Gestin de Redes de Datos

Ing. Lina Mckoll Hernndez

Ing. John Anderson Castrilln


VPN
Red Privada Virtual

Gestin de Redes de Datos
Problema

Hoy en da, muchas empresas estn distribuidas en varias
sucursales a lo largo y ancho de los pases, apareciendo la
necesidad de unirlas de forma rpida y segura sin importar la
distancia geogrfica que las separe, esta necesidad tena una
costosa solucin: lneas dedicadas alquiladas por el ISP.

Gestin de Redes de Datos
Solucin
Actualmente las organizaciones utilizan redes privadas
virtuales (VPNs) para crear una conexin de red privada de
extremo a extremo (tnel) sobre redes de terceros, tales como
Internet o extranets.

El tnel elimina la barrera de la distancia y permite que los
usuarios remotos tengan acceso a recursos de la red central.
Gestin de Redes de Datos
Beneficios, las VPN:
MENOR COSTO: permiten usar el Internet eliminando los
costosos enlaces WAN dedicados.
SEGURIDAD: proveen el ms alto nivel de seguridad utilizando
protocolos avanzados de cifrado y autenticacin, los cuales
protegen los datos del acceso no autorizado.
ESCALABILIDAD: permiten usar la infraestructura de Internet,
facilitando la incorporacin de nuevos usuarios, sin incorporar
infraestructura propia significativa.
COMPATIBILIDAD BANDA ANCHA: permiten que los
trabajadores mviles o remotos accedan rentablemente a la red
corporativa aprovechando la conexin de banda ancha.
Gestin de Redes de Datos
Definicin de VPN
Una VPN es un entorno de comunicaciones en el que el acceso est estrictamente
controlado para permitir conexiones entre pares dentro de una comunidad de
inters definida.







Es por tanto una red privada que utiliza una red publica (Internet) para conectar
sedes o usuarios entre si, brindando niveles de privacidad, seguridad, QoS, y
administracin en forma similar a las redes construidas sobre instalaciones
dedicadas, arrendadas o que son propiedad privada.

Gestin de Redes de Datos
Soluciones VPN
Routers y switches con capacidad para VPN
Dispositivos ASA 5500 (Adaptive Security Appliances)
Routers SOHO (Small Office, Home Office)



Gestin de Redes de Datos
Topologas VPN
Sitio a sitio
Las VPN de sitio a sitio son una extensin de una red WAN clsica y conectan
redes completas entre s. En este caso los dispositivos de conexin en ambos
extremos de la conexin VPN conocen la configuracin VPN de antemano y la
VPN permanece esttica.








Por ejemplo, las VPN de sitio a sitio pueden conectar redes de sucursales a la
red de la oficina central de la compaa.




Gestin de Redes de Datos
Topologas VPN
Sitio a sitio
En el pasado, era necesaria una lnea arrendada o una conexin
Frame Relay para comunicar estos sitios, pero debido a que la
mayora de las corporaciones ahora disponen de acceso a
internet, estas conexiones pueden reemplazarse con VPNs de
sitio a sitio.

Gestin de Redes de Datos
Topologas VPN
Acceso Remoto
Las VPNs de acceso remoto soportan una arquitectura cliente - servidor,
donde un cliente VPN (el host remoto) requiere un acceso seguro a la red de
la empresa mediante un servidor VPN instalado en el lmite de la red.












Gestin de Redes de Datos
Topologas VPN
Acceso Remoto
Las VPNs de acceso remoto pueden cubrir las necesidades de
trfico de los trabajadores a distancia, los usuarios mviles y los
clientes de una empresa.

Ejemplo: Trabajador a
distancia que necesita
acceder a datos
corporativos a travs de
Internet y cuya IP cambia
dependiendo de la
ubicacin

Gestin de Redes de Datos
Topologas VPN
Acceso Remoto VPN CISCO

Las VPNs de acceso remoto de Cisco pueden utilizar cuatro
clientes IPsec:
Cliente Certicom - Un cliente inalmbrico, que se ejecuta en un
asistente personal inalmbrico (PDA) que utiliza los sistemas
operativos Palm o Microsoft WindowsMobile.

