NSTITUTO SUPERIOR SISE I NSTITUTO “SEGURIDAD DE REDES I”
T EMA EMA:
“VPN”
I NTEGRANTES NTEGRANTES: ALIAGA Y UPANQUI UPANQUI , K EVIN EVIN H UAMÁN UAMÁN E E SCOBAR SCOBAR , GIORGIA H UARI UARI G GUERRERO C YNTHIA YNTHIA DOCENTE :
V ICTOR ICTOR T ERRONES ERRONES
C ICLO ICLO: T URNO URNO:
5 TO TO – M ODULO ODULO B N OCHE OCHE
LIMA , OCTUBRE 205 205 INDICE
I.
MARCO TEÓRICO
I.1.DEFINICION I.1. DEFINICION DE UNA VPN 1.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 1.3. VENTAJAS E INCONVENIENTES DE UNA VPN 1.3.1. VENTAJAS 1.3.2. INCONVENIENTES 1.4. ELEMENTOS PRINCIPALES PRINCIPALES DE UNA VPN 1.4.1. SERVIDOR VPN 1.4.2. CLIENTE VPN 1.4.3. TÚNEL 1.4.4. CONEXIÓN VPN 1.4.5. PROTOCOLOS DEL TÚNEL 1.4.6. DATOS DEL TÚNEL (TUNELED DATA) 1.4.7. RED DE TRANSITO 1.5. REUERIMIENTOS REUERIMIENTOS !"SICOS DE LA VPN 1.5.1. AUTENTICACIÓN DE USUARIO. 1.5.2. ADMINISTRACIÓN DE DIRECCIÓN. 1.5.3. ENCRIPTACIÓN ENCRIPTACIÓN DE DATOS. DATOS. 1.5.4. ADMINISTRACIÓN DE LLAVES. LLAVES. 1.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE. 1.6. LOS 3 ESCENARIOS MAS COMUNES DE VPN# 2.6.1. VPN# $ ACCESO REMOTO (R%&'% A%## VPN) 2.6.2. SITE*TO*SITE VPN (VPN %+,% #--'#) 2.6.3. EXTRANET VPN 1.7. TOPOLO/AS DE VPN 2.7.1. TOPOLO/A DE VPN UTILI0ANDO ACCESO REMOTO (-,% * -%+%) 1.7.2. TOPOLO/A DE VPN LAN*TO*LAN 1.7.3. TOPOLOIA DE VPN UTILI0ANDO NAT II. CONCLUSIONES III. RECOMENDACIONES
I. INTRODUCCION
Una RED se extiende sobre un área geográfica amplia, a veces un país o un continente; contiene una colección de máquinas dedicadas a ejecutar programas de usuario aplicaciones!" En los #ltimos a$os las redes se %an convertido en un factor crítico para cualquier organi&ación" 'ada ve& en ma(or medida, las redes transmiten información vital, por tanto dic%as redes cumplen con atributos tales como seguridad, fiabilidad, alcance geográfico ( efectividad en costos" )e %a demostrado en la actualidad que las redes reducen en tiempo ( dinero los gastos de las empresas, eso %a significado una gran ventaja para las organi&aciones sobre todo las que cuentas con oficinas remotas a varios *ilómetros de distancia, pero tambi+n es cierto que estas redes remotas %an despertado la curiosidad de algunas personas que se dedican a atacar los servidores ( las redes para obtener información confidencial" or tal motivo la seguridad de las redes es de suma importancia, es por eso que escuc%amos %ablar tanto de los famosos fire-alls ( las ./"
