Hoy en da, muchas empresas estn distribuidas en varias sucursales a lo largo y ancho de los pases, apareciendo la necesidad de unirlas de forma rpida y segura sin importar la distancia geogrfica que las separe, esta necesidad tena una costosa solucin: lneas dedicadas alquiladas por el ISP.
Gestin de Redes de Datos Solucin Actualmente las organizaciones utilizan redes privadas virtuales (VPNs) para crear una conexin de red privada de extremo a extremo (tnel) sobre redes de terceros, tales como Internet o extranets.
El tnel elimina la barrera de la distancia y permite que los usuarios remotos tengan acceso a recursos de la red central. Gestin de Redes de Datos Beneficios, las VPN: MENOR COSTO: permiten usar el Internet eliminando los costosos enlaces WAN dedicados. SEGURIDAD: proveen el ms alto nivel de seguridad utilizando protocolos avanzados de cifrado y autenticacin, los cuales protegen los datos del acceso no autorizado. ESCALABILIDAD: permiten usar la infraestructura de Internet, facilitando la incorporacin de nuevos usuarios, sin incorporar infraestructura propia significativa. COMPATIBILIDAD BANDA ANCHA: permiten que los trabajadores mviles o remotos accedan rentablemente a la red corporativa aprovechando la conexin de banda ancha. Gestin de Redes de Datos Definicin de VPN Una VPN es un entorno de comunicaciones en el que el acceso est estrictamente controlado para permitir conexiones entre pares dentro de una comunidad de inters definida.
Es por tanto una red privada que utiliza una red publica (Internet) para conectar sedes o usuarios entre si, brindando niveles de privacidad, seguridad, QoS, y administracin en forma similar a las redes construidas sobre instalaciones dedicadas, arrendadas o que son propiedad privada.
Gestin de Redes de Datos Soluciones VPN Routers y switches con capacidad para VPN Dispositivos ASA 5500 (Adaptive Security Appliances) Routers SOHO (Small Office, Home Office)
Gestin de Redes de Datos Topologas VPN Sitio a sitio Las VPN de sitio a sitio son una extensin de una red WAN clsica y conectan redes completas entre s. En este caso los dispositivos de conexin en ambos extremos de la conexin VPN conocen la configuracin VPN de antemano y la VPN permanece esttica.
Por ejemplo, las VPN de sitio a sitio pueden conectar redes de sucursales a la red de la oficina central de la compaa.
Gestin de Redes de Datos Topologas VPN Sitio a sitio En el pasado, era necesaria una lnea arrendada o una conexin Frame Relay para comunicar estos sitios, pero debido a que la mayora de las corporaciones ahora disponen de acceso a internet, estas conexiones pueden reemplazarse con VPNs de sitio a sitio.
Gestin de Redes de Datos Topologas VPN Acceso Remoto Las VPNs de acceso remoto soportan una arquitectura cliente - servidor, donde un cliente VPN (el host remoto) requiere un acceso seguro a la red de la empresa mediante un servidor VPN instalado en el lmite de la red.
Gestin de Redes de Datos Topologas VPN Acceso Remoto Las VPNs de acceso remoto pueden cubrir las necesidades de trfico de los trabajadores a distancia, los usuarios mviles y los clientes de una empresa.
Ejemplo: Trabajador a distancia que necesita acceder a datos corporativos a travs de Internet y cuya IP cambia dependiendo de la ubicacin
Gestin de Redes de Datos Topologas VPN Acceso Remoto VPN CISCO
Las VPNs de acceso remoto de Cisco pueden utilizar cuatro clientes IPsec: Cliente Certicom - Un cliente inalmbrico, que se ejecuta en un asistente personal inalmbrico (PDA) que utiliza los sistemas operativos Palm o Microsoft WindowsMobile.
Cisco VPN Client - Instalado en la PC o laptop de un individuo, permite a las organizaciones establecer tneles VPN punto a punto cifrados, para lograr una conectividad segura de los empleados mviles o trabajadores a distancia. Gestin de Redes de Datos Topologas VPN Acceso Remoto VPN CISCO
Cisco Remote Router VPN Client - Se trata de un router remoto Cisco, configurado como cliente VPN, el cual conecta una LAN de una oficina pequea u hogarea (SOHO) a la VPN.
Cisco AnyConnect VPN Client - Cliente VPN que provee a los usuarios remotos de conexiones VPN seguras a los dispositivos Cisco ASA 5500 Series. Gestin de Redes de Datos Clientes VPN Gestin de Redes de Datos
Tipos de conexiones VPN De cliente a servidor ( Client to Server)
Un usuario remoto que solo necesita servicios o aplicaciones que corren en el mismo servidor VPN. Gestin de Redes de Datos Tipos de conexiones VPN De cliente a red interna (Client to LAN)
Un usuario remoto que utilizar servicios o aplicaciones que se encuentran en uno o mas equipos dentro de la red interna. Gestin de Redes de Datos Tipos de conexiones VPN
De red interna a red interna(LAN to LAN )
Esta forma supone la posibilidad de unir dos intranets a travs de dos enrutadores, el servidor VPN en una de las intranets y el cliente VPN en la otra. Gestin de Redes de Datos Definicin Tunel En lugar de utilizar conexiones fsicas dedicadas, una VPN utiliza conexiones virtuales enrutadas a travs de Internet, desde la organizacin hasta el sitio remoto. Estas conexiones virtuales son llamadas tneles, y pueden realizarse tanto en capa 2 como capa 3 del modelo OSI.
Gestin de Redes de Datos VPN (Virtual Private Networks) Podemos decir que los paquetes de datos de una red privada viajan encapsulados por medio de un tnel definido en la red, sin embargo la VPN no garantiza que la informacin se mantenga segura mientras lo atraviesa.
