada.
Integridad Datos
Integridad Datos Hay dos algoritmos Hash comunes: Message Digest 5 (MD5): utiliza una clave
secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutan mediante el algoritmo de hash (Hash-based Message Authentication Code) HMAC-MD5. El resultado es un hash de 128 bits (32 Caracteres). El hash se agrega al mensaje original y se enva al extremo remoto.
Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits (40 Caracteres). El hash se agrega al mensaje original y se enva al extremo remoto.
Integridad Datos
Autenticacin VPN
Cuando se realizan negocios a larga distancia, es necesario saber quin est del otro lado del telfono, correo electrnico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del tnel de la VPN antes de que la ruta de comunicacin se considere segura. Hay dos mtodos pares de autenticacin:
Autenticacin VPN
Clave compartida previamente (PSK): una clave secreta compartida entre dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina con otra informacin para formar la clave de autenticacin.
Autenticacin VPN
Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma digital) se adjunta al mensaje y se enva al extremo remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave pblica del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es verdadera.
Autenticacin VPN
El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes. Encabezado de autenticacin (Authentication Header AH). Contenido de seguridad encapsulado (Encapsulated Security Payload ESP).
Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticacin mediante la encriptacin del paquete IP. La encriptacin del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticacin proporciona autenticacin del origen de datos e integridad de datos. Aunque tanto la encriptacin como la autenticacin son opcionales en ESP, debe seleccionar una como mnimo.
Estructura Ipsec
IPsec se basa en algoritmos existentes para implementar la encriptacin, la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar que utiliza IPsec son: DES: Encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptacin importante superior al DES de 56 bits. AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte segn la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits. SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits. DH (Diffie-Hellman); permite que dos partes establezcan una clave secreta compartida mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.
Estructura Ipsec
EjemplosCasos
EjemplosCasos
Ahorro Nos permite conectar redes fsicamente separadas sin necesidad de arrendar una red dedicada, esto quiere decir que se aprovecha la infraestructura ya desplegada de internet. Transparencia Interconectar distintas sedes es transparente para el usuario final, ya que la configuracin se puede hacer slo a nivel de pasarela. Seguridad Se pueden asegurar mltiples servicios a travs de un nico mecanismo. Movilidad Nos permite asegurar la conexin entre usuarios mviles y nuestra red fija. Simplicidad Este tipo de soluciones permite simplificar la administrador de la conexin de servidores y aplicaciones entre diferentes dominios.
Ancho de Banda La velocidad de conexin de la VPN depende de la velocidad de conexin a Internet o la red externa que se est utilizando. Intermitencia Si la infraestructura de la conexin de la red externa falla, se pierde la conectividad. Fiabilidad Internet no es 100% fiable, y fallos en la red pueden dejar incomunicados recursos de nuestras VPN. Confianza entre sedes Si la seguridad de un nodo o subred involucrada en la VPN se viese comprometida, eso afectara a la seguridad de todas los componente de la VPN. Interoperabilidad Dado a las distintas soluciones disponibles para implementar un VPN, nos podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN. Requiere Amplio Conocimiento en Redes: La tarea de aumentar la seguridad de una red al implementar soluciones VPN, requiere que el administrador o encargado de la red, posea un alto nivel de conocimientos sobre el tema. Su configuracin puede tornarse compleja.
Componentes de la oficina domstica: los componentes de la oficina domstica requeridos son una laptop o PC, acceso a banda ancha (cable o DSL) y un router VPN o software cliente de VPN instalado en la computadora. Algunos componentes adicionales podran incluir un punto de acceso inalmbrico. Durante los viajes, los trabajadores a distancia necesitan una conexin a Internet y un cliente VPN para conectarse a la red corporativa por medio de cualquier conexin de banda ancha, red o acceso telefnico disponible. Componentes corporativos: los componentes corporativos son Routers con capacidad de VPN, concentradores VPN, aplicaciones de seguridad de varias funciones, autenticacin y dispositivos de administracin central para la unificacin y la terminacin flexibles de las conexiones VPN.
REQUISITOS