II. MARCO TEÓRICO II.1.
DEFINICION DE UNA VPN
Una Red rivada .irtual ./! es una forma de compartir ( transmitir información entre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas" Es una red de datos de gran seguridad que utili&ando 0nternet como medio de transmisión permite la transmisión de información confidencial entre la empresa ( sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes" 1unque 0nternet es una red p#blica ( abierta, la transmisión de los datos se reali&a a trav+s de la creación de t#neles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos"
F-, Esquema de una Red ./
Una Red rivada .irtual ./! conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a trav+s de un 2t#nel2 que se constru(e sobre 0nternet o sobre cualquier otra red p#blica, negociando un esquema de encriptación ( autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente ( segura con el grado de conveniencia ( seguridad que los usuarios conectados elijan" 3as ./ están implementadas con fire-alls, con routers para lograr esa encriptación ( autentificación"
Es así como las Redes rivadas .irtuales ./! se convierten en un componente importante dentro de un ambiente corporativo (a que tienen como objetivo utili&ar una infraestructura de redes p#blicas para la comunicación en ve& de utili&ar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir ( transmitir información de forma segura ( confidencial entre una empresa ( sus sucursales, socios, proveedores, etc"
II.2. CARACTERISTICAS FUNCIONALES ara que una ./ proporcione la comunicación que se espera, el sistema que se implante %a de contemplar varios aspectos de funcionamiento para determinar que será una buena solución"
♦
T,+#8,%+% # 8--'+%# 3as aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones"
♦
C'+-9%+--99 3os datos que circulan por el canal sólo pueden ser leídos por el emisor ( el receptor" 3a manera de conseguir esto es mediante t+cnicas de encriptación"
♦
A%+---:+ El emisor ( el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas" Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío4respuesta"
♦
I+%,-99
'apacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal" ara esto se pueden utili&ar firmas digitales" ♦
N' ,%89-' 'uando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió +l"
♦
C'+,' 9% %#' 'apacidad para controlar el acceso de los usuarios a distintos recursos"
♦
V-;--99 'apacidad para garanti&ar el servicio" or ejemplo para las aplicaciones de tiempo real"
II.3.
VENTAJAS E INCONVENIENTES
00"5"6" VENTAJAS ♦
♦
Una ./ permite disponer de una conexión a red con todas las características de la red privada a la que se quiere acceder" El cliente ./ adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad ( permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada a trav+s de un acceso p#blico" 1l mismo tiempo, todas las conexiones de acceso a 0nternet desde el ordenador cliente ./ se reali&aran usando los recursos ( conexiones que tenga la red privada" Representa una gran solución en cuanto a seguridad, confidencialidad e integridad de los datos ( reduce significativamente el costo de la transferencia de datos de un lugar a otro"
♦
♦
♦
♦
)implifica la integración ( crecimiento de una Red (a que la ./ provee una solución propietaria flexible ( escalable para su implementación ( crecimiento" ermite la integración de diversos ambientes computacionales en una sola red de información co%esiva" Esto se debe fundamentalmente a estar basado en estándares abiertos" 7inimi&a el costo de administración ( soporte de la red" 3as ./ a(udan a aumentar la productividad del personal de soporte ( administración de la red" rovee un punto central para la distribución de soft-are ( updates, manuales, etc" El bro-ser al ser #nico, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a trav+s de todas las aplicaciones"
00"5"8" INCONVENIENTES
♦
♦
♦
II.4.
7a(or carga en el cliente ./ puesto que debe reali&ar la tarea adicional de encapsular los paquetes de datos, situación que se agrava cuando además se reali&a encriptación de los datos; lo cual origina que las conexiones sean muc%o más lentas" 7a(or complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente ./ ( que puede requerir cambios en las configuraciones de aplicaciones o programas prox(, servidor de correo, permisos basados en nombre o n#mero 0! " 3as ./ primero deben establecer correctamente las políticas de seguridad ( de acceso"
ELEMENTOS PRINCIPALES DE UNA VPN
II.4.1. S%,<-9', VPN Es un servidor que se pone como gate-a( en la salida de 0nternet de la red" ermite conectarse con otros servidores ./ generando t#neles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto ./ o una conexión de enrutador a enrutador"
II.4.2. C-%+% VPN El cliente ./ permite la comunicación privada virtual iniciada desde el cliente de la red ./!" Es en si una computadora que inicia una conexión ./ con un servidor ./" Un cliente ./ o un enrutador tiene una conexión de enrutador a enrutador a trav+s de una red p#blica, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario4a4anfitrión"
II.4.3. T=+% orción de la conexión en la cual sus datos son encapsulados"
II.4.4. C'+%>-:+ VPN Es la porción de la conexión en la cual sus datos son encriptados" ara conexiones ./ seguras los datos son encriptados ( encapsulados en la misma porción de la conexión"
00"9":" P,''''# 9% T=+%
)e utili&a para administrar los t#neles ( encapsular los datos privados" 3os datos que son enviados por el t#nel deben de ser encriptados para que sea una conexión ./"
00"9"" D'# 9% T=+% (T+%%9 D) Datos que son generalmente enviados a trav+s de un enlace ./"
II.4.7. R%9 9% T,+#-' 3a red p#blica o compartida que es cru&ada por los datos encapsulados"
Figura: Elementos de una VPN
II.5.
