Upload
brayan-davian-florez-garcia
View
233
Download
0
Embed Size (px)
Citation preview
8/18/2019 Modulo 6 VPN Ipsec
1/52
RAUL BAREÑO GUTIERREZ 1
Servicios a trabajadores a
distancia
RAUL BAREÑO GUTIERREZ
8/18/2019 Modulo 6 VPN Ipsec
2/52
RAUL BAREÑO GUTIERREZ 2
Objetivos
Describir los requerimientos empresariales para prestar servicios paratrabajadores a distancia
Diferencias entre la infraestructura de red publica y privada
Explicar cómo los servicios de banda ancha extienden las redesempresariales, incluso DSL, cable y conexiones inalámbricas
Describir cómo la tecnología VPN presta servicios seguros paratrabajadores a distancia en una configuración empresarial
8/18/2019 Modulo 6 VPN Ipsec
3/52
RAUL BAREÑO GUTIERREZ 3
Introducción
Trabajo a distancia es trabajar lejos de un lugar de trabajo tradicional,como una oficina doméstica.
Las oportunidades que se otorgan a los empleados con lesiones de seguir
trabajando durante los períodos de convalecencia.
Trabajo a distancia hace referencia a realizar un trabajo mediante laconexión al lugar de trabajo desde una ubicación remota, con laayuda de las telecomunicaciones.
Trabajar a distancia es posible debido a conexiones de Internet de bandaancha, redes privadas virtuales (VPN) y tecnologías más avanzadas
8/18/2019 Modulo 6 VPN Ipsec
4/52
RAUL BAREÑO GUTIERREZ 4
Beneficios del trabajador a distancia
Topología del trabajador a distancia: Las empresas necesitan redes seguras,confiables y rentables para conectar sedes, sucursales, proveedores y oficinasdomésticas (SOHO)
8/18/2019 Modulo 6 VPN Ipsec
5/52
RAUL BAREÑO GUTIERREZ 5
Tecnologías del trabajador a distancia
1. Tecnologías de Capa 2 de WAN privada: FR, ATM y líneas alquiladas. La
seguridad depende del ISP. 2. Las (VPN) con IPSec: conectividad flexible y escalable.
3. Las conexiones de sitio a sitio: confiable, rápida y segura. la masutilizada, combinada con el acceso remoto por banda ancha, se obtiene unaVPN segura a través de Internet pública.
Un medio menos confiable que usa Internet es el acceso telefónico.
8/18/2019 Modulo 6 VPN Ipsec
6/52
RAUL BAREÑO GUTIERREZ 6
Tecnologías del trabajador a distancia
Banda ancha: son sistemas de comunicaciones que transmiten servicios de altavelocidad datos, voz y video, por Internet y otras redes.
La línea de suscriptor digital (DSL) la fibra, el cable coaxial, la tecnologíainalámbrica y de satélite.
Las velocidades, superan 200 Kbps, en una dirección: descendente oascendente.
8/18/2019 Modulo 6 VPN Ipsec
7/52RAUL BAREÑO GUTIERREZ 7
La solución del trabajador a distancia
Necesita dos conjuntos: componentes en la oficina doméstica y componentes
corporativos. A futuro VoIP.
De la oficina doméstica: un PC, acceso a banda ancha, un router VPN o SWcliente VPN en el PC. se podría incluir un AP.
Corporativos: routers, concentradores VPN, aplicaciones de seguridad con,autenticación y dispositivos de administración central para la unificación y laterminación flexibles de las conexiones VPN.
8/18/2019 Modulo 6 VPN Ipsec
8/52RAUL BAREÑO GUTIERREZ 8
La solución del trabajador a distancia
VPN es una red privada virtual que usa la infraestructura pública de
telecomunicaciones. mantiene la privacidad por un protocolo de tunneling yprocedimientos de seguridad.
El protocolo IPSec (Seguridad IP) construye túneles VPN seguros.
IPSec funciona en la capa de red.
8/18/2019 Modulo 6 VPN Ipsec
9/52RAUL BAREÑO GUTIERREZ 9
Conexión a la WAN del trabajador a distancia
Cable modem, DSL y acceso inalámbrico de banda ancha tres opciones
que proporcionan ancho de banda elevado.
