monografia vpn terminada

7/17/2019 Monografia VPN Terminada

http://slidepdf.com/reader/full/monografia-vpn-terminada 1/21

I NSTITUTO SUPERIOR SISE

“SEGURIDAD DE REDES I”

T EMA: “VPN”

I NTEGRANTES:

ALIAGA Y UPANQUI , K EVIN

H UAMÁN E SCOBAR , GIORGIA

H UARI GUERRERO C YNTHIA

DOCENTE : V ICTOR T ERRONES

C ICLO: 5 TO – M ODULO B

T URNO: N OCHE

LIMA , OCTUBRE 205

INDICE

I. MARCO TEÓRICO



I.1.DEFINICION DE UNA VPN 1.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 1.3. VENTAJAS E INCONVENIENTES DE UNA VPN

1.3.1. VENTAJAS

1.3.2. INCONVENIENTES

1.4. ELEMENTOS PRINCIPALES DE UNA VPN

1.4.1. SERVIDOR VPN1.4.2. CLIENTE VPN1.4.3. TÚNEL1.4.4. CONEXIÓN VPN1.4.5. PROTOCOLOS DEL TÚNEL1.4.6. DATOS DEL TÚNEL (TUNELED DATA)1.4.7. RED DE TRANSITO

1.5. REUERIMIENTOS !"SICOS DE LA VPN

1.5.1. AUTENTICACIÓN DE USUARIO.1.5.2. ADMINISTRACIÓN DE DIRECCIÓN.1.5.3. ENCRIPTACIÓN DE DATOS.1.5.4. ADMINISTRACIÓN DE LLAVES.1.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE.

1.6. LOS 3 ESCENARIOS MAS COMUNES DE VPN#

2.6.1. VPN# $ ACCESO REMOTO (R%&'% A%## VPN)2.6.2. SITE*TO*SITE VPN (VPN %+,% #--'#)2.6.3. EXTRANET VPN

1.7. TOPOLO/AS DE VPN

2.7.1. TOPOLO/A DE VPN UTILI0ANDO ACCESO REMOTO (-,% *

-%+%)1.7.2. TOPOLO/A DE VPN LAN*TO*LAN 1.7.3. TOPOLOIA DE VPN UTILI0ANDO NAT

II. CONCLUSIONES III. RECOMENDACIONES



I. INTRODUCCION



Una RED se extiende sobre un área geográfica amplia, a veces un país o un continente;contiene una colección de máquinas dedicadas a ejecutar programas de usuarioaplicaciones!"

En los #ltimos a$os las redes se %an convertido en un factor crítico para cualquier

organi&ación" 'ada ve& en ma(or medida, las redes transmiten información vital, por tantodic%as redes cumplen con atributos tales como seguridad, fiabilidad, alcance geográfico (efectividad en costos"

)e %a demostrado en la actualidad que las redes reducen en tiempo ( dinero los gastos delas empresas, eso %a significado una gran ventaja para las organi&aciones sobre todo lasque cuentas con oficinas remotas a varios *ilómetros de distancia, pero tambi+n es ciertoque estas redes remotas %an despertado la curiosidad de algunas personas que se dedicana atacar los servidores ( las redes para obtener información confidencial" or tal motivo la seguridad de las redes es de suma importancia, es por eso que escuc%amos %ablar tanto de

los famosos fire-alls ( las ./"

II. MARCO TEÓRICO

II.1. DEFINICION DE UNA VPN



Una Red rivada .irtual ./! es una forma de compartir ( transmitir informaciónentre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas" Es una red de datos de gran seguridad que utili&ando 0nternet comomedio de transmisión permite la transmisión de información confidencial entre laempresa ( sus sucursales, sus socios, sus proveedores, sus distribuidores, sus

empleados o sus clientes" 1unque 0nternet es una red p#blica ( abierta, latransmisión de los datos se reali&a a trav+s de la creación de t#neles virtuales,asegurando la confidencialidad e integridad de los datos transmitidos"

