VPNs (Redes Privadas Virtuales)

VPNs Redes Privadas Virtuales

MAURICIO ALEXANDER CENDALES LARA

Que es VPN?

Es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

Existen 2 tipos de VPN, las cuales vamos a recalcar en esta exposición, estos tipos son:

VPN de sitio a sitio

VPN de acceso remoto.

Tipos de VPN

En una VPN de sitio a sitio, los hosts envían y reciben

tráfico TCP/IP a través de un gateway VPN, el cual podría ser un router, una aplicación firewall PIX (Private Internet Exchange) o una aplicación de seguridad adaptable (ASA Adaptive Security Appliances). El gateway VPN es responsable de la encapsulación y cifrado del tráfico saliente para todo el tráfico desde un sitio particular y de su envío a través de un túnel VPN por Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados, descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada.

VPN de Site to Site

Una VPN de sitio a sitio es una extensión de una networking WAN clásica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa.

VPN de sitio a sitio

Los usuarios móviles y trabajadores a distancia usan

mucho las VPN de acceso remoto. En el pasado, las empresas admitían usuarios remotos con redes dial-up. En general, esto implicaba una llamada de larga distancia y los costos correspondientes para lograr el acceso a la empresa.

En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el host intenta enviar tráfico, el software cliente de VPN encapsula y encripta ese tráfico antes del envío a través de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN maneja los datos de la misma manera en que lo haría con los datos de una VPN de sitio a sitio.

VPN de Acceso remoto…

VPN de Acceso remoto…

Los componentes necesarios para establecer esta VPN incluyen lo siguiente:

Una red existente con servidores y estaciones de trabajo

Una conexión a Internet Gateways VPN, como routers, firewalls, concentradores

VPN y ASA, que actúan como extremos para establecer, administrar y controlar las conexiones VPN

Software adecuado para crear y administrar túneles VPN

Componentes VPN

La clave de la eficacia de la VPN es la seguridad. Las VPN

protegen los datos mediante encapsulación y encriptación. La mayoría de las VPN puede hacer las dos cosas.

La encapsulación también se denomina tunneling, porque transmite datos de manera transparente de red a red a través de una infraestructura de red compartida utilizando algoritmos asimétricos.

La encriptación codifica los datos en un formato diferente mediante una clave secreta. La decodificación vuelve los datos encriptados al formato original sin encriptar. Se utilizan algoritmos simétricos para cifrar estos datos, y normalmente cuando se utiliza fibra oscura no se encriptan los datos puesto que es un canal dedicado que no sale a internet.

Componentes VPN

Esquema de una VPN

Las bases de una VPN segura son :

Confidencialidad de datos. Integridad de datos. Autenticación.

Características VPN Seguras…

Confidencialidad de datos: Una cuestión de seguridad que suele despertar

preocupación es la protección de datos contra personas que puedan ver o escuchar subrepticiamente información confidencial. La confidencialidad de datos, que es una función de diseño, tiene el objetivo de proteger los contenidos de los mensajes contra la intercepción de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulación y encriptación.


Integridad de datos: Los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como un checksum o un sello (pero más robusto) que garantiza que nadie haya leído el contenido y que este tampoco haya sido alterado.


Autenticación: La autenticación garantiza que el mensaje provenga de

un origen auténtico (en algunos casos que se aplique el no repudio) y se dirija a un destino auténtico definido, en otras palabras la autenticidad garantiza que la información recibida es de quien dice ser. La identificación de usuarios brinda al usuario la seguridad de que la persona con quien se comunica es quien cree que es. Las VPN pueden utilizar contraseñas, certificados digitales, tarjetas inteligentes y biométricas para establecer la identidad de las partes ubicadas en el otro extremo de la red.



Es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algún protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados.

El tunneling encapsula un paquete entero dentro de otro paquete y envía por una red el nuevo paquete compuesto.

En conclusión Tunneling consiste en encapsular un protocolo de red sobre otro protocolo.