1. Acceso dial-up: económica por línea telefónica y un módem. Muy lenta,se utiliza donde no hay mas (56 Kbps). Una conexión dial-up por módemancho de banda bajo.
2. DSL: más costoso, rápida. Por líneas telefónicas con conexión continuaa Internet. un módem especial separa la señal de voz de la de datosEthernet. 200 kbps y mas. Depende de la distancia.
8/18/2019 Modulo 6 VPN Ipsec
10/52RAUL BAREÑO GUTIERREZ 10
Conexión a la WAN del trabajador a distancia
3. Módem por cable: ISP de T.V por cable. cable coaxial. Un módem separala señal de datos de las otras. 200 kbps y mas. Servicio compartido
4. Satélite: ISP satelitales. El PC se conecta a través de Ethernet a unmódem satelital que transmite señales de radio al punto de presencia (POP)más cercano dentro de la red satelital. Entre 128 y 512 kbps
8/18/2019 Modulo 6 VPN Ipsec
11/52RAUL BAREÑO GUTIERREZ 11
Cable modem
Un cable coaxial transporta señales de radiofrecuencia (RF).
Antenas recopilan señales. Antes sistemas unidireccionales, conamplificadores en serie a lo largo de la red.
Hoy los sistemas son bidireccional entre el abonado y el ISP.
ISP da servicios a clientes; Internet de alta velocidad, T.V digital y telefonía.
ISP implementan redes de fibra coaxial híbrida (HFC) transmiten datos a altavelocidad a los módems ubicados en pequeñas oficinas y oficinas domésticas.
8/18/2019 Modulo 6 VPN Ipsec
12/52RAUL BAREÑO GUTIERREZ 12
Cable modem
El espectro electromagnético incluye un amplio rango de frecuencias.
Frecuencia: velocidad a la cual ocurren los ciclos de corriente (o voltaje),cantidad de "ondas" por segundo.
Longitud de onda: velocidad de la señal /en su frecuencia en ciclos/seg.
Las ondas de radio, o RF, son parte del espectro entre 1 kilohercio (kHz) a 1terahercio,
Frecuencias diferentes llevan datos y canales de T.V.
En el suscriptor, T.V, VDR y decodificadores. sintonizan ciertas frecuencias quele permiten al usuario ver el canal o, si usa un módem, recibir Internet.
8/18/2019 Modulo 6 VPN Ipsec
13/52RAUL BAREÑO GUTIERREZ 13
Cable modem
Descendente: del origen (cabecera) al destino (suscriptor). ruta de envío.
Frecuencias rango de 50 a 860 (MHz).
Ascendente: del suscriptor hacia la cabecera. Frecuencias rango de 5 a 42MHz.
8/18/2019 Modulo 6 VPN Ipsec
14/52RAUL BAREÑO GUTIERREZ 14
Cable modem
Requiere dos equipos: Sistema de terminación de módems de cable (CMTS)
en la cabecera del ISP Módem por cable (CM) en el extremo del suscriptor
Un CMTS se comunica con CM. La cabecera es, un router con BD paraproporcionar servicios de Internet.
Una red HFC, conecta entre 500 y 2000 suscriptores a un segmento. todos
comparten el ancho de banda. El ancho de banda real para internet es hasta 27 Mbps de descarga y 2.5 Mbps
de carga.
Un cliente puede obtener una velocidad de acceso de 256 kbps a 6 Mbps.
8/18/2019 Modulo 6 VPN Ipsec
15/52RAUL BAREÑO GUTIERREZ 15
Cable modem
Si hay congestión, puede agregar ancho de banda adicional con un canal de
T.V. para datos.
Otra; reducir la cantidad de suscriptores a los que cada segmento de redpresta servicios. Se subdivide aún más la red mediante la colocación deconexiones de fibra óptica más cerca y dentro de los barrios.
8/18/2019 Modulo 6 VPN Ipsec
16/52RAUL BAREÑO GUTIERREZ 16
DOCSIS
Especificación sobre interfaz del servicio de datos por cable. estándar de
CableLabs, prueba y certifica dispositivos, CM, y los CMTS, certifica DOCSIS.
ISP usan DOCSIS para acceso a Internet por fibra coaxial híbrida (HFC).