F-, Esquema de una Red ./

Una Red rivada .irtual ./! conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a trav+s de un 2t#nel2 que se

constru(e sobre 0nternet o sobre cualquier otra red p#blica, negociando un esquemade encriptación ( autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente ( segura conel grado de conveniencia ( seguridad que los usuarios conectados elijan" 3as ./ están implementadas con fire-alls, con routers para lograr esa encriptación (autentificación"



Es así como las Redes rivadas .irtuales ./! se convierten en un componenteimportante dentro de un ambiente corporativo (a que tienen como objetivo utili&ar una infraestructura de redes p#blicas para la comunicación en ve& de utili&ar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir ( transmitir información de forma segura ( confidencial

entre una empresa ( sus sucursales, socios, proveedores, etc"

II.2. CARACTERISTICAS FUNCIONALES

ara que una ./ proporcione la comunicación que se espera, el sistema que seimplante %a de contemplar varios aspectos de funcionamiento para determinar que será una buena solución"

♦ T,+#8,%+% # 8--'+%#

3as aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones"

♦ C'+-9%+--99

3os datos que circulan por el canal sólo pueden ser leídos por el emisor ( el receptor" 3a manera de conseguir esto es mediante t+cnicas de encriptación"

♦ A%+---:+

El emisor ( el receptor son capaces de determinar de forma inequívoca susidentidades, de tal manera que no exista duda sobre las mismas" Esto puede

conseguirse mediante firmas digitales o aplicando mecanismos desafío4respuesta"

♦ I+%,-99



'apacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal" ara esto se puedenutili&ar firmas digitales"

♦ N' ,%89-'

'uando un mensaje va firmado, el que lo firma no puede negar que el mensaje loemitió +l"

♦ C'+,' 9% %#'

'apacidad para controlar el acceso de los usuarios a distintos recursos"

♦ V-;--99

'apacidad para garanti&ar el servicio" or ejemplo para las aplicaciones detiempo real"

II.3. VENTAJAS E INCONVENIENTES

00"5"6" VENTAJAS

♦ Una ./ permite disponer de una conexión a red con todas las

características de la red privada a la que se quiere acceder" El cliente ./ adquiere totalmente la condición de miembro de esa red, con lo cual se leaplican todas las directivas de seguridad ( permisos de un ordenador en esared privada, pudiendo acceder a la información publicada para esa red privada a trav+s de un acceso p#blico" 1l mismo tiempo, todas las conexionesde acceso a 0nternet desde el ordenador cliente ./ se reali&aran usando losrecursos ( conexiones que tenga la red privada"

♦ Representa una gran solución en cuanto a seguridad, confidencialidad e

integridad de los datos ( reduce significativamente el costo de latransferencia de datos de un lugar a otro"



♦ )implifica la integración ( crecimiento de una Red (a que la ./ provee una

solución propietaria flexible ( escalable para su implementación (crecimiento"

♦ ermite la integración de diversos ambientes computacionales en una solared de información co%esiva" Esto se debe fundamentalmente a estar basadoen estándares abiertos"

♦ 7inimi&a el costo de administración ( soporte de la red" 3as ./ a(udan a

aumentar la productividad del personal de soporte ( administración de la red"

♦ rovee un punto central para la distribución de soft-are ( updates, manuales,

etc" El bro-ser al ser #nico, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la mismaapariencia a trav+s de todas las aplicaciones"

00"5"8" INCONVENIENTES

♦ 7a(or carga en el cliente ./ puesto que debe reali&ar la tarea adicional de

encapsular los paquetes de datos, situación que se agrava cuando además sereali&a encriptación de los datos; lo cual origina que las conexiones seanmuc%o más lentas"

♦ 7a(or complejidad en el tráfico de datos que puede producir efectos no

deseados al cambiar la numeración asignada al cliente ./ ( que puederequerir cambios en las configuraciones de aplicaciones o programas prox(, servidor de correo, permisos basados en nombre o n#mero 0! "

♦ 3as ./ primero deben establecer correctamente las políticas de seguridad (

de acceso"