Seguridad – tunneling…

Seguridad – tunneling…

. Esta figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.

Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de tráfico en escenarios IP Móvil

Frame Relay: Técnica de comunicación mediante retransmisión de tramas para redes de circuito virtual, Consiste en una forma simplificada de tecnología de conmutación de paquetes que transmite una variedad de tamaños de tramas o marcos (“frames”) de datos, es perfecto para la transmisión de grandes cantidades de datos. La técnica Frame Relay se utiliza para un servicio de transmisión de voz y datos a alta velocidad que permite la interconexión de redes de área local separadas geográficamente a un coste menor. En la actualidad es una tecnología que está siendo desplazada por las VPNs

ATM (Asynchronous Transfer Mode): Tecnología de telecomunicación desarrollada para hacer frente a la gran demanda de capacidad de transmisión para servicios y aplicaciones.

MPLS (Multiprotocol Label Switching): Conmutación Multiprotocolo mediante etiquetas, es un mecanismo de transporte de datos estándar. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de voz y de paquetes IP

Protocolos de Tuneling

(Portadores)


(Encapsulación) GRE: (Generic Routing Encapsulation): es un protocolo para el establecimiento de túneles a través de Internet, pudiendo transportar hasta 20 protocolos de red distintos, Permite emplear protocolos de encaminamiento

especializados que obtengan el camino óptimo entre los extremos de la comunicación.

Soporta la secuencialidad de paquetes y la creación de túneles sobre redes de alta velocidad.

Permite establecer políticas de encaminamiento y seguridad.

PPTP (Point to Point Tunneling Protocol): Es un protocolo de comunicaciones desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics, para implementar redes privadas virtuales o VPN. Permite el seguro intercambio de datos de un cliente a un servidor

formando una Red Privada Virtual Soporta una infraestructura de área de trabajo bajo la suite de

protocolos TCP/IP (Internet). Esta habilidad permitirá a una compañía usar Internet para establecer una red privada virtual (VPN) sin el gasto de una línea alquilada.

Soporta Autenticación Tacacs (acrónimo de Terminal Access Controller Access Control System , en inglés ‘sistema de control de acceso mediante control del acceso desde terminales’ es propietario de Cisco) o Radius (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red

No soportaba trabajar con diferentes tecnologías de red como ATM o FrameRelay.


(Encapsulación)


(Encapsulación)L2F (Layer 2 Forwarding): Se creó en las primeras etapas del desarrollo de las red privada virtual. Como PPTP, L2F fue diseñado por Cisco para

establecer túneles de tráfico desde usuarios remotos hasta sus sedes corporativas.

No es un protocolo confiable porque es menos seguro. La principal diferencia entre PPTP y L2F es que, como

el establecimiento de túneles de L2F no depende del protocolo IP (Internet Protocol), es capaz de trabajar directamente con otros medios, como Frame Relay o ATM de Laboratorios Bell en los Años 60.


(Encapsulación)L2TP (Layer 2 Tunneling Protocol): Fue diseñado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Toma lo mejor de los protocolos PPTP y L2F y se establecerse como un

estándar aprobado por el IETF Internet Engineering Task Force (en español Grupo Especial sobre Ingeniería de Internet ) (RFC 2661).

Utiliza PPP para proporcionar acceso telefónico que puede ser dirigido a través de un túnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de túneles, basado en L2F. El transporte de L2TP está definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM.

Utiliza PPP para el establecimiento enlaces, incluye los mecanismos de autenticación de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilización de estos protocolos de autenticación, como RADIUS.

A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y acceso a redes de área local remotas, no presenta unas características criptográficas especialmente robustas.


(Encapsulación)IPsec (Internet Protocol security): Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de

cifrado HMAC (hash, message authentication code) - SHA-1 (Security Hash Algorithm) para protección de integridad, y Triple DES (Data Encription Standard) -CBC (Cipher-block chaining, modo de cifrado por bloques) y AES-CBC (Advanced Encryption Standard) para confidencialidad.

Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI.