Cisco VPN Client - Instalado en la PC o laptop de un individuo,
permite a las organizaciones establecer tneles VPN punto a
punto cifrados, para lograr una conectividad segura de los
empleados mviles o trabajadores a distancia.
Gestin de Redes de Datos
Topologas VPN
Acceso Remoto VPN CISCO

Cisco Remote Router VPN Client - Se trata de un router remoto
Cisco, configurado como cliente VPN, el cual conecta una LAN de
una oficina pequea u hogarea (SOHO) a la VPN.

Cisco AnyConnect VPN Client - Cliente VPN que provee a los
usuarios remotos de conexiones VPN seguras a los dispositivos
Cisco ASA 5500 Series.
Gestin de Redes de Datos
Clientes VPN
Gestin de Redes de Datos

Tipos de conexiones VPN
De cliente a servidor ( Client to Server)











Un usuario remoto que solo necesita servicios o aplicaciones
que corren en el mismo servidor VPN.
Gestin de Redes de Datos
Tipos de conexiones VPN
De cliente a red interna (Client to LAN)

Un usuario remoto que utilizar servicios o aplicaciones que
se encuentran en uno o mas equipos dentro de la red interna.
Gestin de Redes de Datos
Tipos de conexiones VPN

De red interna a red interna(LAN to LAN )


Esta forma supone la posibilidad de unir dos intranets a travs
de dos enrutadores, el servidor VPN en una de las intranets y el
cliente VPN en la otra.
Gestin de Redes de Datos
Definicin Tunel
En lugar de utilizar conexiones fsicas dedicadas, una VPN utiliza
conexiones virtuales enrutadas a travs de Internet, desde la
organizacin hasta el sitio remoto. Estas conexiones virtuales son
llamadas tneles, y pueden realizarse tanto en capa 2 como capa 3
del modelo OSI.



Gestin de Redes de Datos
VPN
(Virtual Private Networks)
Podemos decir que los paquetes de datos de una red privada viajan
encapsulados por medio de un tnel definido en la red, sin embargo
la VPN no garantiza que la informacin se mantenga segura
mientras lo atraviesa.










Gestin de Redes de Datos
Seguridad en la VPN
Las primeras VPNs eran estrictamente tneles IP, los cuales no incluan
autenticacin o cifrado de los datos.
En la actualidad, una implementacin segura de VPN implica la confidencialidad
aportada por el cifrado del trfico. Este tipo de VPN es lo que generalmente se
equipara con el concepto de una red privada virtual.





Gestin de Redes de Datos
VPN no confidencial GRE
Generic Routing Encapsulation (GRE) es un protocolo de tunneling desarrollado
por Cisco que puede encapsular una amplia variedad de protocolos de capa de
red dentro de tneles IP. Soporta trfico no IP , y trfico multicast y broadcast.









Otros ejemplos de VPNs que no incluyen en forma automtica medidas de
seguridad son las redes Frame Relay, ATM PVCs, Conmutacin Multi-Protocolo
con Etiquetas (Multiprotocol Label Switching - MPLS).

Gestin de Redes de Datos
Ejemplo Configuracin Tunel GRE Cisco
Gestin de Redes de Datos
VPN confidencial IPsec
IPsec (Internet Protocol security) es un conjunto de protocolos cuya funcin es
asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y
cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos
para el establecimiento de claves de cifrado.







Es posible implementar VPNs de sitio a sitio seguras, entre un sitio central y uno
remoto, utilizando el protocolo Ipsec, el cual proporciona autenticacin,
integridad, control de acceso y confidencialidad. Solo acepta trfico unicast.
IPsec funciona en la capa de red, protegiendo y autenticando los paquetes IP
entre los dispositivos IPsec participantes (pares).



Gestin de Redes de Datos
Conceptos Previos
IKE, Internet Key Exchange es un protocolo que define el mtodo de
intercambio de claves sobre IP en una primera fase de negociacin segura. Est
formado por una cabecera de autenticacin, AH o Authentication Header, o una
cabecera de autenticacin ms encriptacin que se conoce como Encapsulating
Security Payload o ESP).