II.4. ELEMENTOS PRINCIPALES DE UNA VPN



II.4.1. S%,<-9', VPN

Es un servidor que se pone como gate-a( en la salida de 0nternet de la red" ermiteconectarse con otros servidores ./ generando t#neles de comunicación seguros

con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto./ o una conexión de enrutador a enrutador"

II.4.2. C-%+% VPN

El cliente ./ permite la comunicación privada virtual iniciada desde el cliente dela red ./!" Es en si una computadora que inicia una conexión ./ con un servidor ./"

Un cliente ./ o un enrutador tiene una conexión de enrutador a enrutador a trav+sde una red p#blica, así es como los usuarios finales logran la comunicación dentrode un ambiente de la empresa que requieren una conexión segura del extremousuario4a4anfitrión"

II.4.3. T=+%

orción de la conexión en la cual sus datos son encapsulados"

II.4.4. C'+%>-:+ VPN

Es la porción de la conexión en la cual sus datos son encriptados"

ara conexiones ./ seguras los datos son encriptados ( encapsulados en la misma porción de la conexión"

00"9":" P,''''# 9% T=+%



)e utili&a para administrar los t#neles ( encapsular los datos privados" 3os datosque son enviados por el t#nel deben de ser encriptados para que sea una conexión./"

00"9"" D'# 9% T=+% (T+%%9 D)

Datos que son generalmente enviados a trav+s de un enlace ./"

II.4.7. R%9 9% T,+#-'

3a red p#blica o compartida que es cru&ada por los datos encapsulados"<eneralmente una red 0" 3a red de tránsito debe ser 0nternet o una intranet 0 privada"

Figura: Elementos de una VPN



II.5. REUERIMIENTOS !ASICOS DE LAS VPN

or lo general, al implementar una solución de red remota, una compa$ía desea facilitar un acceso controlado a los recursos ( a la información de la misma" 3a

solución deberá permitir la libertad para que los clientes roaming o remotosautori&ados se conecten con facilidad a los recursos corporativos de la red de árealocal 31/!" 1sí como las oficinas remotas se conecten entre si para compartir recursos e información conexiones de /!"

or #ltimo, la solución debe garanti&ar la privacidad ( la integridad de los datos al viajar a trav+s de 0nternet p#blico" 3o mismo se aplica en el caso de datos sensiblesque viajan a trav+s de una red corporativa"

or lo tanto, una ./ debe presentar los siguientes requerimientos básicos=

II.5.1. A%+--:+ 9% #,-'.

3a solución deberá verificar la identidad de un usuario ( restringir el acceso de la./ a usuarios autori&ados" 1demás, deberá proporcionar registros de auditoria (registros contables para mostrar qui+n accedió a qu+ información, ( cuándo lo %i&o"

II.5.2. A9&-+-#,-:+ 9% 9-,%-:+.

3a solución deberá asignar una dirección al cliente en la red privada, ( asegurarsede que las direcciones privadas se mantengan así"

II.5.3. E+,-8-:+ 9% 9'#.

3os datos que viajan en una red p#blica no podrán ser leídos por clientes noautori&ados en la red"

II.5.4. A9&-+-#,-:+ 9% <%#.



3a solución deberá generar ( renovar las llaves de encriptación para el cliente ( para el servidor"

II.5.5. S'8',% 9% 8,'''' &=-8%.

3a solución deberá manejar protocolos comunes utili&ados en las redes p#blicas;+stos inclu(en protocolo de 0nternet" Una solución de ./ de 0nternet basada en un rotocolo de t#nel de punto a punto >!"