Otros protocolos de seguridad para Internet de uso extendido, como SSL (secure sockets layer-protocolo de capa de conexión segura), TLS(transport layer security) y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP.

Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.


(Encapsulación)SSTP Secure Socket Tunneling Protocolol: Protocolo de túnel de sockets seguros (SSTP) es una forma de túnel VPN que proporciona un mecanismo para el transporte de PPP o L2TP a través de un tráfico en canales SSL 3.0. SSL ofrece transport-level security con key-negotiation, encriptación y

chequeo de detección de errores. El uso de SSL a través de TCP puerto 443 SSTP permite pasar por casi todos los firewalls y servidores proxy.

SSTP servidores deben ser autenticados en la fase de SSL. Los clientes SSTP opcionalmente se puede autenticar en la fase de SSL, y debe ser autenticada en la fase PPP. El uso de productos PPP permite el apoyo a métodos de autenticación común parles como PAP y CHAP.

SSTP sólo está disponible en Windows desde la versión de Windows Vista SP1 , y en RouterOS .

Está totalmente integrado con la arquitectura RRAS (Routing and Remote Access) en estos sistemas operativos, lo que permite su uso con Winlogon o de tarjetas inteligentes de autenticación, políticas de acceso remoto y el cliente VPN de Windows.

El grado de seguridad que proporciona un

algoritmo de encriptación depende de la longitud de la clave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las posibilidades de descifrar texto cifrado es una función de la potencia de cómputo del equipo. Por lo tanto, cuanto más corta sea la clave, más fácil será romperla; pero, a su vez, más fácil pasar el mensaje.

Algoritmos de encriptación de VPN…

Seguridad – Encapsulación…

Algunos de los algoritmos de encriptación más comunes y la longitud de claves que se utilizan son los siguientes:

Algoritmo Estándar de cifrado de datos (DES).

Algoritmo Triple DES (3DES). Estándar de encriptación avanzada

(AES). Rivest, Shamir y Adleman (RSA).


Encriptación VPN…

Algoritmo Estándar de cifrado de datos (DES):

DES, desarrollado por IBM, utiliza una clave de 56 bits para garantizar una encriptación de alto rendimiento. El DES es un sistema de encriptación de clave simétrica. Las claves simétricas y asimétricas se explican más adelante.

Algoritmo Triple DES (3DES): una variante más reciente del DES que realiza la encriptación con una clave, descifra con otra clave y realiza la encriptación por última vez con otra clave también diferente. 3DES le proporciona mucha más fuerza al proceso de encriptación, utiliza claves de 168 bits.


Estándar de encriptación avanzada (AES): el

Instituto Nacional de Normas y Tecnología (NIST) adoptó el AES para reemplazar la encriptación DES en los dispositivos criptográficos. AES proporciona más seguridad que DES y es más eficaz en cuanto a su cálculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256 bits.

Rivest, Shamir y Adleman (RSA): sistema de encriptación de clave asimétrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o superior.


Los algoritmos de encriptación como DES y 3DES

requieren que una clave secreta compartida realice la encriptación y el descifrado. Los dos equipos deben conocer la clave para codificar y decodificar la información. Con la encriptación de clave simétrica (clave secreta), cada equipo encripta la información antes de enviarla por la red al otro equipo. La encriptación de clave simétrica requiere el conocimiento de los equipos que se comunicarán para poder configurar la misma clave en cada uno.

Encriptación simétrica…

Por ejemplo, un emisor crea un mensaje codificado en el

cual cada letra se sustituye con la letra que se encuentra dos posiciones adelante en el alfabeto; "A" se convierte en "C" y "B" se convierte en "D" y así sucesivamente. En este caso, la palabra SECRETO se convierte en UGETGVQ. El emisor le ha informado al receptor que la clave secreta es "saltear 2". Cuando el receptor recibe el mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las dos letras anteriores a las del mensaje y llega al código SECRETO. Cualquier otra persona que vea el mensaje sólo verá el mensaje cifrado, que parece una frase sin sentido a menos que la persona conozca la clave secreta.