Especifica requisitos de Capa 1 y 2 de OSI:
Capa 1: las señales de datos que el ISP puede usar, especifica anchos decanales (anchos de banda por canal) de 200, 400, 800 kHz, 1.6, 3.2 y 6,4 MHz.Tambien especifica las técnicas de modulación.
Capa Mac: método de acceso determinista, acceso múltiple por divisióntemporal (TDMA) o el método de acceso múltiple por división de código síncrono(S-CDMA). S-CDMA es seguro y extremadamente resistente al ruido.
8/18/2019 Modulo 6 VPN Ipsec
17/52RAUL BAREÑO GUTIERREZ 17
DOCSIS
Las bandas de frecuencias difieren entre los sistemas europeos y U.S.A.
Euro-DOCSIS en Europa.
Diferencias de DOCSIS y Euro-DOCSIS es el ancho de banda del canal.
Estándares de T.V: NTSC en U.S.A y partes de Japón.
PAL en la mayor parte de Europa, Asia, África, Australia, Brasil y Argentina;
SECAM en Francia y algunos países de Europa del Este.
8/18/2019 Modulo 6 VPN Ipsec
18/52RAUL BAREÑO GUTIERREZ 18
DSL
Conexiones de alta velocidad por cable de cobre.
La voz ancho de banda 300 Hz a 3.2 kHz. después DSL hasta 1 MHz en bandaancha.
Asimétrica (ADSL): un ancho de banda para subir y otro para bajar. frecuenciasde 20 kHz a 1 MHz
Simétrica (SDSL): la misma capacidad en ambas direcciones.
DSL diferentes anchos de banda, exceden a las líneas alquilada T1 o E1.
La velocidad depende de la longitud del bucle local, tipo, y condición del cableado.
8/18/2019 Modulo 6 VPN Ipsec
19/52RAUL BAREÑO GUTIERREZ 19
DSL
El bucle local menor a 5,5 kilómetros (3,5 millas).
Los ISP la usan en el último paso de una red telefónica local, bucle local oúltima milla.
Se instala entre un par de módems en el extremo de un cable de cobre entre elequipo local del cliente (CPE) y el multiplexor de acceso DSL (DSLAM).
DSLAM dispositivo ubicado en la (CO) concentra las conexiones de lossuscriptores DSL.
Dos componentes: el transceptor DSL y el DSLAM
1. Transceptor : conecta el PC con el DSL. es un módem DSL conectado al PC
por cable USB o Ethernet.
8/18/2019 Modulo 6 VPN Ipsec
20/52RAUL BAREÑO GUTIERREZ 20
DSL
2. DSLAM: combina conexiones DSL individuales de los usuarios en un enlace
de alta capacidad al ISP y, por lo tanto, a Internet.
La ventaja que tiene DSL sobre cable modem no es un medio compartido.Un usuario tiene conexión directa al DSLAM. A mas usuarios no afecta elrendimiento.
8/18/2019 Modulo 6 VPN Ipsec
21/52RAUL BAREÑO GUTIERREZ 21
DSL
ADSL da voz y datos al mismo tiempo.
Dos formas separan ADSL; la voz en el cliente: un microfiltro o un divisor deseñal.
Microfiltro: filtro pasa bajo con dos extremos. Uno conectado al teléfono y el otroal jack de pared. En el cliente.
Los divisores de señal POTS separan el tráfico DSL del POTS. dispositivopasivo. Si se va la luz, la voz aún se desplazaría a la OC. se instalan en la OC y,a veces, en el cliente.
El bucle local termina en las instalaciones del cliente en el punto dedemarcación. Es el dispositivo de interfaz de red (NID).
8/18/2019 Modulo 6 VPN Ipsec
22/52RAUL BAREÑO GUTIERREZ 22
DSL
Microfiltro: el usuario puede instalarlos en cada teléfono, o instalarlos en lapared en vez de jacks de teléfono comunes.
Divisor de señal: se ubica entre el NID y el sistema interno de distribucióntelefónica. Un cable iría directamente al módem DSL y el otro transportaría laseñal DSL a los teléfonos.
8/18/2019 Modulo 6 VPN Ipsec
23/52RAUL BAREÑO GUTIERREZ 23
Conexión inalámbrica
Wi-Fi en oficinas pequeñas, domésticas, y en campus.
