Implementación de Redes Privadas Virtuales (VPN) utilizando el protocolo IPSec
-
Upload
herrod-garza -
Category
Documents
-
view
64 -
download
1
description
Transcript of Implementación de Redes Privadas Virtuales (VPN) utilizando el protocolo IPSec
Implementación de Redes Privadas Virtuales (VPN)
utilizando el protocolo IPSec
Vicente José Aguilar RosellóRicardo Domínguez JoverIgnacio Sánchez Medina
Definición de seguridad
“capacidad para impedir el fraude, mediante la protección de la disponibilidad, integridad y confidencialidad de la información”
Elementos donde ubicar servicios de seguridad
• Protección de los sistemas de transferencia o transporteEjemplos: establecimiento de un nivel de transporte seguro, de un servicio de mensajería con MTAs (Mail Transport Agents) seguras, o la instalación de un firewall
• Aplicaciones seguras extremo a extremoEjemplos: correo electrónico, videoconferencia, acceso a bases de datos
Áreas de un sistema de seguridad
• Seguridad física (pasiva y activa)• Seguridad en las comunicaciones
(autentificación, integridad y confidencialidad de los datos)
• Seguridad en el acceso al servicio (activa y pasiva)
• Seguridad en el acceso al servicio• Seguridad y protección de los datos• Seguridad en la prestación del servicio
Método de implantación de un plan de seguridad
• Comité de seguridad y gestión de red.• Evaluación de la red• Administración de la red y métodos de control de
acceso• Sistemas de control de acceso.• Análisis del tráfico de la red• Seguridad en las aplicaciones informáticas• Auditoría de seguridad y detección de intrusiones• Política de seguridad de red• Política de control de virus• Plan de contingencia y recuperación ante
catástrofes
Definición de VPN
• Una Red Privada Virtual es una red que ofrece una conectividad segura sobre una red pública.
• Como la infraestructura es compartida, se puede proporcionar la conectividad a menor coste que con redes privadas dedicadas
Beneficios de las VPN
• Ahorro de costes directos• Reducción del tiempo de aprendizaje• Reducción de equipos• Reducción de soporte técnico necesario• Aumento de flexibilidad• Escalabilidad: extiende la red WAN a más
usuarios remotos• Soporta más conexiones y ancho de banda• Basadas en rendimiento, fiabilidad de
conexión, cantidad de información y no en tiempo de conexión y en distancia
Escenarios típicos donde usar VPN
• Branch Offices o delegaciones.Empresas separadas geográficamente necesitan compartir datos de forma segura
• ExtranetsEmpresas diferentes necesitan hacer negocios de forma segura
• Usuarios móviles o road-warriorwsPersonas que necesitan acceder a la red de la empresa de forma segura desde cualquier parte
Tecnologías de las VPN (I)
• PPTP (Point-to-Point Tunneling Protocol)
• L2TP (Layer 2 Tunnelling Protocol)
• IPSec
Tecnologías de las VPN (II)PPTP (Point-to-Point Tunneling Protocol)
• Encapsulado de tramas PPP en datagramas IP, utilizando una versión extendida del GRE (Generic Routing Encapsulation, protocolo IP 47). La conexión de control se realiza sobre TCP, puerto 1723
• Aunque muy popular en el mundo Microsoft, está siendo sustituido por el L2TP
Tecnologías de las VPN (III)L2TP (Layer 2 Tunnelling Protocol)
• Encapsulado de tramas PPP sobre cualquier medio, no necesariamente redes IP. En el caso IP se usa UDP, puerto 1701
• Aporta grandes ventajas y es sencillo de configurar, aunque debido a su falta de seguridad e incompatibilidades está opción también será descartada
Tecnologías de las VPN (IV)IPSec
• IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6
• IPSec integra confidencialidad, integridad y autentificación en un mismo marco interoperante por lo que esta será la opción escogida para la implementación de las VPN
Niveles donde implementar la comunicación segura
• Enlace• Independiente del protocolo de red• Requiere control de la infraestructura de red y
consume muchos recursos
• Red• Independiente tanto del nivel de transporte como de
la infraestructura• Solo aplicable a IP (encapsulamiento de otros
protocolos)
• Aplicación• Máxima seguridad extremo a extremo y selectivo
(PGP, https, SSL, SNMP, etc.)• Ha de implementarse en cada host de la red
¿Qué es IPSec?
• IPSec = Internet Protocol Security• Proporciona autentificación y confidencialidad a
nivel IP
• Utiliza dos protocolos de seguridad• Authentication Header (AH) • Encapsulating Security Payload (ESP)
• Soporta conexiones entre hosts y gateways• Modo Transporte (sólo hosts)• Modo Túnel (hosts, gateways)
Modos de funcionamiento de IPSec
• Modo transporte• Comunicación segura extremo a extremo• Requiere implementación de IPSec en
ambos hosts
• Modo túnel• Comunicación segura entre gateways
(routers) únicamente• Permite incorporar IPSec sin tener que
modificar los hosts.• Se integra fácilmente con VPNs
AH
• Proporciona autentificación e integridad de los datos pero no proporciona encriptación.
• Se basa en MACs (Message Authentication Codes) utilizando algoritmos hash
Cabecera IPv4Authentication headerProtocolo superior (TCP, UDP, ...)
Siguiente cabeceraLongitud Reservado
Security Parameter Index (SPI)
Datos de Autentificación (Número variable de palabras de 32 bits)
Packet format (IPv4):
Authentication header
ESP
• Proporciona protección de los datos incluyendo encriptación
• Utiliza los algoritmos Blowfish, 3DES, DES, CAST128 para la encriptación
• Adicionalmente puede proporcionar los mismos servicios que AH
IP Header Other IP Headers ESP Header encrypted data
Security Association Identifier (SPI)
Opaque Transform Data, variable length
Packet format (IPv4):
ESP Header:
IKE
• Internet Key Exchange (IKE)• Protocolo híbrido (ISAKMP/Oakley) para negociar y
proporcionar material de autenticación de claves para IPSec.
• ISAKMP es un marco para la autentificación e intercambio de claves.
• Oakley describe una serie de intercambio de claves y los servicios que proporcionan (seguridad para las claves, protección de la identidad y autentificación).
• El propósito de IKE es crear SAs para IPSec de forma automática según esté definido en la política de seguridad.
X.509• X.509 es el estándar de clave pública:
• Cuando se genera un par de claves pública-privada la clave pública se envía en una Certification Request a un servidor CA para ser firmada y colocada dentro de un certificado X.509.
• Para verificar la validación de los certificados se utilizan listas de revocación y verificación de rutas• Las Certificate Revocation Lists (CRL) se pueden
almacenar en un fichero local o en el servidor.• La verificación de rutas sólo puede hacerse cuando la
cadena completa de certificación está accesible.• LDAP es el protocolo que se utiliza para los servidores CA.