Gestin de Redes de Datos Seguridad en la VPN Las primeras VPNs eran estrictamente tneles IP, los cuales no incluan autenticacin o cifrado de los datos. En la actualidad, una implementacin segura de VPN implica la confidencialidad aportada por el cifrado del trfico. Este tipo de VPN es lo que generalmente se equipara con el concepto de una red privada virtual.
Gestin de Redes de Datos VPN no confidencial GRE Generic Routing Encapsulation (GRE) es un protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de protocolos de capa de red dentro de tneles IP. Soporta trfico no IP , y trfico multicast y broadcast.
Otros ejemplos de VPNs que no incluyen en forma automtica medidas de seguridad son las redes Frame Relay, ATM PVCs, Conmutacin Multi-Protocolo con Etiquetas (Multiprotocol Label Switching - MPLS).
Gestin de Redes de Datos Ejemplo Configuracin Tunel GRE Cisco Gestin de Redes de Datos VPN confidencial IPsec IPsec (Internet Protocol security) es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado.
Es posible implementar VPNs de sitio a sitio seguras, entre un sitio central y uno remoto, utilizando el protocolo Ipsec, el cual proporciona autenticacin, integridad, control de acceso y confidencialidad. Solo acepta trfico unicast. IPsec funciona en la capa de red, protegiendo y autenticando los paquetes IP entre los dispositivos IPsec participantes (pares).
Gestin de Redes de Datos Conceptos Previos IKE, Internet Key Exchange es un protocolo que define el mtodo de intercambio de claves sobre IP en una primera fase de negociacin segura. Est formado por una cabecera de autenticacin, AH o Authentication Header, o una cabecera de autenticacin ms encriptacin que se conoce como Encapsulating Security Payload o ESP).
Es importante entender que IPSec ofrece dos modos de operacin segn utilice AH o ESP para proteger los datos sobre IP. Se conocen como modo de transporte (se emplea AH) o modo tnel (se utiliza ESP).
SA, o Security Asociations: Son conjuntos de parmetros que se utilizan para definir los requerimientos de seguridad de una comunicacin en una direccin particular (entrante o saliente). Una SA puede utilizar AH o ESP pero no ambas Gestin de Redes de Datos VPN confidencial IPsec IPsec est formado por cinco bloques:
1. Protocolo IPsec. Las opciones incluyen ESP o AH. 2. Tipo de confidencialidad, algoritmo de cifrado DES, 3DES, AES o SEAL. 3. Integridad, utilizando algoritmos de hash MD5 o SHA. 4. Utiliza IKE (Internet Key Exchange) para Autenticacin: mtodos posibles clave pre-compartida (PSK), firma digital utilizando RSA, etc. 5. Grupo de algoritmos para intercambio seguro de clave DH. DH Group 1 (DH1), DH Group 2 (DH2), DH Group 5 (DH5) y DH Group 7 Gestin de Redes de Datos VPN confidencial IPsec Gestin de Redes de Datos Protocolos IPsec Confidencialidad => Algoritmos de cifrado Mientras ms corta sea la clave del algoritmo de cifrado, ms fcil es romperla. Una clave de 64 bits puede llevar aproximadamente un ao para romperla con una computadora relativamente sofisticada. Romper una clave de 128 bits, con la misma computadora, puede llevar unos 10^19 aos. Gestin de Redes de Datos Protocolos IPsec Integridad => HASH Hashed Message Authentication Codes (HMAC) es un algoritmo de integridad de datos que garantiza la integridad del mensaje utilizando un valor de hash.
HMAC-Message Digest 5 (HMAC-MD5) - Se combina el mensaje de longitud variable con la clave secreta compartida de 128 bits y se ejecuta el algoritmo de hash HMAC- MD5. La salida es un hash de 128 bits.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1) - Se combina el mensaje de longitud variable con la clave secreta compartida de 160 bits y se ejecuta el algoritmo de hash HMAC-SHA-1. La salida es un hash de 160 bits. Gestin de Redes de Datos Protocolos IPsec Gestin de Redes de Datos Autenticacin: Cada par debe autenticar al par opuesto para que el tnel pueda considerarse seguro. Existen dos mtodos principales para configurarla entre los pares.
1. Claves pre-compartidas (Pre-shared Keys - PSKs) Se ingresa una clave pre-compartida en cada uno de los pares en forma manual para autenticar a cada par. En cada extremo, la PSK se combina con otra informacin para formar la clave de autenticacin, se intercambia el hash resultante. Las claves pre-compartidas son fciles de configurar en forma manual haciendo que no sean muy escalables. Protocolos IPsec Gestin de Redes de Datos Protocolos IPsec Gestin de Redes de Datos 2. Firmas RSA - El intercambio de certificados digitales autentica a los pares.
El dispositivo local calcula un hash y lo cifra con su clave privada. El hash cifrado se agrega al mensaje, el cual es enviado al extremo remoto y funciona como una firma. En el extremo remoto, el hash cifrado es descifrado utilizando la clave pblica del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es genuina. Protocolos IPsec Gestin de Redes de Datos Protocolos IPsec Gestin de Redes de Datos Intercambio seguro de claves: Cmo obtienen los dispositivos la clave secreta compartida para los algoritmos de cifrado?
El mtodo ms fcil es el intercambio de claves pblicas entre los dispositivos de cifrado y descifrado, como el intercambio de Claves pblicas Diffie-Hellman (DH) que proporciona un mtodo para establecer una clave pblica secreta entre dos pares que slo ellos conocen, incluso cuando se comuniquen a travs de un canal no seguro. Protocolos IPsec Gestin de Redes de Datos Ipsec Vs. GREP Gestin de Redes de Datos