Anti Hacking y Seguridad de

Redes
Unidad 04
Redes Privadas Virtuales

UPCedu
@UPCedu

Abril 2015

Logro
Al finalizar la unidad, el alumno Identificara las tecnologas y
arquitecturas

de

firewall

existentes

para

configurarlas

adecuadamente y Verificar control completo del trfico de

entrada y salida de una red de datos.

Red Privada
Virtual

Definicin
Una VPN, es una tecnologa de red que permite una
extensin de la red local (LAN) sobre una red pblica o no
controlada o insegura, como por ejemplo la Internet.

Definicin
Algunos ejemplos del uso
de una VPN son:
Conectar
sucursales
empresa

dos

de
utilizando

ms
una
la

internet.
Brindar soporte tcnico
de software a usuarios
remotos.

Es fexible y
fcilmente
escalable ya
que todas
son
conexiones
virtuales.

Posee
mltiples
formas de
acceso.

Permite la
ubicuidad
ya que
puede
extenderse
a cualquier
sitio.

Genera
Permite
reduccin
Seguridad;
cursar
de costo
que se
trfico de
porque
puede
voz, datos y
elimina las
proporciona
video
conexiones
r extremo a
simultnea
de larga
extremo.
mente.
distancia.

Ventajas

Desventajas

Requiere una
correcta
implementacin
de las polticas de
seguridad y de
acceso.

El usuario debe
soportar la mayor
carga de la VPN al
momento de
encapsular los
paquetes y
encriptarlos, lo
que generar
lentitud en la
conexin.

No se garantiza
disponibilidad (si
no hay internet,
entonces, no hay
VPN)

Comparativa de trabajo
Modem

Lnea Privada

VPN

Costo de la
llamada
elevado, esta
es clasificada
como larga
distancia.
Generalment
e no se
cuenta con la
calidad y
velocidad
adecuada.

Costo muy
elevado, si se
desea
conectar una
oficina que se
encuentra a
200 Km. de
distancia,
utilizando un
cable de
cobre o fibra
ptica.
Generalment
e cobran una
renta
mensual por

Llamadas
locales.
Costos bajos.
Datos
encriptados y
seguros.
Ofrece
calidad y
velocidad.

Principios
Autenticacin
Implica conocer con quin nos estamos conectando. Se
utilizan claves de acceso.
Integridad
Implica la verificacin de que los datos enviados no han
sido alterados. Se utilizan algoritmos de comparacin
Hash, Message Digest (MD) y Secure Hash Algorithm
(SHA).
Confidencialidad
Implica el cifrado de los datos. Se utilizan algoritmos de
cifrado como DES, TripleDES, AES, etc.
No repudio
Es decir un mensaje tiene que ir firmado, y el que lo
firma no puede negar que el mensaje lo envi l.

Requerimientos bsicos
Identificacin de Usuario
Para verificar la identidad de los usuarios y evitar el
acceso no autorizado.
Codificacin de Datos
Los datos que se van a transmitir a travs de la red
pblica (Internet), antes deben ser cifrados/codificados,
para que as no puedan ser ledos.
Administracin de claves
Implica la actualizacin de claves de acceso y de
codificacin de los usuarios.

Uso de protocolos
Implica el uso de protocolos comunes (IP, TCP, etc.).

Tipos de conexin
Conexin de acceso remoto
Es realizada por un usuario
de

una

computadora

remota que se conecta a

una

red

privada,

los

paquetes enviados a travs

de la VPN se dirigen y se
autentican

frente

servidor y viceversa.

al

Tipos de conexin
Conexin VPN router a router
Es realizada por un router,
y este a su vez se conecta a
una red privada. En este
tipo de conexin, el router
que realiza la conexin se
autentifica ante el router
que responde y este a su
vez se autentica ante el

Tipos de conexin
Conexin

VPN

firewall

firewall
Es realizada por un firewall,
y ste a su vez se conecta a
una red privada. En este
tipo

de

paquetes

conexin,
son

los

enviados

desde cualquier usuario en

Internet.

Los

firewalls

Tipos de VPN
VPN de acceso remoto
Consiste en usuarios o proveedores
que se conectan con la empresa
desde

sitios

comerciales,
aviones,

etc.)

remotos

(oficinas

domicilios,

hoteles,

utilizando

Internet

como vnculo de acceso.

Una

vez

autenticado,

el

usuario

tienen el mismo nivel de acceso que

Tipos de VPN
VPN over LAN
Es uno de los ms eficientes
para usarse dentro de una
empresa.
Se

le

conoce

comnmente

como VLAN.
Es

una

variante

del

tipo

"acceso remoto" pero, en vez

de

utilizar

Internet

como

Tipos de VPN
VPN over LAN
Sirve

para

aislar

zonas

servicios de la red interna.

