Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Conferencia Martes 25

    Загружено:

    RicardoZapata
    12 просмотров3 страницы
    conferencia

    Оригинальное название

    CONFERENCIA MARTES 25

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    conferencia

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    12 просмотров3 страницы

    Conferencia Martes 25

    Загружено:

    RicardoZapata
    conferencia

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 3

    CONFERENCIA

    VPNs IPsec. Lan-to-Lan y EzVPN Server


    Nicolas Maragliano
    Virtual Private Network
    En el sentido amplio de la definicin una VPN puede ser cualquier red que
    comunique redes privadas ubicadas en diferentes locaciones geogrficas,
    atravesando un entorno pblico.
    Ejemplos de VPN pueden ser, Frame-Relay, Tuneles GRE, MPLS, etc.
    Normalmente cuando hablamos de VPN nos referimos casi exclusivamente a VPNs
    Ipsec.
    Ipsec, no es un protocolo, sino un framework de protocolos, algoritmos y estndares
    que se utilizan para armar la VPN.
    Tipos de VPN Ipsec:
    Podemos separarlas en dos grandes grupos:

    1- Lan-to-Lan o L2L, conexiones punto a punto que suelen unir redes


    locales alejadas.

    2- VPN de Acceso Remoto:


    EzVPN Server, utilizando el Router como concentrador de clientes VPN
    que se enlazan mediante el software Cisco VPN Client.
    SSL VPN, mediante el software Cisco Anyconnect

    Cmo est conformado el Framework Ipsec?

    Autenticacin: mediante PSK o Certificados RSA

    Intercambio Seguro de Claves: Diffie Hellman

    Integridad de Datos: Hashes MD5 o SHA

    Confidencialidad: Cifrado mediante DES 3DES AES

    Todo esto sucede en dos fases:


    IKE Fase 1 - ISAKMP
    IKE Fase 2 Ipsec

    IKE Fase 1 y Fase 2

    Fase 1: se validan los Peers y se realiza el intercambio seguro de claves o


    certificados mediante el algoritmo Diffie Hellman. Grupos DH 1,2 o 5
    Toda la transmisin genera una SA (Security Asociation) y el trfico es cifrado

    (DES-3DES-AES) y se valida la integridad mediante Hashes MD5 o SHA.


    Modos Main o agressive

    Fase 2: se procede a negociar los parmetros de Ipsec.


    Se pueden usar los mismos algoritmos de Hash y cifrado que en Fase 1, u
    otros distintos.
    Si se usa PFS se debe definir tambin
    un Grupo DH como en Fase 1.

    Pros y Contras de utilizar VPNs IPsec

    Pro: Se protegen los datos con cifrado de calidad militar.

    Pro: Es sumamente resistente a ataques MIM

    Pro: Es una solucin muy econmica para enlazar sitios remotos en forma
    segura.

    Con: Agrega encabezado adicional, reduciendo la carga til de cada paquete,


    afecta negativamente en la fragmentacin de ciertos protocolos.

    Con: no soporta trfico Broadcast ni Multicast, por lo cual no es una solucin


    apta para protocolos de enrutamiento Dinmico.

    Con: El proceso de cifrado y hasheado agrega una carga importante de CPU.

    Pro: es muy fcil de configurar, pero todo el mundo piensa que es una
    ciencia oculta

    VPN de Acceso Remoto

    Cada VPN de acceso remoto va a generar un tnel individual cuyo trfico


    interesante ser la LAN local y la nica IP asignada al usuario mvil.

    No se puede anticipar desde qu direccin IP se conectar el usuario mvil,


    por lo cual se debe buscar una forma dinmica para aceptar las conexiones y
    ya no mediante la definicin de un peer.

    La IP privada dentro de la VPN del usuario mvil ser asignada por el server
    VPN (el Router)

    Todo el trfico generado por el equipo mvil ser capturado por el tnel, si no
    se desea esa situacin se usa la tcnica conocida como Split Tunnel que
    inyecta al equipo remoto rutas especficas hacia la LAN local a travs del
    tnel VPN.

    La validacin, si bien admite PSK, se realiza en dos instancias:


    a- Se define un Grupo VPN con una PSK asignada, lo cual genera un
    certificado PCF para usar en el equipo mvil.
    b- Una vez iniciada la conexin y validados los datos del Grupo VPN, se
    solicita el login de Usuario, el usuario puede estar definido en el mismo

    Router o bien el Router puede validar a travs de usuarios definidos en un


    Servidor RADIUS.

    En el equipo cliente, si bien no hace falta ninguna configuracin en el


    Sistema Operativo, se debe instalar el Software Cisco VPN Client, y luego
    importar el archivo PCF provisto por el Administrador de la red, o bien se
    puede generar con el mismo software a partir de los datos consignados en el
    Grupo VPN.

    En sistemas Linux se puede conectar sin necesidad del software Cisco


    siempre y cuando se cuente con el paquete VPNC, en tal caso son necesarios
    los datos del Grupo VPN, ya que no es posible importar el PCF (En versiones
    ms recientes de VPNC ya se puede importar).

    Se pueden conectar celulares y tablets con sistemas Android y Apple IOS, en


    Apple el soporte es nativo y en Android existen muchos software disponibles,
    siendo el ms recomendable el VPNCilla

    Вам также может понравиться