II.6. LOS 3 ESCENARIOS M"S COMUNES DE VPN#

II.6.1. VPN# $ ACCESO REMOTO (R%&'% A%## VPN)

3a ma(oría de las compa$ías necesitan proveer acceso remoto a los empleados"<eneralmente se utili&a una conexión dial4up DU/! del cliente al servidor deacceso remoto R1)! vía módems"

ara acceso remoto ./ %a( que considerar= tecnología en la ?or*station cliente,qu+ sucede entre el cliente ( el servidor ./, el servidor ./ ( finalmente larelación con el usuario remoto"

El usuario remoto puede ser un empleado o individuo de menor confian&a unconsultor a partner de negocios!" Usualmente, el cliente de la ?or*station estarácorriendo bajo el )@ ?indo-s, pero podrá ser una estación 71', 3inux o Unix")@s pre ?8A ( ?or*station que no sean 7icrosoft imponen algunas limitaciones sobre los tipos de protocolos ./ ( autenticaciones que se pueden usar" ara )@s pre4?in8* se pueden eliminar algunas de estas limitaciones %aciendo un do-nload desde 7icrosoft"

'ómo accede el usuario remoto al ./ )erver vía 0nternet no es de importancia" ero si debe considerarse el anc%o de banda apropiado para que la conexión tenga sentido" /ormalmente los proveedores de 0nternet 0)! no bloquean los protocolosque se utili&an" )ólo puede %aber problemas en el caso de que el usuario remoto tratede conectarse al ./ )erver vía 0nternet! desde dentro de una red un empleado



visitando un cliente o proveedor! ( deba pasar un fire-all" ara este tipo de situaciones, una solución es un %ttp4tunnel, que permite llegar a 0nternet vía el puerto BC de %ttp ( entonces establecer el t#nel ./"

Una ve& que el usuario remoto 2disca2 al n#mero 0 del servidor ./ se ingresa a la

etapa de autenticación ( autori&ación" ásicamente= qui+n es ustedF= /ombre deusuario ( pass-ord ( luego, de qu+ modo lo autori&o a entrar en la redF %orario, protocolo!" >oda +sta infraestructura deberá ser configurara por el administrador para garanti&ar seguridad"

)eg#n el protocolo en uso ( el )@ en el servidor ./ ( usuario remoto, existirándiferentes modos de autenticar pass-ords tradicionales, certificados de usuario,to*ens o biom+trica!"

Ginalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lolimitará a áreas específicas" )e puede implementar esta 2restricción2 de diferentesmodos= en el )erver ./, en los routers, o en las -or*stations ( servers usando 0)ec ( políticas asociadas" En servidores ./ con ?8A existe la posibilidad deusar Remote 1cceses olicies R1!"

En ?8A uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor ./ un grupo local o de dominio" or ejemplo, si un consultor de @racleentra en 0ntranet, se restringe el acceso al servidor correspondiente creando un

grupo llamando @racle 'onsultants, ( se agregan las cuentas de usuarios" Entoncesmediante la consola 77'! de Routing and Remote 1ccess RR1)! se agrega una política de acceso remoto, se lo lin*ea al grupo 'onsultants ( se agrega un filtro 0 ala política que limite el tráfico del usuario remoto a destino, el servidor @racle"

II.6.2. SITE*TO*SITE VPN (VPN %+,% #--'#)



)ite4to4site conecta la 31/ de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un lin* ./ a trav+s de 0nternet, reempla&ando así líneas dedicadas que en general son mu( caras" >odo lo que se necesita es un servidor ?8A en cada sitio conectado a la 31/ local" Este escenario no requiereautenticación de usuario pero sí deben autenticarse los servidores ./ entre sí"

'uando se establece la conexión ./, uno de los servidores ./ asume el rol decliente e inicia una conexión con otro servidor ./" Despu+s de establecida laconexión ./, los usuarios de cada sitio pueden conectarse a los servidores como siestuvieran en la misma red local"

'ómo saben los servidores ./ que cada uno es aut+ntico ( no un impostorF Deacuerdo con el protocolo ( el )@ instalado en los servidores ./, se puede basar la

autenticación site4to4site en contrase$as asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre4acordadas o en certificados para cadamáquina emitidos por una autoridad certificadora '1, 'ertificate 1ut%orit(!"