Es ideal para la seguridad en
redes Wi-Fi.
Permite

la

utilizacin

tneles

IPSec;

brindar

los

tradicionales

adems

de
de

mtodos
de

Tipos de VPN
VPN punto a punto
Se

utiliza

oficinas
sede

para

conectar

remotas
central

con
de

la
la

organizacin.
El servidor VPN, que est
conectado
permanentemente
Internet,

acepta

a
las

Tipos de VPN
VPN punto a punto
Los

servidores

de

las

sucursales se conectan a
Internet
servicios
mediante

utilizando
de

su

conexiones

los
ISP
de

banda ancha.
Provee

un

sistema

transparente para la red

Tunneling
Consiste en encapsular un protocolo de red sobre otro
(protocolo de red encapsulador) creando un tnel dentro
de una red de computadoras.
Se coloca un PDU dentro de otro PDU para transmitir la
informacin desde un extremo al otro del tnel.

Tunneling
Los routers intermedios no leen el contenido del paquete
tunelizado.
Los protocolos que proporcionan este mecanismo son
SSH, e IPSec.

Funcionamiento bsico

Implementaciones VPN por hardware

Ofrecen mayor rendimiento
que

las

soluciones

por

fciles

de

software
Son

ms

configurar.
Implican un mayor gasto de
parte del usuario.

Implementaciones VPN por hardware

Manejan

software

propietario por lo que no son

muy fexibles.
Las lneas de producto ms
conocidas son: Cisco, Nortel,
Symantec,

Nokia,

Linksys,

Netscreen, SonicWall, etc.

Implementaciones VPN por software

Su

configuracin

es

ms

compleja pero las soluciones

que pueden brindar son ms
fexibles que las soluciones
por hardware
Resultan

ideales

implementaciones
requieren
con

VPN

para
que

interoperatividad
de

diferentes

Implementaciones VPN por software

Posee un rendimiento menor
que las VPN por hardware.
Ejemplos

de

lneas

de

producto son: Las soluciones

nativas de Windows, Linux y
los

Unix;

productos

de

cdigo abierto como Open

SSH,

OpenVPN

I2P, etc.

FreeNet,

Internet Protocol
Security

Internet Protocol Security

IPSec es un conjunto de protocolos cuya funcin es
asegurar las comunicaciones en redes IP proporcionando
autenticacin y cifrado.
IPSec acta en capa 3 de OSI y trabajan conjuntamente
con otros protocolos de capa 4 hacia arriba como SSL, SSH,
TLS, etc.
IPSec puede ser utilizado con TCP y con UDP.

Elementos Bsicos de IPSec

IPSec es una parte obligatoria de IPv6 y es opcional en IPv4.
En la actualidad, su estndar est especificado en la
RFC4301 y RFC4309.
Estos estndares introducen el estndar para Internet Key
Exchange (IKE).
Para decidir qu proteccin se va a proporcionar, IPSec
utiliza un ndice de Parmetro de Seguridad (SPI) y las
Asociaciones de Seguridad (SA), que junto con la direccin IP
identifican de forma nica una asociacin de seguridad para

Aplicaciones de IPSec
IPSec es una parte obligatoria de IPv6 y es opcional en IPv4.
En la actualidad, su estndar est especificado en la
RFC4301 y RFC4309.
Estos estndares introducen el estndar para Internet Key
Exchange (IKE).
Para decidir qu proteccin se va a proporcionar, IPSec
utiliza un ndice de Parmetro de Seguridad (SPI) y las
Asociaciones de Seguridad (SA), que junto con la direccin IP
identifican de forma nica una asociacin de seguridad para

Algoritmos de Seguridad en IPsec

Para

IPSec,

se

suelen

utilizar

varios

algoritmos

de

encriptacin, autenticacin:
El algoritmo DES-CBS (Algoritmo de Cifrado en Bloques
Simtrico) es un algoritmo que codifica bloques de 64 bits
con claves de 56 bits utilizado para la encriptacin de
mensajes.

Algoritmos de Seguridad en IPsec

El algoritmo MD5 (Message-Digest Algorithm 5, Algoritmo
de Resumen del Mensaje 5) es un algoritmo de reduccin
criptogrfico de 128 bits.
El algoritmo de Diffie-Hellman basa su funcionamiento en
la generacin de claves pblicas y claves privadas con
tres niveles de seguridad: bajo, medio y alto.

Cabeceras para IPSec

Cabecera de autenticacin
(Authentication Header, AH).
Esta cabecera es la encargada de proporcionar
autenticidad y no repudio a los datos (datagramas)
que se reciben en dos aspectos:
Los datagramas provienen del origen especifco. Se
garantiza la autenticidad del origen de los datos
(no pueden ser rechazados).
Los datagramas (y los datos que contienen) no han
sido modificados.
Cifrado de seguridad (Encrypted Security
Payload, ESP).
De esta forma se garantiza que tan slo el
destinatario legtimo del datagrama (datos) pueda
descifrar el contenido del datagrama. Proporciona,
autenticacin y proteccin de la integridad.

