Modulo 6 VPN Ipsec

Embed Size (px)

Citation preview

  • 8/18/2019 Modulo 6 VPN Ipsec

    1/52

    RAUL BAREÑO GUTIERREZ   1

    Servicios a trabajadores a

    distancia

    RAUL BAREÑO GUTIERREZ

  • 8/18/2019 Modulo 6 VPN Ipsec

    2/52

    RAUL BAREÑO GUTIERREZ   2

    Objetivos

      Describir los requerimientos empresariales para prestar servicios paratrabajadores a distancia

      Diferencias entre la infraestructura de red publica y privada

      Explicar cómo los servicios de banda ancha extienden las redesempresariales, incluso DSL, cable y conexiones inalámbricas

      Describir cómo   la tecnología VPN   presta servicios seguros paratrabajadores a distancia en una configuración empresarial

  • 8/18/2019 Modulo 6 VPN Ipsec

    3/52

    RAUL BAREÑO GUTIERREZ   3

    Introducción

     Trabajo a distancia es trabajar lejos de un lugar de trabajo tradicional,como una oficina doméstica.

      Las oportunidades que se otorgan a los empleados con lesiones de seguir 

    trabajando durante los períodos de convalecencia.

      Trabajo a distancia hace referencia a realizar un trabajo mediante laconexión al lugar de trabajo desde una ubicación remota, con laayuda de las telecomunicaciones.

     Trabajar a distancia es posible debido a conexiones de Internet de bandaancha, redes privadas virtuales (VPN) y tecnologías más avanzadas

  • 8/18/2019 Modulo 6 VPN Ipsec

    4/52

    RAUL BAREÑO GUTIERREZ   4

    Beneficios del trabajador a distancia

     Topología del trabajador a distancia: Las empresas necesitan redes seguras,confiables y rentables para conectar sedes, sucursales, proveedores y oficinasdomésticas (SOHO)

  • 8/18/2019 Modulo 6 VPN Ipsec

    5/52

    RAUL BAREÑO GUTIERREZ   5

    Tecnologías del trabajador a distancia

     1. Tecnologías de Capa 2 de WAN privada: FR, ATM y líneas alquiladas. La

    seguridad depende del ISP.   2. Las (VPN) con IPSec: conectividad flexible y escalable.

      3. Las conexiones de sitio a sitio:   confiable, rápida y segura. la masutilizada, combinada con el acceso remoto por  banda ancha, se obtiene unaVPN segura a través de Internet pública.

      Un medio menos confiable que usa Internet es el acceso telefónico.

  • 8/18/2019 Modulo 6 VPN Ipsec

    6/52

    RAUL BAREÑO GUTIERREZ   6

    Tecnologías del trabajador a distancia

     Banda ancha: son sistemas de comunicaciones que transmiten servicios de altavelocidad datos, voz y video, por Internet y otras redes.

      La línea de suscriptor digital (DSL) la fibra, el cable coaxial, la tecnologíainalámbrica y de satélite.

      Las velocidades, superan 200 Kbps, en una dirección: descendente oascendente.

  • 8/18/2019 Modulo 6 VPN Ipsec

    7/52RAUL BAREÑO GUTIERREZ   7

    La solución del trabajador a distancia

     Necesita dos conjuntos: componentes en la oficina doméstica y componentes

    corporativos. A futuro VoIP.

     De la oficina doméstica: un PC, acceso a banda ancha, un router VPN o SWcliente VPN en el PC. se podría incluir un AP.

      Corporativos:   routers,  concentradores VPN, aplicaciones de seguridad con,autenticación y dispositivos de administración central para la unificación y laterminación flexibles de las conexiones VPN.

  • 8/18/2019 Modulo 6 VPN Ipsec

    8/52RAUL BAREÑO GUTIERREZ   8

    La solución del trabajador a distancia

      VPN es una red privada virtual que usa la infraestructura pública de

    telecomunicaciones.  mantiene la privacidad por  un protocolo de tunneling yprocedimientos de seguridad.

