VPNs (Redes Privadas Virtuales)

  • View
    69

  • Download
    5

Embed Size (px)

Text of VPNs (Redes Privadas Virtuales)

VPN (Red Privada Virtual)

VPNs Redes Privadas Virtuales

MAURICIO ALEXANDER CENDALES LARAQue es VPN?

Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet.Existen 2 tipos de VPN, las cuales vamos a recalcar en esta exposicin, estos tipos son:

VPN de sitio a sitio

VPN de acceso remoto.Tipos de VPNEn una VPN de sitio a sitio, los hosts envan y reciben trfico TCP/IP a travs de un gateway VPN, el cual podra ser un router, una aplicacin firewall PIX (Private Internet Exchange) o una aplicacin de seguridad adaptable (ASA Adaptive Security Appliances). El gateway VPN es responsable de la encapsulacin y cifrado del trfico saliente para todo el trfico desde un sitio particular y de su envo a travs de un tnel VPN por Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados, descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada.VPN de Site to SiteUna VPN de sitio a sitio es una extensin de una networking WAN clsica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa. VPN de sitio a sitio

Los usuarios mviles y trabajadores a distancia usan mucho las VPN de acceso remoto. En el pasado, las empresas admitan usuarios remotos con redes dial-up. En general, esto implicaba una llamada de larga distancia y los costos correspondientes para lograr el acceso a la empresa.En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el host intenta enviar trfico, el software cliente de VPN encapsula y encripta ese trfico antes del envo a travs de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN maneja los datos de la misma manera en que lo hara con los datos de una VPN de sitio a sitio. VPN de Acceso remotoVPN de Acceso remoto

Los componentes necesarios para establecer esta VPN incluyen lo siguiente:

Una red existente con servidores y estaciones de trabajoUna conexin a InternetGateways VPN, como routers, firewalls, concentradores VPN y ASA, que actan como extremos para establecer, administrar y controlar las conexiones VPNSoftware adecuado para crear y administrar tneles VPNComponentes VPNLa clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsulacin y encriptacin. La mayora de las VPN puede hacer las dos cosas.

La encapsulacin tambin se denomina tunneling, porque transmite datos de manera transparente de red a red a travs de una infraestructura de red compartida utilizando algoritmos asimtricos.La encriptacin codifica los datos en un formato diferente mediante una clave secreta. La decodificacin vuelve los datos encriptados al formato original sin encriptar. Se utilizan algoritmos simtricos para cifrar estos datos, y normalmente cuando se utiliza fibra oscura no se encriptan los datos puesto que es un canal dedicado que no sale a internet.Componentes VPNEsquema de una VPN

Las bases de una VPN segura son :

Confidencialidad de datos.Integridad de datos.Autenticacin.Caractersticas VPN Seguras

Confidencialidad de datos: Una cuestin de seguridad que suele despertar preocupacin es la proteccin de datos contra personas que puedan ver o escuchar subrepticiamente informacin confidencial. La confidencialidad de datos, que es una funcin de diseo, tiene el objetivo de proteger los contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulacin y encriptacin. Caractersticas VPN SegurasIntegridad de datos: Los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como un checksum o un sello (pero ms robusto) que garantiza que nadie haya ledo el contenido y que este tampoco haya sido alterado.Caractersticas VPN SegurasAutenticacin: La autenticacin garantiza que el mensaje provenga de un origen autntico (en algunos casos que se aplique el no repudio) y se dirija a un destino autntico definido, en otras palabras la autenticidad garantiza que la informacin recibida es de quien dice ser. La identificacin de usuarios brinda al usuario la seguridad de que la persona con quien se comunica es quien cree que es. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y biomtricas para establecer la identidad de las partes ubicadas en el otro extremo de la red.Caractersticas VPN Seguras

Caractersticas VPN Seguras15Es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algn protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo as a su estado original. En el traslado a travs de Internet, los paquetes viajan encriptados.

El tunneling encapsula un paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto.

En conclusin Tunneling consiste en encapsular un protocolo de red sobre otro protocolo.Seguridad tunneling16

Seguridad tunneling. Esta figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de trfico en escenarios IP MvilFrame Relay: Tcnica de comunicacin mediante retransmisin de tramas para redes de circuito virtual, Consiste en una forma simplificada de tecnologa de conmutacin de paquetes que transmite una variedad de tamaos de tramas o marcos (frames) de datos, es perfecto para la transmisin de grandes cantidades de datos. La tcnica Frame Relay se utiliza para un servicio de transmisin de voz y datos a alta velocidad que permite la interconexin de redes de rea local separadas geogrficamente a un coste menor. En la actualidad es una tecnologa que est siendo desplazada por las VPNsATM (Asynchronous Transfer Mode): Tecnologa de telecomunicacin desarrollada para hacer frente a la gran demanda de capacidad de transmisin para servicios y aplicaciones.MPLS (Multiprotocol Label Switching): Conmutacin Multiprotocolo mediante etiquetas, es un mecanismo de transporte de datos estndar. Fue diseado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de trfico, incluyendo trfico de voz y de paquetes IPProtocolos de Tuneling(Portadores)Protocolos de Tuneling(Encapsulacin)GRE: (Generic Routing Encapsulation): es un protocolo para el establecimiento de tneles a travs de Internet, pudiendo transportar hasta 20 protocolos de red distintos,Permite emplear protocolos de encaminamiento especializados que obtengan el camino ptimo entre los extremos de la comunicacin.Soporta la secuencialidad de paquetes y la creacin de tneles sobre redes de alta velocidad.Permite establecer polticas de encaminamiento y seguridad.PPTP (Point to Point Tunneling Protocol): Es un protocolo de comunicaciones desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics, para implementar redes privadas virtuales o VPN.Permite el seguro intercambio de datos de un cliente a un servidor formando una Red Privada VirtualSoporta una infraestructura de rea de trabajo bajo la suite de protocolos TCP/IP (Internet). Esta habilidad permitir a una compaa usar Internet para establecer una red privada virtual (VPN) sin el gasto de una lnea alquilada.Soporta Autenticacin Tacacs (acrnimo de Terminal Access Controller Access Control System , en ingls sistema de control de acceso mediante control del acceso desde terminales es propietario de Cisco) o Radius (acrnimo en ingls de Remote Authentication Dial-In User Server). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la redNo soportaba trabajar con diferentes tecnologas de red como ATM o FrameRelay.

Protocolos de Tuneling(Encapsulacin)Protocolos de Tuneling(Encapsulacin)L2F (Layer 2 Forwarding): Se cre en las primeras etapas del desarrollo de las red privada virtual. Como PPTP, L2F fue diseado por Cisco para establecer tneles de trfico desde usuarios remotos hasta sus sedes corporativas. No es un protocolo confiable porque es menos seguro.La principal diferencia entre PPTP y L2F es que, como el establecimiento de tneles de L2F no depende del protocolo IP (Internet Protocol), es capaz de trabajar directamente con otros medios, como Frame Relay o ATM de Laboratorios Bell en los Aos 60.

Protocolos de Tuneling(Encapsulacin)L2TP (Layer 2 Tunneling Protocol): Fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F.Toma lo mejor de los protocolos PPTP y L2F y se establecerse como un estndar aprobado por el IETF Internet Engineering Task Force (en espaol Grupo Especial sobre Ingeniera de Internet ) (RFC 2661).Utiliza PPP para proporcionar acceso telefnico que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F. El transporte de L2TP est definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM.Utiliza PPP para el establecimiento enlaces, incluye los mecanismos de autenticacin de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilizacin de estos protocolos de autenticacin, c