Encriptación simétrica…

La encriptación asimétrica utiliza diferentes

claves para la encriptación y el descifrado. El conocimiento de una de las claves no es suficiente para que un pirata informático deduzca la segunda clave y decodifique la información. Una clave realiza la encriptación del mensaje y otra, el descifrado. No es posible realizar ambos con la misma clave.

Encriptación asimétrica…

Encriptación asimétrica…

Los hashes contribuyen a la autenticación y la integridad de los datos, ya que garantizan que personas no autorizadas no alteren los mensajes transmitidos. Un hash, también denominado message digest, es un número de longitud fija generado a partir de una cadena de texto. El hash es menor que el texto. Se genera mediante una fórmula, de forma tal que es extremadamente improbable que otro texto produzca el mismo valor de hash. Actualmente se pone en duda su seguridad puesto que se ha demostrado que dos claves diferentes pueden generar el mismo hash, aunque esto es muy poco probable que ocurra.

El emisor original genera un hash del mensaje y lo envía junto con el mensaje mismo. El receptor descifra el mensaje y el hash recibido. A continuación produce otro hash a partir del mensaje recibido y compara los dos hashes el recibido con el que el mismo generó. Si ambos son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada.

Integridad Datos…

Hay dos algoritmos Hash comunes:

Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutan mediante el algoritmo de hash (Hash-based Message Authentication Code) HMAC-MD5. El resultado es un hash de 128 bits (32 Caracteres). El hash se agrega al mensaje original y se envía al extremo remoto.

Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits (40 Caracteres). El hash se agrega al mensaje original y se envía al extremo remoto.

Integridad Datos…

Integridad Datos…

Cuando se realizan negocios a larga distancia,

es necesario saber quién está del otro lado del teléfono, correo electrónico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del túnel de la VPN antes de que la ruta de comunicación se considere segura. Hay dos métodos pares de autenticación:

Autenticación VPN…

Clave compartida previamente (PSK): una

clave secreta compartida entre dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmos criptográficos de clave simétrica. Una PSK se especifica en cada par manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina con otra información para formar la clave de autenticación.


Firma RSA: utiliza el intercambio de

certificados digitales para autenticar los pares. El dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma digital) se adjunta al mensaje y se envía al extremo remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave pública del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es verdadera.



El IPsec es un conjunto de protocolos para la

seguridad de las comunicaciones IP que proporciona encriptación, integridad y autenticación. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes.

Encabezado de autenticación (Authentication Header AH).

Contenido de seguridad encapsulado (Encapsulated Security Payload ESP).

Protocolos de seguridad Ipsec…

Encabezado de autenticación (AH): se utiliza cuando

no se requiere o no se permite la confidencialidad. AH proporciona la autenticación y la integridad de datos para paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de un Router R1 a un Router R2 no haya sido modificado en el camino. También verifica que el origen de los datos sea R1 o R3. AH no proporciona la confidencialidad de datos (encriptación) de los paquetes. Si se utiliza solo, el protocolo AH proporciona poca protección. Por lo tanto, se le utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptación de los datos y el alerta cuando existen alteraciones.


Contenido de seguridad encapsulado (ESP):

proporciona confidencialidad y autenticación mediante la encriptación del paquete IP. La encriptación del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticación proporciona autenticación del origen de datos e integridad de datos. Aunque tanto la encriptación como la autenticación son opcionales en ESP, debe seleccionar una como mínimo.



IPsec se basa en algoritmos existentes para implementar la encriptación, la autenticación y el intercambio de claves. Algunos de los algoritmos estándar que utiliza IPsec son:

DES: Encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptación importante superior al DES

de 56 bits. AES: proporciona un rendimiento más rápido y una encriptación más fuerte

según la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta compartida de

128 bits. SHA-1: autentica datos de paquetes con una clave secreta compartida de

160 bits. DH (Diffie-Hellman); permite que dos partes establezcan una clave

secreta compartida mediante la encriptación y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.