     El protocolo IPSec (Seguridad IP) construye túneles VPN seguros.

      IPSec funciona en la capa de red.

  • 8/18/2019 Modulo 6 VPN Ipsec

    9/52RAUL BAREÑO GUTIERREZ   9

    Conexión a la WAN del trabajador a distancia

     Cable modem, DSL y acceso inalámbrico de banda ancha  tres opciones

    que proporcionan ancho de banda elevado.

     1. Acceso dial-up: económica por  línea telefónica y un módem. Muy lenta,se utiliza donde no hay mas  (56 Kbps). Una conexión dial-up por módemancho de banda bajo.

     2. DSL: más costoso, rápida. Por  líneas telefónicas con conexión continuaa Internet.   un módem especial   separa la señal de voz de la de datosEthernet. 200 kbps y mas. Depende de la distancia.

  • 8/18/2019 Modulo 6 VPN Ipsec

    10/52RAUL BAREÑO GUTIERREZ   10

    Conexión a la WAN del trabajador a distancia

     3. Módem por cable: ISP de T.V por cable. cable coaxial. Un módem separala señal de datos de las otras. 200 kbps y mas. Servicio compartido

     4. Satélite:   ISP satelitales. El PC se conecta a través de Ethernet a unmódem satelital que transmite señales de radio al punto de presencia (POP)más cercano dentro de la red satelital. Entre 128 y 512 kbps

  • 8/18/2019 Modulo 6 VPN Ipsec

    11/52RAUL BAREÑO GUTIERREZ   11

    Cable modem

     Un cable coaxial transporta señales de radiofrecuencia (RF).

      Antenas recopilan señales. Antes   sistemas unidireccionales, conamplificadores en serie a lo largo de la red.

      Hoy los sistemas son bidireccional entre el abonado y el ISP.

      ISP da servicios a clientes; Internet de alta velocidad, T.V digital y telefonía.

     ISP implementan redes de fibra coaxial híbrida (HFC) transmiten datos a altavelocidad a los módems ubicados en pequeñas oficinas y oficinas domésticas.

  • 8/18/2019 Modulo 6 VPN Ipsec

    12/52RAUL BAREÑO GUTIERREZ   12

    Cable modem

      El espectro electromagnético incluye un amplio rango de frecuencias.

     Frecuencia:   velocidad a la cual ocurren los ciclos de corriente (o voltaje),cantidad de "ondas" por segundo.

     Longitud de onda: velocidad de la señal /en su frecuencia en ciclos/seg.

     Las ondas de radio, o RF, son parte del espectro entre 1 kilohercio (kHz) a 1terahercio,

      Frecuencias diferentes llevan datos y canales de T.V.

     En el suscriptor, T.V, VDR y decodificadores. sintonizan ciertas frecuencias quele permiten al usuario ver el canal o, si usa un módem, recibir Internet.

  • 8/18/2019 Modulo 6 VPN Ipsec

    13/52RAUL BAREÑO GUTIERREZ   13

    Cable modem

     Descendente:   del origen (cabecera) al destino (suscriptor).   ruta de envío.

    Frecuencias rango de 50 a 860 (MHz).

     Ascendente:  del suscriptor hacia la cabecera.  Frecuencias rango de 5 a 42MHz.

  • 8/18/2019 Modulo 6 VPN Ipsec

    14/52RAUL BAREÑO GUTIERREZ   14

    Cable modem

     Requiere dos equipos: Sistema de terminación de módems de cable (CMTS)

    en la cabecera del ISP  Módem por cable (CM) en el extremo del suscriptor 

     Un CMTS se comunica con CM.  La cabecera es, un router   con BD paraproporcionar servicios de Internet.