Estándares 802.11, los datos por ondas de radio.
Espectro de radio sin licencia. muy económica.
Ventajas Wi-Fi. proporcionan movilidad. una mayor flexibilidad y productividad.
8/18/2019 Modulo 6 VPN Ipsec
24/52RAUL BAREÑO GUTIERREZ 24
Conexión inalámbrica
Antes un rango (menor a 30,5 metros) de un router inalámbrico o AP se une porcable a Internet.
Un punto de conexión es el área cubierta por uno o más AP interconectados.la superposición de AP, cubren mayor distancia.
Se usan topologías de malla en vez del modelo hub-and-spoke.
Cada AP está dentro del rango y se comunica con al menos otros dos. Una red en malla su instalación es más fácil y puede ser más económica
8/18/2019 Modulo 6 VPN Ipsec
25/52
RAUL BAREÑO GUTIERREZ 25
Conexión inalámbrica
IEEE 802.11 para (WLAN), las bandas de uso público de 5 GHz y 2,4 GHz.
Wi-Fi es una certificación de la industria basada en 802.11. 802.11 haalcanzado y superado a Wi-Fi.
Protocolos IEEE 802.11b y g. Los mas utilizados
802.11n: propuesta basada 802.11. utiliza la incorporación de entrada múltiple,salida múltiple (MIMO).
802.16 (WiMAX) transmisiones de hasta 70 Mbps y hasta 50 km (30 millas).Puede funcionar en bandas con licencia o sin licencia del espectro desde 2hasta 6 GHz.
8/18/2019 Modulo 6 VPN Ipsec
26/52
RAUL BAREÑO GUTIERREZ 26
WIMAX Interoperatividad mundial para el acceso por microondas IEEE 802.16
grandes distancias, en enlaces punto a punto hasta acceso completo tipocelular. Velocidades mayores, y mas usuarios que Wi-Fi.
Dos componentes: 1. Una torre: brinda cobertura a 75 kms” cuadrados, o 3000millas”.
2. Un receptor es una tarjeta PCMCIA se incorpora a un PC o a otro dispositivo
inalámbrico. Una estación se conecta a Internet (línea T3). Una torre puede conectarse a
otras por microondas con línea de vista. cobertura a áreas rurales.
8/18/2019 Modulo 6 VPN Ipsec
27/52
RAUL BAREÑO GUTIERREZ 27
Satelital
En lugares no disponibles al acceso terrestre o en instalaciones en continuo
movimiento. para barcos, aviones y vehículos en tierra.
Tres formas: multicast unidireccional, retorno terrestre unidireccional ybidireccional.
1. El sistema satelital multicast unidireccional distribución de video, audio ydatos en IP multicast .
Internet y las páginas se envían a una BD local y luego a los sitios del usuario
final. No hay interactividad total.
2. Retorno terrestre unidireccional: acceso dial-up para enviar datos por unmódem o recibir descargas desde el satélite.
8/18/2019 Modulo 6 VPN Ipsec
28/52
RAUL BAREÑO GUTIERREZ 28
Internet satelital
3. Los sistemas bidireccional: envían datos desde sitios remotos por satélite
a un hub, luego envía los datos a Internet. antenas con ubicación precisa.
Velocidades de carga son 1/10 de las de descarga, un rango de 500 kbps.
Usa multicast IP, permite al satélite brindar servicios a 5000 canales decomunicación simultáneos.
IP Multicast envía datos desde un punto a varios al mismo tiempo en formatocomprimido. Comprimir reduce el tamaño y el ancho de banda.
8/18/2019 Modulo 6 VPN Ipsec
29/52
RAUL BAREÑO GUTIERREZ 29
Tecnología VPN
Internet una red IP pública; y se interconectan sitios remotos.
VPN permite a las empresas crear una VPN en Internet y mantienen laconfidencialidad y la seguridad. El tráfico está encriptado.
VPN usa conexiones virtuales que se enrutan a través de Internet.
La escalabilidad es una ventaja. la ubicación poca importa en una VPN.