Estructura Ipsec…

Estructura Ipsec…

Ejemplos…Casos…

Ejemplos…Casos…

Beneficios organizativos: Continuidad de las operaciones Mayor capacidad de respuesta Acceso a la información integro, seguro, confiable y fácil de administrar Integración económica de datos, voz, video y aplicaciones Mayor productividad, satisfacción y retención de empleados Reducción de costos de implementación Uso de la infraestructura equivalente

Beneficios sociales: Mayores oportunidades de empleo para grupos marginados Menos viaje y menos tensión relacionada con el traslado puesto que facilita la

conectividad desde grandes distancias en diferentes lugares.

Beneficios ambientales: Huellas de carbono reducidas, tanto para trabajadores individuales como para

las organizaciones Es posible aprovechar la infraestructura y equipos ya implementados.

Beneficios de utilizar conexiones a distancia.

Ahorro Nos permite conectar redes físicamente separadas sin

necesidad de arrendar una red dedicada, esto quiere decir que se aprovecha la infraestructura ya desplegada de internet.

Transparencia Interconectar distintas sedes es transparente para el usuario final, ya que la configuración se puede hacer sólo a nivel de pasarela.

Seguridad Se pueden asegurar múltiples servicios a través de un único mecanismo.

Movilidad Nos permite asegurar la conexión entre usuarios móviles y nuestra red fija.

Simplicidad Este tipo de soluciones permite simplificar la administrador de la conexión de servidores y aplicaciones entre diferentes dominios.

Ventajas de Usar una VPN

Ancho de Banda La velocidad de conexión de la VPN depende de la

velocidad de conexión a Internet o la red externa que se esté utilizando.

Intermitencia Si la infraestructura de la conexión de la red externa falla, se pierde la conectividad.

Fiabilidad Internet no es 100% fiable, y fallos en la red pueden dejar incomunicados recursos de nuestras VPN.

Confianza entre sedes Si la seguridad de un nodo o subred involucrada en la VPN se viese comprometida, eso afectaría a la seguridad de todas los componente de la VPN.

Interoperabilidad Dado a las distintas soluciones disponibles para implementar un VPN, nos podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN.

Requiere Amplio Conocimiento en Redes: La tarea de aumentar la seguridad de una red al implementar soluciones VPN, requiere que el administrador o encargado de la red, posea un alto nivel de conocimientos sobre el tema. Su configuración puede tornarse compleja.

Desventajas de Utilizar VPNs

Componentes de la oficina doméstica: los componentes de

la oficina doméstica requeridos son una laptop o PC, acceso a banda ancha (cable o DSL) y un router VPN o software cliente de VPN instalado en la computadora. Algunos componentes adicionales podrían incluir un punto de acceso inalámbrico. Durante los viajes, los trabajadores a distancia necesitan una conexión a Internet y un cliente VPN para conectarse a la red corporativa por medio de cualquier conexión de banda ancha, red o acceso telefónico disponible.

Componentes corporativos: los componentes corporativos son Routers con capacidad de VPN, concentradores VPN, aplicaciones de seguridad de varias funciones, autenticación y dispositivos de administración central para la unificación y la terminación flexibles de las conexiones VPN.

REQUISITOS…

Económicos: las organizaciones pueden usar transporte de

Internet de terceros y económico para conectar oficinas y usuarios remotos al sitio corporativo principal. Esto elimina los enlaces WAN exclusivos y caros, y los bancos de módems. Mediante el uso de banda ancha, las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de las conexiones remotas.

Seguridad: los protocolos de autenticación y encriptación avanzados protegen los datos contra el acceso no autorizado.

Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas de telecomunicaciones, y es más fácil para las organizaciones agregar usuarios nuevos. Las organizaciones, grandes y pequeñas, pueden agregar grandes cantidades de capacidad sin incorporar una infraestructura significativa.

Otros Beneficios y Ventajas de Utilizar una VPN

Documents

VPNs (Redes Privadas Virtuales)