     Una red HFC,  conecta entre 500 y 2000 suscriptores a un segmento. todos

    comparten el ancho de banda.  El ancho de banda real para internet es hasta 27 Mbps de descarga y 2.5 Mbps

    de carga.

      Un cliente puede obtener una velocidad de acceso de 256 kbps a 6 Mbps.

  • 8/18/2019 Modulo 6 VPN Ipsec

    15/52RAUL BAREÑO GUTIERREZ   15

    Cable modem

     Si hay congestión, puede agregar ancho de banda adicional con un canal de

    T.V. para datos.

     Otra;   reducir la cantidad de suscriptores a los que cada segmento de redpresta servicios.   Se subdivide aún más la red mediante la colocación deconexiones de fibra óptica más cerca y dentro de los barrios.

  • 8/18/2019 Modulo 6 VPN Ipsec

    16/52RAUL BAREÑO GUTIERREZ   16

    DOCSIS

     Especificación sobre interfaz del servicio de datos por cable. estándar de

    CableLabs, prueba y certifica dispositivos, CM, y los CMTS, certifica DOCSIS.

      ISP usan DOCSIS para acceso a Internet por fibra coaxial híbrida (HFC).

      Especifica requisitos de Capa 1 y 2 de OSI:

     Capa 1:   las señales de datos que el ISP puede usar, especifica anchos decanales (anchos de banda por canal) de 200, 400, 800 kHz, 1.6, 3.2 y 6,4 MHz.Tambien especifica las técnicas de modulación.

      Capa Mac:   método de acceso determinista,   acceso múltiple por divisióntemporal (TDMA) o el método de acceso múltiple por división de código síncrono(S-CDMA). S-CDMA es seguro y extremadamente resistente al ruido.

  • 8/18/2019 Modulo 6 VPN Ipsec

    17/52RAUL BAREÑO GUTIERREZ   17

    DOCSIS

      Las bandas de frecuencias difieren entre los sistemas europeos y U.S.A.

     Euro-DOCSIS en Europa.

      Diferencias de DOCSIS y Euro-DOCSIS es el ancho de banda del canal.

     Estándares de T.V: NTSC en U.S.A y partes de Japón.

      PAL en la mayor parte de Europa, Asia, África, Australia, Brasil y Argentina;

     SECAM en Francia y algunos países de Europa del Este.

  • 8/18/2019 Modulo 6 VPN Ipsec

    18/52RAUL BAREÑO GUTIERREZ   18

    DSL

      Conexiones de alta velocidad por  cable de cobre.

     La voz ancho de banda 300 Hz a 3.2 kHz. después DSL hasta 1 MHz en bandaancha.

     Asimétrica (ADSL): un ancho de banda para subir y otro para bajar. frecuenciasde 20 kHz a 1 MHz

     Simétrica (SDSL): la misma capacidad en ambas direcciones.

      DSL diferentes anchos de banda, exceden a las líneas alquilada T1 o E1.

      La velocidad depende de la longitud del bucle local, tipo, y condición del cableado.

  • 8/18/2019 Modulo 6 VPN Ipsec

    19/52RAUL BAREÑO GUTIERREZ   19

    DSL

      El bucle local menor a 5,5 kilómetros (3,5 millas).

      Los ISP la usan en el último paso de una red telefónica local, bucle local oúltima milla.

     Se instala entre un par de módems en el extremo de un cable de cobre entre elequipo local del cliente (CPE) y el multiplexor de acceso DSL (DSLAM).

      DSLAM dispositivo ubicado en la (CO) concentra las conexiones de lossuscriptores DSL.

     Dos componentes: el transceptor DSL y el DSLAM

     1. Transceptor : conecta el PC con el DSL. es un módem DSL conectado al PC

    por cable USB o Ethernet.

  • 8/18/2019 Modulo 6 VPN Ipsec

    20/52RAUL BAREÑO GUTIERREZ   20

    DSL

     2. DSLAM: combina conexiones DSL individuales de los usuarios en un enlace

    de alta capacidad al ISP y, por lo tanto, a Internet.