II.6.3. EXTRANET VPN

ermite conectar la red de una empresa con uno o más 2partners2" Este escenario esmu( similar a site4to4site aunque existen peque$as diferencias" ásicamente la

confian&a entre ambas partes es diferente" )e permitirá a una sucursal acceder atodos los recursos de la red corporativa site4to4site!, pero es posible limitarlos paraun partner" /ormalmente se los restringirá a sólo unos cuantos servidores de la red"'on el tipo de restricción (a descriptos en Remote 1ccess, podemos solucionar el problema"

3a segunda diferencia con site4to4site es que mu( probablemente nuestro 2partner2 use una solución ./ diferente" 1parece aquí un problema de interoperabilidad aresolver" ara ello, se deberá atender, por ejemplo, a qu+ protocolos se usan en

ambas soluciones ./s ( a qu+ tipo de autenticación se usará"

II.7. TOPOLOIAS DE VPN



Existen muc%os tipos de topologías de ./ que pueden adecuarse a las necesidadesde una organi&ación o se adaptan a una configuración de red (a existente"

Estas topologías pueden ser definidas a trav+s de acceso remoto por ejemplo, unalaptop tratando de acceder a un servidor de su organi&ación!, conexión entre dos

31/s 3ocal Hrea /et-or*!, a trav+s de 0ntranet e Extranet, utili&ando unatecnología Grame Rela( e 1>7, ./ con lac*4ox, ./ utili&ando /1> /et-or* 1ddress >ranslation!"

Examinaremos a%ora cómo funcionan algunas de las topologías de ./ masusadas"

II.7.1. TOPOLO/A DE VPN UTILI0ANDO ACCESO REMOTO (-,% *-%+%)

Este tipo de ./ es los más comunes ( más usados en nuestros tiempos" /ace de lanecesidad de un cliente externo que se necesita conectarse a la red interna de unaorgani&ación" ara que esto sea posible, la organi&ación precisará tener un fire-all instalado conteniendo los soft-ares necesarios para implementar a ./" El clientetiene que tener tambi+n instalado un soft-are de criptografía compatible con los soft-are del fire-all"

3a comunicación ocurre cuando el cliente necesita de una comunicaciónconfidencial con la organi&ación, ( sin embargo no se encuentre locali&ado dentrode la empresa, o tal puede surgir si el cliente necesita acceder al servidor deorgani&ación a partir de una red externa"

3a figura inferior ilustra cómo se establece este tipo de comunicación"



F-, ./ de acceso remoto

3os pasos siguientes describen el proceso de comunicación entre el equipo portátil ( el fire-all de la organi&ación=

• El usuario con el equipo portátil marca a su )0 local ( establece una conexión

"

• El equipo portátil solicita las claves del dispositivo del fire-all"• El fire-all responde con la clave apropiada"

• El soft-are ./ instalado en el equipo portátil ve la solicitud ec%a por el usuario

del equipo portátil, cifra el paquete ( lo envía a la dirección 0 publica de el Gire-all"

• El fire-all le quita la dirección 0, descifra el paquete ( lo envía al servidor al que

%a sido direccionado dentro de la 31/ local"

• El servidor interno procesa la información recibida, responde a la solicitud (

envía el documento de regreso"

• El fire-all examina el trafico ( reconoce que es información de t#nel ./ así quetoma el paquete, lo cifra ( lo envía al equipo portátil"

• 3a pila de ./ en el equipo portátil ve el flujo de datos, reconoce que viene del

dispositivo fire-all, descifra el paquete ( lo maneja en aplicaciones de niveles"



F-, Diagrama de acceso remoto

II.7.2. TOPOLO/A DE VPN LAN*TO*LAN

Este tipo de topología es la segunda mas utili&ada, se usa cuando es necesariocomunicar dos redes locales separadas geográficamente" 3as 31/s pueden estar operando en diferentes plataformas como, por ejemplo, un fire-all U/0I de un lado ( un fire-all /> del otro"

Ellos pueden estar usando soft-ares de ./ diferentes, mas tienen que estar usandoel mismo algoritmo de criptografía ( estar configurados para saber que cuando

ocurre alg#n tráfico para uno u otro fire-all, este tiene que ser criptografiado"

odemos observar en la figura inferior como se da el acceso entre dos redes de estetipo" or ejemplo, un usuario de una 31/ U/0I necesita de un arc%ivo da 31/ /> que será transmitido por G> Gile >ransfer rotocol!"

