You are on page 1of 21

Redes Privadas Virtuales

VPN
Leonardo Uzctegui

27/03/2013

Seguridad en Redes

Redes Privadas Virtuales Virtual Private Networks


Proporciona una red de datos privada sobre infraestructuras de telecomunicaciones pblicas, como Internet. Permita a los participantes disfrutar de la misma seguridad y funciones que slo estn disponibles en las redes privadas.

27/03/2013

Seguridad en Redes

Tipos de Conexiones VPN

Host a Red Red a Red Host a Host

27/03/2013

Seguridad en Redes

Tipos de Conexiones VPN


Host a Red

27/03/2013

Seguridad en Redes

Tipos de Conexiones VPN


Red a Red

27/03/2013

Seguridad en Redes

Tipos de Conexiones VPN


Host a Host

27/03/2013

Seguridad en Redes

Requerimientos de una VPN


Autenticacin Administracin de direcciones Cifrado de datos Administracin de llaves Soporte de mltiples protocolos

27/03/2013

Seguridad en Redes

Protocolos de Tnel
Point-to-Point Protocol (PPP) Point-to-Point Tunneling Protocol (PPTP) Layer Two Forwarding (L2F) Layer Two Tunneling Protocol (L2TP) Internet Protocol Security (IPSec)

27/03/2013

Seguridad en Redes

IPSec (RFC 2401)


Proporciona servicios de seguridad en capa 3. Permite seleccionar protocolo de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar esto servicios. Servicios de seguridad: control de acceso, integridad, autenticacin del origen de los datos, confidencialidad.

27/03/2013

Seguridad en Redes

Servicios IPSec
Protocolos de seguridad

AH (Authentication Header): Integridad y autenticacin de origen ESP (Encapsulating Security Payload): Confidencialidad

Gestin de claves

IKE (Internet Key Exchange): Establece la comunicacin segura

27/03/2013

Seguridad en Redes

10

Protocolos de seguridad: AH y ESP


Modos de funcionamiento: Modo transporte Entre hosts La cabecera del protocolo aparece despus de la cabecera IP Modo tnel Entre hosts y gateways Existe una cabecera IP adicional

27/03/2013

Seguridad en Redes

11

AH (RFC 2402)
Integridad y autenticacin de origen Est insertado entre la cabecera IP y los datos del paquete IP

27/03/2013

Seguridad en Redes

12

ESP (RFC 2406)


Confidencialidad Proporciona servicios de seguridad mixtos entre hosts y gateways Est insertado entre la cabecera IP y los datos del paquete IP cifrado

27/03/2013

Seguridad en Redes

13

ESP (RFC 2406)

27/03/2013

Seguridad en Redes

14

ESP vs. AH
ESP provee todo lo que ofrece AH ms confidencialidad de datos. La principal diferencia entre la autenticacin provista entre ESP y AH tiene que ver con la cobertura, ESP no protege los campos del encabezado IP, a menos que sean encapsulados por ESP (modo tunel).

27/03/2013

Seguridad en Redes

15

ESP vs. AH

27/03/2013

Seguridad en Redes

16

Gestin de Claves IKE (RFC 2409)


ISAKMP Proporciona un marco de operacin para la gestin de llaves de Internet y el soporte de protocolo especfico para negociar los atributos de seguridad NO establece las claves de sesin Oakley DiffieHelman para establecer las claves de sesin en los routers o hosts Puede utilizarse solo o con el ISAKMP si necesita negociacin de atributos

27/03/2013

Seguridad en Redes

17

IKE(RFC 2409)
El protocolo IKE se basa en el concepto central de una asociacin de seguridad (SA). SA contiene todos los parmetros necesarios para definir completamente el acuerdo de seguridad tales como: Autenticacin Algoritmos de cifrado Longitudes de llaves Tiempo de vigencia de las llaves

27/03/2013

Seguridad en Redes

18

Asociaciones de Seguridad (SA)


Es un acuerdo de seguridad unidireccional entre los sistemas que se estn comunicando que especifican qu tan segura es una conexin que ser establecida. Todos los parmetros SA son organizados dentro de una estructura llamada Security Parameter Index (SPI). Una SA es negociada para cada protocolo de seguridad utilizada entre los protocolos de los sistemas interconectados. Dos sistemas pueden tener mltiples SA establecidas.

27/03/2013

Seguridad en Redes

19

Servicios de Seguridad
Confidencialidad

Terceros no pueden obtener la informacin

Integridad

La informacin no ha sido alterada


La procedencia es verdica No puede negar haberlo hecho

Autenticidad

No repudio

27/03/2013

Seguridad en Redes

20

Diferencias

IP layer security vs Session layer security

27/03/2013

Seguridad en Redes

21