REUERIMIENTOS !ASICOS DE LAS VPN or lo general, al implementar una solución de red remota, una compa$ía desea facilitar un acceso controlado a los recursos ( a la información de la misma" 3a solución deberá permitir la libertad para que los clientes roaming o remotos autori&ados se conecten con facilidad a los recursos corporativos de la red de área local 31/!" 1sí como las oficinas remotas se conecten entre si para compartir recursos e información conexiones de /!" or #ltimo, la solución debe garanti&ar la privacidad ( la integridad de los datos al viajar a trav+s de 0nternet p#blico" 3o mismo se aplica en el caso de datos sensibles que viajan a trav+s de una red corporativa" or lo tanto, una ./ debe presentar los siguientes requerimientos básicos=
II.5.1. A%+--:+ 9% #,-'. 3a solución deberá verificar la identidad de un usuario ( restringir el acceso de la ./ a usuarios autori&ados" 1demás, deberá proporcionar registros de auditoria ( registros contables para mostrar qui+n accedió a qu+ información, ( cuándo lo %i&o"
II.5.2. A9&-+-#,-:+ 9% 9-,%-:+. 3a solución deberá asignar una dirección al cliente en la red privada, ( asegurarse de que las direcciones privadas se mantengan así"
II.5.3. E+,-8-:+ 9% 9'#. 3os datos que viajan en una red p#blica no podrán ser leídos por clientes no autori&ados en la red"
II.5.4. A9&-+-#,-:+ 9% <%#.
3a solución deberá generar ( renovar las llaves de encriptación para el cliente ( para el servidor"
II.5.5. S'8',% 9% 8,'''' &=-8%. 3a solución deberá manejar protocolos comunes utili&ados en las redes p#blicas; +stos inclu(en protocolo de 0nternet" Una solución de ./ de 0nternet basada en un rotocolo de t#nel de punto a punto >!"
II.6.
LOS 3 ESCENARIOS M"S COMUNES DE VPN#
II.6.1. VPN# $ ACCESO REMOTO (R%&'% A%## VPN) 3a ma(oría de las compa$ías necesitan proveer acceso remoto a los empleados"
'ómo accede el usuario remoto al ./ )erver vía 0nternet no es de importancia" ero si debe considerarse el anc%o de banda apropiado para que la conexión tenga sentido" /ormalmente los proveedores de 0nternet 0)! no bloquean los protocolos que se utili&an" )ólo puede %aber problemas en el caso de que el usuario remoto trate de conectarse al ./ )erver vía 0nternet! desde dentro de una red un empleado
visitando un cliente o proveedor! ( deba pasar un fire-all" ara este tipo de situaciones, una solución es un %ttp4tunnel, que permite llegar a 0nternet vía el puerto BC de %ttp ( entonces establecer el t#nel ./" Una ve& que el usuario remoto 2disca2 al n#mero 0 del servidor ./ se ingresa a la etapa de autenticación ( autori&ación" ásicamente= qui+n es ustedF= /ombre de usuario ( pass-ord ( luego, de qu+ modo lo autori&o a entrar en la redF %orario, protocolo!" >oda +sta infraestructura deberá ser configurara por el administrador para garanti&ar seguridad" )eg#n el protocolo en uso ( el )@ en el servidor ./ ( usuario remoto, existirán diferentes modos de autenticar pass-ords tradicionales, certificados de usuario, to*ens o biom+trica!" Ginalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitará a áreas específicas" )e puede implementar esta 2restricción2 de diferentes modos= en el )erver ./, en los routers, o en las -or*stations ( servers usando 0)ec ( políticas asociadas" En servidores ./ con ?8A existe la posibilidad de usar Remote 1cceses olicies R1!"