      La ventaja que tiene DSL sobre cable modem  no es un medio compartido.Un usuario tiene conexión directa al DSLAM. A mas usuarios no afecta elrendimiento.

  • 8/18/2019 Modulo 6 VPN Ipsec

    21/52RAUL BAREÑO GUTIERREZ   21

    DSL

      ADSL da voz y datos al mismo tiempo.

     Dos formas separan ADSL; la voz en el cliente:  un microfiltro o un divisor deseñal.

     Microfiltro: filtro pasa bajo con dos extremos. Uno conectado al teléfono y el otroal jack de pared. En el cliente.

     Los divisores de señal POTS  separan el tráfico DSL del POTS. dispositivopasivo. Si se va la luz, la voz aún se desplazaría a la OC.  se instalan en la OC y,a veces, en el cliente.

      El bucle local termina en las instalaciones del cliente en el punto dedemarcación. Es el dispositivo de interfaz de red (NID).

  • 8/18/2019 Modulo 6 VPN Ipsec

    22/52RAUL BAREÑO GUTIERREZ   22

    DSL

      Microfiltro:  el usuario puede instalarlos en cada teléfono, o instalarlos en lapared en vez de jacks de teléfono comunes.

      Divisor de señal:  se ubica entre el NID y el sistema interno de distribucióntelefónica. Un cable iría directamente al módem DSL y el otro transportaría laseñal DSL a los teléfonos.

  • 8/18/2019 Modulo 6 VPN Ipsec

    23/52RAUL BAREÑO GUTIERREZ   23

    Conexión inalámbrica

      Wi-Fi en oficinas pequeñas, domésticas, y en campus.

     Estándares 802.11, los datos por ondas de radio.

      Espectro de radio sin licencia. muy económica.

      Ventajas Wi-Fi. proporcionan movilidad. una mayor flexibilidad y productividad.

  • 8/18/2019 Modulo 6 VPN Ipsec

    24/52RAUL BAREÑO GUTIERREZ   24

    Conexión inalámbrica

     Antes un rango (menor a 30,5 metros) de un router inalámbrico o AP se une porcable a Internet.

      Un punto de conexión es el área cubierta por uno o más AP interconectados.la superposición de AP, cubren mayor distancia.

     Se usan topologías de malla en vez del modelo hub-and-spoke.

      Cada AP está dentro del rango y se comunica con al menos otros dos.   Una red en malla su instalación es más fácil y puede ser más económica

  • 8/18/2019 Modulo 6 VPN Ipsec

    25/52

    RAUL BAREÑO GUTIERREZ   25

    Conexión inalámbrica

     IEEE 802.11 para (WLAN), las bandas de uso público de 5 GHz y 2,4 GHz.

      Wi-Fi es una certificación de la industria basada en 802.11.   802.11 haalcanzado y superado a Wi-Fi.

     Protocolos IEEE 802.11b y g.  Los mas utilizados

      802.11n: propuesta basada 802.11. utiliza la incorporación de entrada múltiple,salida múltiple (MIMO).

     802.16 (WiMAX)   transmisiones de hasta 70 Mbps y hasta 50 km (30 millas).Puede funcionar en bandas con licencia o sin licencia del espectro desde 2hasta 6 GHz.

  • 8/18/2019 Modulo 6 VPN Ipsec

    26/52

    RAUL BAREÑO GUTIERREZ   26

    WIMAX   Interoperatividad mundial para el acceso por microondas   IEEE 802.16

    grandes distancias, en enlaces punto a punto hasta acceso completo tipocelular. Velocidades mayores, y mas usuarios que Wi-Fi.

     Dos componentes: 1. Una torre: brinda cobertura a 75  kms” cuadrados, o 3000millas”.