El usuario de la 31/ U/0I intenta conectarse a trav+s de una aplicación G> conun servidor 31/ />"

El paquete es enviado en forma de texto %acia el fire-all 31/ U/0I" El paquete escifrado ( se envía %acia una dirección 0 p#blica de el fire-all 31/ />"

Este fire-all acepta ( descifra el paquete ( envía para o servidor al que se le %aenviado la información"

Este responde ( devuelve o paquete en forma de texto para o fire-all da 31/ />"



Este a su ve& cifra el paquete ( envía la información %acia el fire-all da 31/ U/0I que descifra ( transmite la información para el usuario que solicito el requerimiento

F-, diagrama de ./ 31/

II.7.3. TOPOLOIA DE VPN UTILI0ANDO NAT

/et-or* 1ddress >ranslation! >raducción de Direcciones de /ombres es el procesode cambiar una dirección 0 de una organi&ación una dirección privada de laorgani&ación! por una dirección 0 p#blica enrutable, es decir poseen la capacidad

para esconder las direcciones privadas de una organi&ación"

Entretanto, el /1> interfiere directamente en la implementación de la ./, puescambia la dirección 0 a la %ora que el paquete de datos sale de la red interna" 3autili&ación de /1> no resulta complicado, pero la ubicación del dispositivo ./ esimportante" 3a figura inferior ilustra el proceso



F-, Diagrama ./ con /1>

3os pasos siguientes describen el proceso de comunicación de entrada ( salida conun dispositivo /1>

• 'uando un paquete precisa salir de la red interna, este es enviado %acia el

fire-all implementado con /1>" Este por primera ve&, cambia la dirección 0 enrutable

•

El fire-all implementado con /1> reenvía el paquete al dispositivo ./ quereali&a el proceso de cifrado del paquete"

• El paquete es enviado %acia el enrutador externo que sea transmitido a su

destino"

• 'uando un paquete quiere entrar a una red interna debe primero dirigirse %acia

el dispositivo ./ que verifica su autenticidad" 3uego este paquete es ruteado%acia el fire-all implementado con /1> que cambia la dirección 0 por el n#mero original, este es enviado %acia el ruteador interno para ser dirigido%acia su destino"

III. CONCLUSIONES

1ctualmente las ./ ofrecen un servicio ventajoso para las empresas que

quieran tener una comunicación segura con sus proveedores, clientes u otros,de forma segura, sin necesidad de implantar una red de comunicacióncostosa que permita lo mismo"

1demás esta solución ./ nos permitirá no solo crear la interconexión con

dos sucursales sino que es escalable, es decir nos permitirá crear conexionesvirtuales con otros puntos cuando la empresa lo requiera"



or #ltimo las ./ representan una gran solución para las empresas en

cuanto a seguridad, confidencialidad e integridad de los datos ( prácticamente se %a vuelto un tema importante en las organi&aciones, debidoa que reduce significativamente el costo de la transferencia de datos de unlugar a otro, el #nico inconveniente que pudieran tener las ./ es que

primero se deben establecer correctamente las políticas de seguridad ( deacceso porque si esto no está bien definido pueden existir consecuencias serias"

IX RECOMENDACIONES

'abe desatacar que algunas aplicaciones que necesitan de procesos

bastantes complejos se tienen que correr en máquinas solamente dedicadas aesas operaciones (a que como son procesos bastantes pesados como cálculo

de planillas, requieren ser procesadas por maquinas potentes ( dedicadas aesta labor para que no se sienta alg#n retardo o problema en lainterconexión"

@tro punto a tener en cuenta es el proveedor de servicio de 0nternet a utili&ar,

si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente mu(



caros para mantener en una empresa relativamente peque$a, ( los queofrecen una interconexión a 0nternet con precios módicos, su servicio es mu(inestable ( en algunos casos con interrupciones en el servicio de maneraconstante %aciendo imposible una conexión ./ cuando se corren procesoslargos, es por eso necesario la constante evaluación de los proveedores de

servicio de 0nternet"

monografia vpn terminada

Documents