En ?8A uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor ./ un grupo local o de dominio" or ejemplo, si un consultor de @racle entra en 0ntranet, se restringe el acceso al servidor correspondiente creando un grupo llamando @racle 'onsultants, ( se agregan las cuentas de usuarios" Entonces mediante la consola 77'! de Routing and Remote 1ccess RR1)! se agrega una política de acceso remoto, se lo lin*ea al grupo 'onsultants ( se agrega un filtro 0 a la política que limite el tráfico del usuario remoto a destino, el servidor @racle"
II.6.2. SITE*TO*SITE VPN (VPN %+,% #--'#)
)ite4to4site conecta la 31/ de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un lin* ./ a trav+s de 0nternet, reempla&ando así líneas dedicadas que en general son mu( caras" >odo lo que se necesita es un servidor ?8A en cada sitio conectado a la 31/ local" Este escenario no requiere autenticación de usuario pero sí deben autenticarse los servidores ./ entre sí" 'uando se establece la conexión ./, uno de los servidores ./ asume el rol de cliente e inicia una conexión con otro servidor ./" Despu+s de establecida la conexión ./, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local" 'ómo saben los servidores ./ que cada uno es aut+ntico ( no un impostorF De acuerdo con el protocolo ( el )@ instalado en los servidores ./, se puede basar la autenticación site4to4site en contrase$as asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre4acordadas o en certificados para cada máquina emitidos por una autoridad certificadora '1, 'ertificate 1ut%orit(!"
II.6.3. EXTRANET VPN ermite conectar la red de una empresa con uno o más 2partners2" Este escenario es mu( similar a site4to4site aunque existen peque$as diferencias" ásicamente la confian&a entre ambas partes es diferente" )e permitirá a una sucursal acceder a todos los recursos de la red corporativa site4to4site!, pero es posible limitarlos para un partner" /ormalmente se los restringirá a sólo unos cuantos servidores de la red" 'on el tipo de restricción (a descriptos en Remote 1ccess, podemos solucionar el problema" 3a segunda diferencia con site4to4site es que mu( probablemente nuestro 2partner2 use una solución ./ diferente" 1parece aquí un problema de interoperabilidad a resolver" ara ello, se deberá atender, por ejemplo, a qu+ protocolos se usan en ambas soluciones ./s ( a qu+ tipo de autenticación se usará"
II.7.
TOPOLOIAS DE VPN
Existen muc%os tipos de topologías de ./ que pueden adecuarse a las necesidades de una organi&ación o se adaptan a una configuración de red (a existente" Estas topologías pueden ser definidas a trav+s de acceso remoto por ejemplo, una laptop tratando de acceder a un servidor de su organi&ación!, conexión entre dos 31/s 3ocal Hrea /et-or*!, a trav+s de 0ntranet e Extranet, utili&ando una tecnología Grame Rela( e 1>7, ./ con lac*4ox, ./ utili&ando /1> /et-or* 1ddress >ranslation!" Examinaremos a%ora cómo funcionan algunas de las topologías de ./ mas usadas"
II.7.1. TOPOLO/A DE VPN UTILI0ANDO ACCESO REMOTO (-,% * -%+%) Este tipo de ./ es los más comunes ( más usados en nuestros tiempos" /ace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organi&ación" ara que esto sea posible, la organi&ación precisará tener un fire-all instalado conteniendo los soft-ares necesarios para implementar a ./" El cliente tiene que tener tambi+n instalado un soft-are de criptografía compatible con los soft-are del fire-all"
3a comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organi&ación, ( sin embargo no se encuentre locali&ado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organi&ación a partir de una red externa" 3a figura inferior ilustra cómo se establece este tipo de comunicación"
F-, ./ de acceso remoto
3os pasos siguientes describen el proceso de comunicación entre el equipo portátil ( el fire-all de la organi&ación=
•
• • •
•
•
•
•
El usuario con el equipo portátil marca a su )0 local ( establece una conexión " El equipo portátil solicita las claves del dispositivo del fire-all" El fire-all responde con la clave apropiada" El soft-are ./ instalado en el equipo portátil ve la solicitud ec%a por el usuario del equipo portátil, cifra el paquete ( lo envía a la dirección 0 publica de el Gire-all" El fire-all le quita la dirección 0, descifra el paquete ( lo envía al servidor al que %a sido direccionado dentro de la 31/ local" El servidor interno procesa la información recibida, responde a la solicitud ( envía el documento de regreso" El fire-all examina el trafico ( reconoce que es información de t#nel ./ así que toma el paquete, lo cifra ( lo envía al equipo portátil" 3a pila de ./ en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo fire-all, descifra el paquete ( lo maneja en aplicaciones de niveles"