     2. Un receptor  es una tarjeta PCMCIA se incorpora a un PC o a otro dispositivo

    inalámbrico.  Una estación se conecta a Internet  (línea T3).  Una torre puede conectarse a

    otras por microondas con línea de vista. cobertura a áreas rurales.

  • 8/18/2019 Modulo 6 VPN Ipsec

    27/52

    RAUL BAREÑO GUTIERREZ   27

    Satelital

     En lugares no disponibles al acceso terrestre o en instalaciones en continuo

    movimiento. para barcos, aviones y vehículos en tierra.

      Tres formas:  multicast unidireccional, retorno terrestre unidireccional ybidireccional.

      1. El sistema satelital multicast unidireccional distribución de video, audio ydatos en IP multicast .

     Internet y las páginas se envían a una BD local y luego a los sitios del usuario

    final. No hay interactividad total.

     2. Retorno terrestre unidireccional:  acceso dial-up para enviar datos por unmódem o recibir descargas desde el satélite.

  • 8/18/2019 Modulo 6 VPN Ipsec

    28/52

    RAUL BAREÑO GUTIERREZ   28

    Internet satelital

     3. Los sistemas bidireccional: envían datos desde sitios remotos por satélite

    a un hub, luego envía los datos a Internet. antenas con ubicación precisa.

      Velocidades de carga son 1/10 de las de descarga, un rango de 500 kbps.

      Usa multicast IP, permite al satélite brindar servicios a 5000 canales decomunicación simultáneos.

     IP Multicast envía datos desde un punto a varios al mismo tiempo en formatocomprimido. Comprimir reduce el tamaño y el ancho de banda.

  • 8/18/2019 Modulo 6 VPN Ipsec

    29/52

    RAUL BAREÑO GUTIERREZ   29

    Tecnología VPN

      Internet una red IP pública; y se interconectan sitios remotos.

      VPN permite a las empresas crear una VPN en Internet y mantienen laconfidencialidad y la seguridad. El tráfico está encriptado.

     VPN usa conexiones virtuales que se enrutan a través de Internet.

      La escalabilidad es una ventaja. la ubicación poca importa en una VPN.

  • 8/18/2019 Modulo 6 VPN Ipsec

    30/52

    RAUL BAREÑO GUTIERREZ   30

    Beneficios de la tecnología VPN

      Aumenta la flexibilidad y la productividad.

      Económicos: usa transporte de Internet de terceros y económicos para conectar oficinas y usuarios a la principal. La banda ancha, y las VPN reducen los costos delas conexiones.

      Seguridad: protocolos de autenticación y encriptación protegen los datos.

      Escalabilidad: es más fácil para las empresas agregar usuarios nuevos

  • 8/18/2019 Modulo 6 VPN Ipsec

    31/52

    RAUL BAREÑO GUTIERREZ   31

    Tipos de VPN

     1. De sitio a sitio: conecta ubicaciones remotas. intranets y extranets.

      Es una extensión de una WAN. conectan redes enteras entre ellas.

     Los hosts se conectan a un gateway VPN,  es un router, una aplicaciónfirewall PIX o una aplicación de seguridad adaptable (ASA).

      El gateway VPN encapsula y encripta tráfico saliente de un sitio por un túnelVPN a un gateway VPN par.

     Este elimina los encabezados, descifra el contenido y retransmite el paquetehacia el host dentro de su red privada.

  • 8/18/2019 Modulo 6 VPN Ipsec

    32/52

    RAUL BAREÑO GUTIERREZ   32

    Tipos de VPN

     2. de acceso remoto:  para usuarios móviles. Por banda ancha. un empleado

    móvil realiza una llamada local a un ISP para accesar a Internet.

     El host tiene software cliente de VPN. el SW cliente encapsula y encripta eltráfico antes del envío.

  • 8/18/2019 Modulo 6 VPN Ipsec

    33/52

    RAUL BAREÑO GUTIERREZ   33

    Componentes de la VPN

     Las VPN usan protocolos de tunneling criptográficos para brindar proteccióncontra detectores de paquetes, autenticación e integración de mensajes.