8/18/2019 Modulo 6 VPN Ipsec
30/52
RAUL BAREÑO GUTIERREZ 30
Beneficios de la tecnología VPN
Aumenta la flexibilidad y la productividad.
Económicos: usa transporte de Internet de terceros y económicos para conectar oficinas y usuarios a la principal. La banda ancha, y las VPN reducen los costos delas conexiones.
Seguridad: protocolos de autenticación y encriptación protegen los datos.
Escalabilidad: es más fácil para las empresas agregar usuarios nuevos
8/18/2019 Modulo 6 VPN Ipsec
31/52
RAUL BAREÑO GUTIERREZ 31
Tipos de VPN
1. De sitio a sitio: conecta ubicaciones remotas. intranets y extranets.
Es una extensión de una WAN. conectan redes enteras entre ellas.
Los hosts se conectan a un gateway VPN, es un router, una aplicaciónfirewall PIX o una aplicación de seguridad adaptable (ASA).
El gateway VPN encapsula y encripta tráfico saliente de un sitio por un túnelVPN a un gateway VPN par.
Este elimina los encabezados, descifra el contenido y retransmite el paquetehacia el host dentro de su red privada.
8/18/2019 Modulo 6 VPN Ipsec
32/52
RAUL BAREÑO GUTIERREZ 32
Tipos de VPN
2. de acceso remoto: para usuarios móviles. Por banda ancha. un empleado
móvil realiza una llamada local a un ISP para accesar a Internet.
El host tiene software cliente de VPN. el SW cliente encapsula y encripta eltráfico antes del envío.
8/18/2019 Modulo 6 VPN Ipsec
33/52
RAUL BAREÑO GUTIERREZ 33
Componentes de la VPN
Las VPN usan protocolos de tunneling criptográficos para brindar proteccióncontra detectores de paquetes, autenticación e integración de mensajes.
1. Una red con servidores y PC
2. Una conexión a Internet
3. Gateways VPN: routers, firewalls, concentradores VPN y ASA, en losextremos para establecer, administrar y controlar las conexiones VPN
4. Software adecuado para crear y administrar túneles VPN.
8/18/2019 Modulo 6 VPN Ipsec
34/52
RAUL BAREÑO GUTIERREZ 34
Componentes de la VPN
VPN es seguridad. protegen los datos por encapsulación o encriptación. las
VPN hacen las dos cosas.
Encapsulación (se denomina tunneling), transmite datos de maneratransparente de red a red a través de una infraestructura de red compartida.
Encriptación codifica datos en un formato diferente por una clave secreta.
La decodificación vuelve los datos encriptados al formato original sin encriptar.
8/18/2019 Modulo 6 VPN Ipsec
35/52
RAUL BAREÑO GUTIERREZ 35
Características de las VPN
1. Confidencialidad de datos: protege los mensajes contra la interceptación. Lohace la encapsulación y encriptación.
2. Integridad: los datos puede que hayan sido modificados. garantiza que no secambien, ni alteren mientras viajan por la red. Usan hashes para integridad.
3. Autenticación: garantiza el mensaje vaya de origen y a destinos auténticos.
La identificación de usuarios asegura que quien se comunica es quien creeque es. contraseñas, certificados digitales, tarjetas inteligentes ybiométricas establecen la identidad del otro extremo.
8/18/2019 Modulo 6 VPN Ipsec
36/52
RAUL BAREÑO GUTIERREZ 36
Tunneling de la VPN (encapsulación)
Tunneling encapsula un paquete entero dentro de otro y envía el nuevo
paquete compuesto.
PPP transmite el mensaje al dispositivo VPN, este se encapsula dentro de unpaquete de Encapsulamiento de enrutamiento genérico (GRE).
GRE protocolo de tunneling de Cisco puede encapsular una amplia variedadde tipos de paquetes de protocolo dentro de túneles IP. (IPSEC es el estándar)
8/18/2019 Modulo 6 VPN Ipsec
37/52
RAUL BAREÑO GUTIERREZ 37
Integridad de datos de la VPN
Encriptar es tomar los datos y hacerlos ilegibles para receptores no autorizados.
El emisor y receptor conocen las reglas para transformar el mensaje originalen la versión codificada.
Las reglas incluyen un algoritmo y una clave. algoritmo es una función
matemática combina mensaje, texto, dígitos o los tres con una clave.
