Escolar Documentos
Profissional Documentos
Cultura Documentos
Redes
Unidad 04
Redes Privadas Virtuales
UPCedu
@UPCedu
Abril 2015
Logro
Al finalizar la unidad, el alumno Identificara las tecnologas y
arquitecturas
de
firewall
existentes
para
configurarlas
Red Privada
Virtual
Definicin
Una VPN, es una tecnologa de red que permite una
extensin de la red local (LAN) sobre una red pblica o no
controlada o insegura, como por ejemplo la Internet.
Definicin
Algunos ejemplos del uso
de una VPN son:
Conectar
sucursales
empresa
dos
de
utilizando
ms
una
la
internet.
Brindar soporte tcnico
de software a usuarios
remotos.
Es fexible y
fcilmente
escalable ya
que todas
son
conexiones
virtuales.
Posee
mltiples
formas de
acceso.
Permite la
ubicuidad
ya que
puede
extenderse
a cualquier
sitio.
Genera
Permite
reduccin
Seguridad;
cursar
de costo
que se
trfico de
porque
puede
voz, datos y
elimina las
proporciona
video
conexiones
r extremo a
simultnea
de larga
extremo.
mente.
distancia.
Ventajas
Desventajas
Requiere una
correcta
implementacin
de las polticas de
seguridad y de
acceso.
El usuario debe
soportar la mayor
carga de la VPN al
momento de
encapsular los
paquetes y
encriptarlos, lo
que generar
lentitud en la
conexin.
No se garantiza
disponibilidad (si
no hay internet,
entonces, no hay
VPN)
Comparativa de trabajo
Modem
Lnea Privada
VPN
Costo de la
llamada
elevado, esta
es clasificada
como larga
distancia.
Generalment
e no se
cuenta con la
calidad y
velocidad
adecuada.
Costo muy
elevado, si se
desea
conectar una
oficina que se
encuentra a
200 Km. de
distancia,
utilizando un
cable de
cobre o fibra
ptica.
Generalment
e cobran una
renta
mensual por
Llamadas
locales.
Costos bajos.
Datos
encriptados y
seguros.
Ofrece
calidad y
velocidad.
Principios
Autenticacin
Implica conocer con quin nos estamos conectando. Se
utilizan claves de acceso.
Integridad
Implica la verificacin de que los datos enviados no han
sido alterados. Se utilizan algoritmos de comparacin
Hash, Message Digest (MD) y Secure Hash Algorithm
(SHA).
Confidencialidad
Implica el cifrado de los datos. Se utilizan algoritmos de
cifrado como DES, TripleDES, AES, etc.
No repudio
Es decir un mensaje tiene que ir firmado, y el que lo
firma no puede negar que el mensaje lo envi l.
Requerimientos bsicos
Identificacin de Usuario
Para verificar la identidad de los usuarios y evitar el
acceso no autorizado.
Codificacin de Datos
Los datos que se van a transmitir a travs de la red
pblica (Internet), antes deben ser cifrados/codificados,
para que as no puedan ser ledos.
Administracin de claves
Implica la actualizacin de claves de acceso y de
codificacin de los usuarios.
Uso de protocolos
Implica el uso de protocolos comunes (IP, TCP, etc.).
Tipos de conexin
Conexin de acceso remoto
Es realizada por un usuario
de
una
computadora
red
privada,
los
frente
servidor y viceversa.
al
Tipos de conexin
Conexin VPN router a router
Es realizada por un router,
y este a su vez se conecta a
una red privada. En este
tipo de conexin, el router
que realiza la conexin se
autentifica ante el router
que responde y este a su
vez se autentica ante el
Tipos de conexin
Conexin
VPN
firewall
firewall
Es realizada por un firewall,
y ste a su vez se conecta a
una red privada. En este
tipo
de
paquetes
conexin,
son
los
enviados
Los
firewalls
Tipos de VPN
VPN de acceso remoto
Consiste en usuarios o proveedores
que se conectan con la empresa
desde
sitios
comerciales,
aviones,
etc.)
remotos
(oficinas
domicilios,
hoteles,
utilizando
Internet
vez
autenticado,
el
usuario
Tipos de VPN
VPN over LAN
Es uno de los ms eficientes
para usarse dentro de una
empresa.
Se
le
conoce
comnmente
como VLAN.
Es
una
variante
del
tipo
utilizar
Internet
como
Tipos de VPN
VPN over LAN
Sirve
para
aislar
zonas
la
utilizacin
tneles
IPSec;
brindar
los
tradicionales
adems
de
de
mtodos
de
Tipos de VPN
VPN punto a punto
Se
utiliza
oficinas
sede
para
conectar
remotas
central
con
de
la
la
organizacin.
El servidor VPN, que est
conectado
permanentemente
Internet,
acepta
a
las
Tipos de VPN
VPN punto a punto
Los
servidores
de
las
sucursales se conectan a
Internet
servicios
mediante
utilizando
de
su
conexiones
los
ISP
de
banda ancha.
Provee
un
sistema
Tunneling
Consiste en encapsular un protocolo de red sobre otro
(protocolo de red encapsulador) creando un tnel dentro
de una red de computadoras.
Se coloca un PDU dentro de otro PDU para transmitir la
informacin desde un extremo al otro del tnel.
Tunneling
Los routers intermedios no leen el contenido del paquete
tunelizado.