      1. Una red con servidores y PC

      2. Una conexión a Internet

      3. Gateways VPN:   routers, firewalls, concentradores VPN y ASA, en losextremos para establecer, administrar y controlar las conexiones VPN

     4. Software adecuado para crear y administrar túneles VPN.

  • 8/18/2019 Modulo 6 VPN Ipsec

    34/52

    RAUL BAREÑO GUTIERREZ   34

    Componentes de la VPN

     VPN es seguridad.  protegen los datos por  encapsulación o encriptación. las

    VPN hacen las dos cosas.

      Encapsulación (se denomina tunneling), transmite datos de maneratransparente de red a red a través de una infraestructura de red compartida.

     Encriptación codifica datos en un formato diferente por una clave secreta.

      La decodificación vuelve los datos encriptados al formato original sin encriptar.

  • 8/18/2019 Modulo 6 VPN Ipsec

    35/52

    RAUL BAREÑO GUTIERREZ   35

    Características de las VPN

     1. Confidencialidad de datos: protege los mensajes contra la interceptación. Lohace la encapsulación y encriptación.

     2. Integridad: los datos puede que hayan sido modificados. garantiza que no secambien, ni alteren mientras viajan por la red. Usan hashes para integridad.

     3. Autenticación: garantiza el mensaje vaya de origen y a destinos auténticos.

     La identificación de usuarios asegura que quien se comunica es quien creeque es.   contraseñas, certificados digitales, tarjetas inteligentes ybiométricas establecen la identidad del otro extremo.

  • 8/18/2019 Modulo 6 VPN Ipsec

    36/52

    RAUL BAREÑO GUTIERREZ   36

    Tunneling de la VPN (encapsulación)

     Tunneling encapsula un paquete entero dentro de otro y envía el nuevo

    paquete compuesto.

     PPP transmite el mensaje al dispositivo VPN, este se encapsula dentro de unpaquete de Encapsulamiento de enrutamiento genérico (GRE).

      GRE protocolo de tunneling de Cisco puede encapsular una amplia variedadde tipos de paquetes de protocolo dentro de túneles IP. (IPSEC es el estándar)

  • 8/18/2019 Modulo 6 VPN Ipsec

    37/52

    RAUL BAREÑO GUTIERREZ   37

    Integridad de datos de la VPN

      Encriptar es tomar los datos y hacerlos ilegibles para receptores no autorizados.

      El emisor y receptor conocen las reglas para transformar el mensaje originalen la versión codificada.

     Las reglas incluyen un algoritmo y una clave.   algoritmo es una función

    matemática combina mensaje, texto, dígitos o los tres con una clave.

      El resultado es una cadena de cifrado ilegible.

  • 8/18/2019 Modulo 6 VPN Ipsec

    38/52

    RAUL BAREÑO GUTIERREZ   38

    Integridad de datos de la VPN

     La seguridad del algoritmo de encriptamiento la da la longitud de la clave.  Si

    es muy corta, fácil romperla; pero, fácil pasar el mensaje.

     Algoritmos encriptamiento: 1. Estándar de cifrado de datos (DES): IBM, clave 56bits. Simétrico.

     2. Triple DES (3DES):  encripta con una clave, descifra con otra y realiza la

    encriptación por última vez con otra. Simétrico

     3. Estándar de encriptación avanzada (AES): más seguro que DES y eficaz encálculo que 3DES. Claves 128, 192 y 256 bits. Simétrico

      4. Rivest, Shamir y Adleman (RSA): Asimétrico. Claves 512, 768, 1024 o mas.

  • 8/18/2019 Modulo 6 VPN Ipsec

    39/52

    RAUL BAREÑO GUTIERREZ   39

    Encriptación simétrica

     DES y 3DES una clave secreta compartida realiza la encriptación y el

    descifrado. Los dos equipos conocen la clave.