El resultado es una cadena de cifrado ilegible.
8/18/2019 Modulo 6 VPN Ipsec
38/52
RAUL BAREÑO GUTIERREZ 38
Integridad de datos de la VPN
La seguridad del algoritmo de encriptamiento la da la longitud de la clave. Si
es muy corta, fácil romperla; pero, fácil pasar el mensaje.
Algoritmos encriptamiento: 1. Estándar de cifrado de datos (DES): IBM, clave 56bits. Simétrico.
2. Triple DES (3DES): encripta con una clave, descifra con otra y realiza la
encriptación por última vez con otra. Simétrico
3. Estándar de encriptación avanzada (AES): más seguro que DES y eficaz encálculo que 3DES. Claves 128, 192 y 256 bits. Simétrico
4. Rivest, Shamir y Adleman (RSA): Asimétrico. Claves 512, 768, 1024 o mas.
8/18/2019 Modulo 6 VPN Ipsec
39/52
RAUL BAREÑO GUTIERREZ 39
Encriptación simétrica
DES y 3DES una clave secreta compartida realiza la encriptación y el
descifrado. Los dos equipos conocen la clave.
Se requiere el conocimiento de los equipos que se comunicarán para poder configurar la misma clave en cada uno.
¿Cómo el dispositivo de encriptación y de descifrado tienen la misma clave?Por correo electrónico, un mensajero o un correo para enviar las clavessecretas compartidas
8/18/2019 Modulo 6 VPN Ipsec
40/52
RAUL BAREÑO GUTIERREZ 40
Encriptación asimétrica
Utiliza diferentes claves para encriptar y descifrar.
Una clave encripta el mensaje y otra, descifra. El encriptamiento de clave pública combina una clave privada y una pública.
El receptor le da una clave pública a cualquier emisor .
El emisor utiliza una privada junto con la pública para encriptar ; comparte laclave pública con el receptor.
Para descifrar, el receptor utiliza la pública del emisor y su propia clave privada.
8/18/2019 Modulo 6 VPN Ipsec
41/52
RAUL BAREÑO GUTIERREZ 41
Integridad de los datos de la VPN
Los hashes ayudan a la autenticación y integridad, que no alteren losmensajes.
Un hash, (message digest), número generado a partir de un texto. El hash esmenor que el texto.
El emisor genera un hash del mensaje y lo envía junto con el mensaje. El receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje
recibido y compara los dos hashes. Si son iguales, la integridad no fueafectada.
8/18/2019 Modulo 6 VPN Ipsec
42/52
RAUL BAREÑO GUTIERREZ 42
Integridad de los datos de la VPN
Un código de autenticación de mensajes de hash (HMAC) es un algoritmoque garantiza la integridad del mensaje.
HMAC dos parámetros: un mensaje de entrada y una clave secreta sóloconocen el emisor y los receptores adecuados.
El emisor utiliza HMAC para producir un valor que condensa la secreta y elmensaje.
El código de autenticación se envía junto con el mensaje.
El receptor calcula el código del mensaje con la misma clave y la función HMACque utilizó el emisor y compara los resultados. Debe concordar.
La fuerza de HMAC depende de la fuerza criptográfica de hash en cuanto al
tamaño y a la calidad de la clave, y en el tamaño de la longitud del resultado dehash en bits.
8/18/2019 Modulo 6 VPN Ipsec
43/52
RAUL BAREÑO GUTIERREZ 43
Algoritmos HMAC
Message Digest 5 (MD5): clave secreta compartida 128 bits.
El mensaje y la clave se combinan y se ejecutan mediante el algoritmo dehash HMAC-MD5.
El resultado un hash de 128 bits. Se agrega al mensaje original y se envía alremoto.
Algoritmo de hash seguro 1 (SHA-1): clave secreta compartida 160 bits.
El mensaje y la clave se combinan y se ejecutan mediante el algoritmo dehash HMAC-SHA-1.
El resultado un hash de 160 bits. Se agrega al mensaje original y se envía al
remoto.