Es importante entender que IPSec ofrece dos modos de operacin segn utilice
AH o ESP para proteger los datos sobre IP. Se conocen como modo de
transporte (se emplea AH) o modo tnel (se utiliza ESP).

SA, o Security Asociations: Son conjuntos de parmetros que se utilizan para
definir los requerimientos de seguridad de una comunicacin en una direccin
particular (entrante o saliente). Una SA puede utilizar AH o ESP pero no ambas
Gestin de Redes de Datos
VPN confidencial
IPsec
IPsec est formado por cinco bloques:

1. Protocolo IPsec. Las opciones incluyen ESP o AH.
2. Tipo de confidencialidad, algoritmo de cifrado DES, 3DES,
AES o SEAL.
3. Integridad, utilizando algoritmos de hash MD5 o SHA.
4. Utiliza IKE (Internet Key Exchange) para Autenticacin:
mtodos posibles clave pre-compartida (PSK), firma digital
utilizando RSA, etc.
5. Grupo de algoritmos para intercambio seguro de clave DH.
DH Group 1 (DH1), DH Group 2 (DH2),
DH Group 5 (DH5) y DH Group 7
Gestin de Redes de Datos
VPN confidencial
IPsec
Gestin de Redes de Datos
Protocolos IPsec
Confidencialidad => Algoritmos de
cifrado
Mientras ms corta sea la clave del
algoritmo de cifrado, ms fcil es
romperla. Una clave de 64 bits puede
llevar aproximadamente un ao para
romperla con una computadora
relativamente sofisticada. Romper una
clave de 128 bits, con la misma
computadora, puede llevar unos
10^19 aos.
Gestin de Redes de Datos
Protocolos IPsec
Integridad => HASH
Hashed Message Authentication Codes (HMAC) es un algoritmo de integridad
de datos que garantiza la integridad del mensaje utilizando un valor de hash.

HMAC-Message Digest 5 (HMAC-MD5) - Se combina el mensaje de longitud
variable con la clave secreta compartida de 128 bits y se ejecuta el algoritmo
de hash HMAC- MD5. La salida es un hash de 128 bits.

HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1) - Se combina el mensaje de
longitud variable con la clave secreta compartida de 160 bits y se ejecuta el
algoritmo de hash HMAC-SHA-1. La salida es un hash de 160 bits.
Gestin de Redes de Datos
Protocolos IPsec
Gestin de Redes de Datos
Autenticacin: Cada par debe autenticar al par opuesto para
que el tnel pueda considerarse seguro. Existen dos mtodos
principales para configurarla entre los pares.

1. Claves pre-compartidas (Pre-shared Keys - PSKs)
Se ingresa una clave pre-compartida en cada uno de los pares
en forma manual para autenticar a cada par.
En cada extremo, la PSK se combina con otra informacin para
formar la clave de autenticacin, se intercambia el hash
resultante.
Las claves pre-compartidas son fciles de configurar en forma
manual haciendo que no sean muy escalables.
Protocolos IPsec
Gestin de Redes de Datos
Protocolos IPsec
Gestin de Redes de Datos
2. Firmas RSA - El intercambio de certificados digitales
autentica a los pares.

El dispositivo local calcula un hash y lo cifra con su clave
privada. El hash cifrado se agrega al mensaje, el cual es enviado
al extremo remoto y funciona como una firma.
En el extremo remoto, el hash cifrado es descifrado utilizando
la clave pblica del extremo local.
Si el hash descifrado coincide con el hash recalculado, la firma
es genuina.
Protocolos IPsec
Gestin de Redes de Datos
Protocolos IPsec
Gestin de Redes de Datos
Intercambio seguro de claves:
Cmo obtienen los dispositivos la clave secreta compartida para
los algoritmos de cifrado?

El mtodo ms fcil es el intercambio de claves pblicas entre los
dispositivos de cifrado y descifrado, como el intercambio de
Claves pblicas Diffie-Hellman (DH) que proporciona un
mtodo para establecer una clave pblica secreta entre dos
pares que slo ellos conocen, incluso cuando se comuniquen a
travs de un canal no seguro.
Protocolos IPsec
Gestin de Redes de Datos
Ipsec Vs. GREP
Gestin de Redes de Datos