     Se requiere el conocimiento de los equipos que se comunicarán para poder configurar la misma clave en cada uno.

      ¿Cómo el dispositivo de encriptación y de descifrado tienen la misma clave?Por correo electrónico, un mensajero o un correo para enviar las clavessecretas compartidas

  • 8/18/2019 Modulo 6 VPN Ipsec

    40/52

    RAUL BAREÑO GUTIERREZ   40

    Encriptación asimétrica

     Utiliza diferentes claves para encriptar y descifrar.

      Una clave encripta el mensaje y otra, descifra.   El encriptamiento de clave pública combina una clave privada y una pública.

      El receptor le da una clave pública a cualquier emisor .

     El emisor utiliza una privada junto con la pública para encriptar ; comparte laclave pública con el receptor.

      Para descifrar, el receptor utiliza la pública del emisor y su propia clave privada.

  • 8/18/2019 Modulo 6 VPN Ipsec

    41/52

    RAUL BAREÑO GUTIERREZ   41

    Integridad de los datos de la VPN

      Los hashes ayudan a la autenticación y integridad,   que no alteren losmensajes.

      Un hash, (message digest), número generado a partir de un texto. El hash esmenor que el texto.

      El emisor genera un hash del mensaje y lo envía junto con el mensaje.   El receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje

    recibido y compara los dos hashes.   Si son iguales, la integridad no fueafectada.

  • 8/18/2019 Modulo 6 VPN Ipsec

    42/52

    RAUL BAREÑO GUTIERREZ   42

    Integridad de los datos de la VPN

     Un código de autenticación de mensajes de hash (HMAC)  es un algoritmoque garantiza la integridad del mensaje.

     HMAC dos parámetros: un mensaje de entrada y una clave secreta sóloconocen el emisor y los receptores adecuados.

     El emisor utiliza HMAC para producir un valor que condensa la secreta y elmensaje.

      El código de autenticación se envía junto con el mensaje.

      El receptor calcula el código del mensaje con la misma clave y la función HMACque utilizó el emisor y compara los resultados. Debe concordar.

     La fuerza de HMAC depende de la fuerza criptográfica de hash en cuanto al

    tamaño y a la calidad de la clave, y en el tamaño de la longitud del resultado dehash en bits.

  • 8/18/2019 Modulo 6 VPN Ipsec

    43/52

    RAUL BAREÑO GUTIERREZ   43

    Algoritmos HMAC

     Message Digest 5 (MD5): clave secreta compartida 128 bits.

     El mensaje y la clave se combinan y se ejecutan mediante el algoritmo dehash HMAC-MD5.

      El resultado un hash de 128 bits. Se agrega al mensaje original y se envía alremoto.

      Algoritmo de hash seguro 1 (SHA-1): clave secreta compartida 160 bits.

     El mensaje y la clave se combinan y se ejecutan mediante el algoritmo dehash HMAC-SHA-1.

      El resultado un hash de 160 bits. Se agrega al mensaje original y se envía al

    remoto.

  • 8/18/2019 Modulo 6 VPN Ipsec

    44/52

    RAUL BAREÑO GUTIERREZ   44

    Autenticación de la VPN

     Se autentica el dispositivo par antes de que la ruta se considere segura. dosmétodos:

     Clave compartida previamente (PSK):  clave secreta compartida utilizan uncanal seguro antes de ser utilizado. algoritmos simétricos. Una PSK seespecifica en cada par manualmente y se autentica al par.

     Firma RSA: intercambia certificados digitales para autenticar los pares. El localderiva un hash y lo encripta con su clave privada.

      El hash encriptado (firma digital) se adjunta al mensaje y se envía al remoto.