8/18/2019 Modulo 6 VPN Ipsec
44/52
RAUL BAREÑO GUTIERREZ 44
Autenticación de la VPN
Se autentica el dispositivo par antes de que la ruta se considere segura. dosmétodos:
Clave compartida previamente (PSK): clave secreta compartida utilizan uncanal seguro antes de ser utilizado. algoritmos simétricos. Una PSK seespecifica en cada par manualmente y se autentica al par.
Firma RSA: intercambia certificados digitales para autenticar los pares. El localderiva un hash y lo encripta con su clave privada.
El hash encriptado (firma digital) se adjunta al mensaje y se envía al remoto.
P t l d id d IPSEC
8/18/2019 Modulo 6 VPN Ipsec
45/52
RAUL BAREÑO GUTIERREZ 45
Protocolos de seguridad IPSECpara encapsulación
Protocolo para la seguridad de IP proporciona encriptamiento, integridad yautenticación. basado en algoritmos existentes.
Dos protocolos de estructura IPsec:
1. Encabezado de autenticación (AH): cuando no se requiere o no sepermite confidencialidad. (encriptamiento de los paquetes).
Proporciona autenticación y integridad para IP entre dos sistemas.
Solo, AH poca protección.
Junto con ESP brinda seguridad en el encriptamiento de datos y alerta contraalteraciones.
P t l d id d IP
8/18/2019 Modulo 6 VPN Ipsec
46/52
RAUL BAREÑO GUTIERREZ 46
Protocolos de seguridad IPsec
2. Contenido de seguridad encapsulado (ESP): da confidencialidad;
autenticación mediante la encriptación del paquete IP.
La encriptación oculta los datos y las identidades de origen y de destino.
ESP autentica el paquete IP interno y el encabezado ESP.
Tanto la encriptación como la autenticación son opcionales en ESP, debeseleccionar una como mínimo.
8/18/2019 Modulo 6 VPN Ipsec
47/52
RAUL BAREÑO GUTIERREZ 47
Estructura de IPsec
IPsec basado en algoritmos existentes.
DES: encripta y descifra los datos.
3DES: mejor encriptamiento que DES de 56 bits.
AES: rendimiento y encriptamiento mas fuerte y rápido según la clave utilizada.
MD5: autentica con una clave secreta compartida de 128 bits.
SHA-1: autentica con una clave secreta compartida de 160 bits.
DH; dos partes establecen una clave secreta mediante la encriptación y los
hash, como DES y MD5, sobre un canal no seguro.
E t t d IP
8/18/2019 Modulo 6 VPN Ipsec
48/52
RAUL BAREÑO GUTIERREZ 48
Estructura de IPsec
Cuatro apartados de estructura Ipsec deben completarse.
1. Si configura un Gateway de Ipsec: ESP o ESP con AH. 2. Un algoritmo de encriptación: DES, 3DES o AES.
3. La autenticación. para proporcionar integridad: MD5 o SHA.
4. Los algoritmos Diffie-Hellman (DH): los pares comparten información declave. DH1 o DH2.
Preguntas
8/18/2019 Modulo 6 VPN Ipsec
49/52
RAUL BAREÑO GUTIERREZ 49
Preguntas
8/18/2019 Modulo 6 VPN Ipsec
50/52
RAUL BAREÑO GUTIERREZ 50
Resumen
Requerimientos para prestar servicios a trabajadores a distancia son:
–Mantener la continuidad de las operaciones
–Prestar más servicios
–Tener acceso seguro y confiable a la información
–Rentabilidad –Escalabilidad
Componentes necesarios para que un trabajador a distancia se conecte ala red de una organización son:
–Componentes en el hogar
–Componentes corporativos
R
8/18/2019 Modulo 6 VPN Ipsec
51/52
RAUL BAREÑO GUTIERREZ 51
Resumen
Seguridad de VPN se logra por medio de: Técnicas avanzadas de encriptación
•Tunelización• Características de una VPN segura: Confidencialidad
Integridad
Autenticación
Servicios de Banda ancha: Cable: Transmite la señal en cualquier dirección de manera simultánea
DSL: Ofrece tasas elevadas de datos de ancho de banda a los clientes
Inalámbrica: Aumenta la movilidad
Disponibilidad inalámbrica mediante: Wi-Fi municipal
WiMax
Internet satelital
8/18/2019 Modulo 6 VPN Ipsec
52/52