Cabecera de Autenticacin (AH)

Es una cabecera especfica con el
valor de 51 en el campo Next
Header.
Se situa justo antes de los datos,
IPv6
de

forma

que

los

proteje

de

posibles atacantes.
AH no modifica el funcionamiento
de los protocolos de nivel superior
(TCP, ICMP, etc.) ni el de los routers

Ver
ToC
Payload Length

Flow Label
NH
Limit Hop
51

Source Address
Destination Address
Cabecera de Autenticacin

Formato del AH
0

16

31

Cabecera
Longitud
Siguiente de los datos
12
Bytes

Reserved

ndice de Parmetros de Seguridad (ISP)

Nmero de Secuencia
Datos Autenticados

Cabecera
Longitud
ndice
Nmero
dede
de
Parmetros
Siguiente
Secuencia
los Datos de(variable)
Seguridad
Datos
de
Autenticacin
Es
Especifica
El
Identifica
ISP
el campo
es un
el
lanmero
que
longitud
indica
de
del
de
32
qu
datagrama
losbits
cabecera
datos
quede
define
en
la
contina
lacabecera
comunicacin,
la
cantidad
despus
de
Contiene
los
datos
de
autenticacin,
cuya
codificacin
de la
autenticacin
SA
estableciendo
(Asociaciones
Cabecera
en
un
demltiplos
de
orden
Autenticacin
Seguridad)
y evitando
de 32que
(opciones,
bits.
problemas
se pueden
de
depende
del algoritmo
de
autenticacin.
Actualmente
encaminamiento,
mantener
entrega
deen
datagramas
un ordenador;
fragmentacin,
fuera
esdel
de
decir
orden
etc.)
el nmero
o ataques
de
se sugiere
la
implementacin
algoritmo
MD5.
conexiones con AH.
externos.

Cabecera de Cifrado de Autenticacin

(SEP)

A diferencia de AH, SEP no aade autenticidad; sino que se

emplea en el caso de necesitar confidencialidad en la
comunicacin.
ESP siempre es la ltima cabecera en cadena debido a que a
partir de ella todo los datos vienen cifrados, con lo que los
routers

Ver
ToC
Flow Label
intermedios
no
podran
procesar
Payload
Length
NH
Limit
Hop
50
Cabecera

posteriores.IPv6

Source Address
Destination Address
Cabecera ESP
DATOS CIFRADOS

las cabeceras

Datos en
Texto
Claro

Modos IPSec para ESP

Modo

Transporte

(extremo

extremo): Solo datos cifrados.

Modo

Tnel

puerta):Datos
cifradas.

(puerta
y

cabeceras

Modos IPSec para ESP

ESP modo transporte.

Head IP

Head IP

Head ESP

Carga ltil IP

ESP modo tnel.

Head IP

Head IP

Head ESP

Algoritmo de
Cifrado
(Clave Pblica)

Carga til IP

Carga til IP

Head IP

Carga til IP

End ESP
Algoritmo de
Cifrado
(Clave Pblica)

End ESP

Formato de ESP
0

16

31

ndice de Parmetros de Seguridad (ISP)

Nmero de Secuencia
Datos y parmetros Cifrados
Datos Autenticados

Datos
ndice y
de
Parmetros
Parmetros
dede
Cifrado
Seguridad y Nmero de
Autenticados
(variable)
Contiene
Secuencia
losaseguran
datos referentes
a los cdigos
deno
cifrado.
Estos datos
que el mensaje
cifrado
ha sido
Este
Los
campos
campo Se
depende
ndice
de del
Parmetros
de
de
Seguridad
cifrado.
y Nmero
modificado.
sugiere
la algoritmo
utilizacin
de
algoritmos
MD5.
Actualmente
de Sencuencia
setienen
sugiere
el el
mismo
algoritmo
significado
DES-CBC
que en el
formato de la Cabecera de Autenticacin).

Consideraciones Finales en IPSec

La autenticidad y el cifrado de datos (o datagramas)
requiere que tanto el emisor como el receptor, antes de
utilizar AH o ESP, compartan una clave, un algoritmo de
cifrado/descifrado; un tiempo de validez de clave y otros
parmetros. El conjunto de estos parmetros se denomina
Asociacin de Seguridad (SA).

Consideraciones Finales en IPSec

La

informacin

del

SA

se

enva

por

un

canal

seguro

utilizando un Protocolo de Administracin de Llaves.

Uno de esto protocolos es ISAKMP/Oakley que despus fue
renombrado como IKE (Intercambio de Claves por Internet)
IKE se encarga de combinar el intercambio de llaves DiffieHellman

con

una

autenticacin

parmetros de Diffie-Hellman.

subsiguiente

de

los

Consideraciones Finales en IPSec

ESP y AH permite crear lneas
seguras

entre

dos

firewalls

distantes.
ESP y AH permite establecer un
tnel seguro entre un equipo
mvil y el firewall de la red.
ESP y AH evita que los intrusos
en la red puedan acceder a las
actualizaciones de las tablas de

Anti Hacking y Seguridad de

Redes
Unidad 04
Redes Privadas Virtuales

UPCedu
@UPCedu

Abril 2015