    P t l d id d IPSEC

  • 8/18/2019 Modulo 6 VPN Ipsec

    45/52

    RAUL BAREÑO GUTIERREZ   45

    Protocolos de seguridad IPSECpara encapsulación

     Protocolo para la seguridad de IP  proporciona encriptamiento, integridad yautenticación. basado en algoritmos existentes.

      Dos protocolos de estructura IPsec:

      1. Encabezado de autenticación (AH):   cuando   no se requiere o no sepermite confidencialidad. (encriptamiento de los paquetes).

     Proporciona autenticación y integridad para IP entre dos sistemas.

     Solo, AH poca protección.

     Junto con ESP brinda seguridad en el encriptamiento de datos y alerta contraalteraciones.

    P t l d id d IP

  • 8/18/2019 Modulo 6 VPN Ipsec

    46/52

    RAUL BAREÑO GUTIERREZ   46

    Protocolos de seguridad IPsec

      2. Contenido de seguridad encapsulado (ESP):   da confidencialidad;

    autenticación mediante la encriptación del paquete IP.

      La encriptación oculta los datos y las identidades de origen y de destino.

      ESP autentica el paquete IP interno y el encabezado ESP.

      Tanto la encriptación como la autenticación son opcionales en ESP, debeseleccionar una como mínimo.

  • 8/18/2019 Modulo 6 VPN Ipsec

    47/52

    RAUL BAREÑO GUTIERREZ   47

    Estructura de IPsec

      IPsec basado en algoritmos existentes.

      DES: encripta y descifra los datos.

      3DES: mejor encriptamiento que DES de 56 bits.

      AES: rendimiento y encriptamiento mas fuerte y rápido según la clave utilizada.

      MD5: autentica con una clave secreta compartida de 128 bits.

      SHA-1: autentica con una clave secreta compartida de 160 bits.

      DH;  dos partes establecen una clave secreta mediante la encriptación y los

    hash, como DES y MD5, sobre un canal no seguro.

    E t t d IP

  • 8/18/2019 Modulo 6 VPN Ipsec

    48/52

    RAUL BAREÑO GUTIERREZ   48

    Estructura de IPsec

      Cuatro apartados de estructura Ipsec deben completarse.

      1. Si configura un Gateway de Ipsec: ESP o ESP con AH.   2. Un algoritmo de encriptación: DES, 3DES o AES.

      3. La autenticación. para proporcionar integridad: MD5 o SHA.

      4. Los algoritmos Diffie-Hellman (DH):   los pares comparten información declave. DH1 o DH2.

    Preguntas

  • 8/18/2019 Modulo 6 VPN Ipsec

    49/52

    RAUL BAREÑO GUTIERREZ   49

    Preguntas

  • 8/18/2019 Modulo 6 VPN Ipsec

    50/52

    RAUL BAREÑO GUTIERREZ   50

    Resumen

      Requerimientos para prestar servicios a trabajadores a distancia son:

     –Mantener la continuidad de las operaciones

     –Prestar más servicios

     –Tener acceso seguro y confiable a la información

     –Rentabilidad –Escalabilidad

      Componentes necesarios para que un trabajador a distancia se conecte ala red de una organización son:

     –Componentes en el hogar 

     –Componentes corporativos

    R

  • 8/18/2019 Modulo 6 VPN Ipsec

    51/52

    RAUL BAREÑO GUTIERREZ   51

    Resumen

      Seguridad de VPN se logra por medio de: Técnicas avanzadas de encriptación

    •Tunelización• Características de una VPN segura: Confidencialidad

    Integridad

    Autenticación

      Servicios de Banda ancha:   Cable: Transmite la señal en cualquier dirección de manera simultánea

      DSL: Ofrece tasas elevadas de datos de ancho de banda a los clientes

      Inalámbrica:  Aumenta la movilidad

      Disponibilidad inalámbrica mediante:  Wi-Fi municipal

      WiMax

      Internet satelital

  • 8/18/2019 Modulo 6 VPN Ipsec

    52/52