F-, Diagrama de acceso remoto
II.7.2. TOPOLO/A DE VPN LAN*TO*LAN Este tipo de topología es la segunda mas utili&ada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente" 3as 31/s pueden estar operando en diferentes plataformas como, por ejemplo, un fire-all U/0I de un lado ( un fire-all /> del otro" Ellos pueden estar usando soft-ares de ./ diferentes, mas tienen que estar usando el mismo algoritmo de criptografía ( estar configurados para saber que cuando ocurre alg#n tráfico para uno u otro fire-all, este tiene que ser criptografiado" odemos observar en la figura inferior como se da el acceso entre dos redes de este tipo" or ejemplo, un usuario de una 31/ U/0I necesita de un arc%ivo da 31/ /> que será transmitido por G> Gile >ransfer rotocol!" El usuario de la 31/ U/0I intenta conectarse a trav+s de una aplicación G> con un servidor 31/ />" El paquete es enviado en forma de texto %acia el fire-all 31/ U/0I" El paquete es cifrado ( se envía %acia una dirección 0 p#blica de el fire-all 31/ />" Este fire-all acepta ( descifra el paquete ( envía para o servidor al que se le %a enviado la información" Este responde ( devuelve o paquete en forma de texto para o fire-all da 31/ />"
Este a su ve& cifra el paquete ( envía la información %acia el fire-all da 31/ U/0I que descifra ( transmite la información para el usuario que solicito el requerimiento
F-, diagrama de ./ 31/
II.7.3. TOPOLOIA DE VPN UTILI0ANDO NAT /et-or* 1ddress >ranslation! >raducción de Direcciones de /ombres es el proceso de cambiar una dirección 0 de una organi&ación una dirección privada de la organi&ación! por una dirección 0 p#blica enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organi&ación"
Entretanto, el /1> interfiere directamente en la implementación de la ./, pues cambia la dirección 0 a la %ora que el paquete de datos sale de la red interna" 3a utili&ación de /1> no resulta complicado, pero la ubicación del dispositivo ./ es importante" 3a figura inferior ilustra el proceso
F-, Diagrama ./ con /1>
3os pasos siguientes describen el proceso de comunicación de entrada ( salida con un dispositivo /1>
•
•
•
•
'uando un paquete precisa salir de la red interna, este es enviado %acia el fire-all implementado con /1>" Este por primera ve&, cambia la dirección 0 enrutable El fire-all implementado con /1> reenvía el paquete al dispositivo ./ que reali&a el proceso de cifrado del paquete" El paquete es enviado %acia el enrutador externo que sea transmitido a su destino" 'uando un paquete quiere entrar a una red interna debe primero dirigirse %acia el dispositivo ./ que verifica su autenticidad" 3uego este paquete es ruteado %acia el fire-all implementado con /1> que cambia la dirección 0 por el n#mero original, este es enviado %acia el ruteador interno para ser dirigido %acia su destino"
III. CONCLUSIONES
1ctualmente las ./ ofrecen un servicio ventajoso para las empresas que quieran tener una comunicación segura con sus proveedores, clientes u otros, de forma segura, sin necesidad de implantar una red de comunicación costosa que permita lo mismo"
1demás esta solución ./ nos permitirá no solo crear la interconexión con dos sucursales sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros puntos cuando la empresa lo requiera"
IX
or #ltimo las ./ representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos ( prácticamente se %a vuelto un tema importante en las organi&aciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el #nico inconveniente que pudieran tener las ./ es que primero se deben establecer correctamente las políticas de seguridad ( de acceso porque si esto no está bien definido pueden existir consecuencias serias"
RECOMENDACIONES
'abe desatacar que algunas aplicaciones que necesitan de procesos bastantes complejos se tienen que correr en máquinas solamente dedicadas a esas operaciones (a que como son procesos bastantes pesados como cálculo de planillas, requieren ser procesadas por maquinas potentes ( dedicadas a esta labor para que no se sienta alg#n retardo o problema en la interconexión"
@tro punto a tener en cuenta es el proveedor de servicio de 0nternet a utili&ar, si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente mu(
caros para mantener en una empresa relativamente peque$a, ( los que ofrecen una interconexión a 0nternet con precios módicos, su servicio es mu( inestable ( en algunos casos con interrupciones en el servicio de manera constante %aciendo imposible una conexión ./ cuando se corren procesos largos, es por eso necesario la constante evaluación de los proveedores de servicio de 0nternet"