Los protocolos que proporcionan este mecanismo son
SSH, e IPSec.
Funcionamiento bsico
las
soluciones
por
fciles
de
software
Son
ms
configurar.
Implican un mayor gasto de
parte del usuario.
software
Nokia,
Linksys,
configuracin
es
ms
ideales
implementaciones
requieren
con
VPN
para
que
interoperatividad
de
diferentes
de
lneas
de
Unix;
productos
de
OpenVPN
I2P, etc.
FreeNet,
Internet Protocol
Security
Aplicaciones de IPSec
IPSec es una parte obligatoria de IPv6 y es opcional en IPv4.
En la actualidad, su estndar est especificado en la
RFC4301 y RFC4309.
Estos estndares introducen el estndar para Internet Key
Exchange (IKE).
Para decidir qu proteccin se va a proporcionar, IPSec
utiliza un ndice de Parmetro de Seguridad (SPI) y las
Asociaciones de Seguridad (SA), que junto con la direccin IP
identifican de forma nica una asociacin de seguridad para
IPSec,
se
suelen
utilizar
varios
algoritmos
de
encriptacin, autenticacin:
El algoritmo DES-CBS (Algoritmo de Cifrado en Bloques
Simtrico) es un algoritmo que codifica bloques de 64 bits
con claves de 56 bits utilizado para la encriptacin de
mensajes.
Cabecera de autenticacin
(Authentication Header, AH).
Esta cabecera es la encargada de proporcionar
autenticidad y no repudio a los datos (datagramas)
que se reciben en dos aspectos:
Los datagramas provienen del origen especifco. Se
garantiza la autenticidad del origen de los datos
(no pueden ser rechazados).
Los datagramas (y los datos que contienen) no han
sido modificados.
Cifrado de seguridad (Encrypted Security
Payload, ESP).
De esta forma se garantiza que tan slo el
destinatario legtimo del datagrama (datos) pueda
descifrar el contenido del datagrama. Proporciona,
autenticacin y proteccin de la integridad.
forma
que
los
proteje
de
posibles atacantes.
AH no modifica el funcionamiento
de los protocolos de nivel superior
(TCP, ICMP, etc.) ni el de los routers
Ver
ToC
Payload Length
Flow Label
NH
Limit Hop
51
Source Address
Destination Address
Cabecera de Autenticacin
Formato del AH
0
16
31
Cabecera
Longitud
Siguiente de los datos
12
Bytes
Reserved
Cabecera
Longitud
ndice
Nmero
dede
de
Parmetros
Siguiente
Secuencia
los Datos de(variable)
Seguridad
Datos
de
Autenticacin
Es
Especifica
El
Identifica
ISP
el campo
es un
el
lanmero
que
longitud
indica
de
del
de
32
qu
datagrama
losbits
cabecera
datos
quede
define
en
la
contina
lacabecera
comunicacin,
la
cantidad
despus
de
Contiene
los
datos
de
autenticacin,
cuya
codificacin
de la
autenticacin
SA
estableciendo
(Asociaciones
Cabecera
en
un
demltiplos
de
orden
Autenticacin
Seguridad)
y evitando
de 32que
(opciones,
bits.
problemas
se pueden
de
depende
del algoritmo
de
autenticacin.
Actualmente
encaminamiento,
mantener
entrega
deen
datagramas
un ordenador;
fragmentacin,
fuera
esdel
de
decir
orden
etc.)
el nmero
o ataques
de
se sugiere
la
implementacin
algoritmo
MD5.
conexiones con AH.
externos.
Ver
ToC
Flow Label
intermedios
no
podran
procesar
Payload
Length
NH
Limit
Hop
50
Cabecera
posteriores.IPv6
Source Address
Destination Address
Cabecera ESP
DATOS CIFRADOS
las cabeceras
Datos en
Texto
Claro
Transporte
(extremo
Tnel
puerta):Datos
cifradas.
(puerta
y
cabeceras
Head IP
Head IP
Head ESP
Carga ltil IP
Head IP
Head ESP
Algoritmo de
Cifrado
(Clave Pblica)
Carga til IP
Carga til IP
Head IP
Carga til IP
End ESP
Algoritmo de
Cifrado
(Clave Pblica)
End ESP
Formato de ESP
0
16
31
Datos
ndice y
de
Parmetros
Parmetros
dede
Cifrado
Seguridad y Nmero de
Autenticados
(variable)
Contiene
Secuencia
losaseguran
datos referentes
a los cdigos
deno
cifrado.
Estos datos
que el mensaje
cifrado
ha sido
Este
Los
campos
campo Se
depende
ndice
de del
Parmetros
de
de
Seguridad
cifrado.
y Nmero
modificado.
sugiere
la algoritmo
utilizacin
de
algoritmos
MD5.
Actualmente
de Sencuencia
setienen
sugiere
el el
mismo
algoritmo
significado
DES-CBC
que en el
formato de la Cabecera de Autenticacin).
informacin
del
SA
se
enva
por
un
canal
seguro
con
una
autenticacin
parmetros de Diffie-Hellman.
subsiguiente
de
los
entre
dos
firewalls
distantes.
ESP y AH permite establecer un
tnel seguro entre un equipo
mvil y el firewall de la red.
ESP y AH evita que los intrusos
en la red puedan acceder a las
actualizaciones de las tablas de
UPCedu
@UPCedu
Abril 2015