Академический Документы
Профессиональный Документы
Культура Документы
Una VPN es un concepto que describe cómo crear una red privada sobre la
infraestructura de red pública manteniendo la confidencialidad y seguridad. Las VPN
utilizan protocolos de tunneling criptográfico para dar autenticación, integridad de
los mensajes y confidencialidad, pretejiendo del sniffing de paquetes
Claves:
• Encapsulacióntambién referida a los túneles porque la encapsulación
transmite datos transparentemente de red a red a través de una estructura
de red compartida.
• Encriptacióncodifica los datos en otro formato. Desencriptación descodifica
los datos en su formato original.
Overlay VPNs
Los proveedores de servicios son los usuarios más comunes de las overlay vpn. El
diseño y provisión de vc a través del backbone es previo a cualquier flujo de tráfico.
En el caso de una red IP esto significa que a pesar de que la tecnología subyacente
es no orientada a conexión, requiere un enfoque orientado a conexión para poder
dar el servicio.
Incluye dos tipos:
• L2 Overlay VPNson independientes del protocolo de red utilizado por el
cliente.
• L3 Overlay VPNsuelen usar una combinación de túneles IP TO IP usando
PPTP(Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) e
IPsec.
CPE-Based VPN (Peer-To-Peer)
Es otro nombre par alas L3 Overlay VPN. El cliente crea una VPN a través de su
conexión a Internet sin conocimiento del proveedor de servicios. El cliente gana en
privacidad utilizando una conexión barata de Internet.
SP-Provisioned VPN
La introducción de MPLS combina los beneficios de las Overlay VPN con los
beneficios del routing simplificado de las Peer-To-Peer. MPLS VPN brinda un routing
más simple al cliente, más simplicidad de la provisión del servicio y un número de
topologías difíciles de implementar en los otros tipos de VPN. También añade los
beneficios de una topología orientada a conexión.
• Site-to-Site Intranet VPNune las oficinas centrales con las sedes remotas
sobre una infraestructura compartida utilizando conexiones dedicadas. La
intranet VPN se diferencian de las Extranet VPN en que las intranet permiten
el acceso solo a trabajadores de confianza. Los usuarios a cada extremo del
túnel pueden comunicarse con el resto como si la red fuera una única red.
Necesitan fuertes políticas de encriptada. Se suelen utilizar túneles IPsec o
IPsec/GRE. Ofrecen reducción de costes sobre las tradicionales líneas
dedicadas.
Data integritydesde que no hay control sobre la manera en que viajan los datos,
siempre existe la posibilidad que los datos sean modificados. La integridad de los
datos garantiza que no haya falsificaciones o alteraciones mientras la información
viaja del origen al destino. One-way hash functions, message authentication codes
(MAC), o firmas digitales.
Cuando se usa sólo, IPsec provee una red privada y fuerte para uso exclusivo con IP
unicast. IPsec utilizado conjuntamente con GRE da soporte a multicast y protocolos
IGP. Hay dos modos:
Tunnel modeencripta el encabezado y la carga de cada paquete mientras que el
modo transporte solo encripta la carga. Solo los sistemas que soportan IPsec
pueden aprovechar las ventajas del transport mode. Adicionalmente todos los
dispositivos deben usar una llave común y los firewalls de cada red deben tener
políticas parecidas. IPsec puede encriptar datos entre varios dispositivos, router a
router, firewall a router, pc a router y pc a servidor.
GRE cubre el encabezado ip y la carga de los paquetes con un encabezado GRE.
Tunneling in Site-to-Site VPNs
Tunneling: Remote-Access
En las remote-access se suele utilizar PPP y sus protocolos asociados. Cuando la
comunicación es establecida sobre la red entre el host y el sistema remoto, PPP es
el protocolo portador.
DES
Es un algoritmo que encripta por bloques. Encripta un bloque fijo de texto plano y lo
transforma a través de una serie de operaciones en otro bloque del mismo tamaño.
Tiene 2^64 combinaciones. DES simplemente reorganiza los bits de forma que se
requiere la operación inversa para decodificar los datos.
Utiliza una clave para cambiar los datos, por lo que solo podrán utilizar esos datos
quienes tengan esa clave. La clave consiste en 64 bits, pero solo 56 de esos bits se
utilizan. 8 bits se utilizan solo para chequear la paridad.
Se ha quedado obsoleto ya que no se considera seguro. Ha sido sustituido por 3DES
aunque recientemente se ha sustituido también por AES.
3DES
AES
El tamaño del bloque es de 128 bits y la contraseña es de 128, 192 o 256 bits.
Se utilizan dos algoritmos para IPsec, DH y RSA. RSA autentica el dispositivo remoto
mientras que DH intercambia las claves que se usan para encriptar.
RSA es un algoritmo para encriptación pública. Su seguridad se basa en dos
problemas matemáticos: factorizar números muy largos y el algoritmo RSA en si
mismo. Las claves RSA suelen ser de 1024 o 2048 bits.
DH combina las claves públicas con las claves secretas. DH es un sistema de
encriptación publico que da la posibilidad a dos vecinos establecer una clave
secreta que solo ellos conocen aunque los peers estén comunicándose a través de
un canal no seguro.
IPsec provee de un mecanismo para la transmisión segura de datos sobre redes ip,
asegurando confidencialidad, integridad y autenticidad de las comunicaciones de
datos sobre redes desprotegidas.
Data Integrityasegura que los datos lleguen sin ser manipulados. Para esto utiliza
hashes. HMAC (Hash-based Message Authentication Code) con funciones MD5 y
SHA-1.
IKE negocia las SA, que son acuerdos entre dos peers en un intercambio IPsec, y
consiste en todos los parámetros requeridos para establecer una comunicación
satisfactoria.
Funciones IKE:
• Negociación de las características de las SA
• Generación automática e las claves
• Refresco automático de las claves
• Configuración manual razonable
Las SA requieren:
• Internet Security Association and Key Management Protocol (ISAKMP)es un
protocolo que define los mecanismos para implementar IKE y negociar las
políticas de seguridad. ISAKMP se puede implementar sobre cualquier
protocolo de transporte.
• SKEMEes un protocolo de intercambio de claves que define como derivar
material de claves de autenticación con un refresco rápido de claves.
• OAKLEYun protocolo de intercambio de claves que define con adquirir las
claves de autenticación. El mecanismo básico es el algoritmo DH.
IKE fase 1Es la negociación inicial de las SAs entre dos peers IPsec, puede incluir
autenticación. Esta conversación entre dos peers puede ser susceptible de
espionaje sin comprometer significativamente el intercambio de claves. Las SAs de
fase uno son bidireccionales, los datos pueden ser enviados y recibidos usando las
mismas claves generadas. Ocurre en dos modos: modo principal y modo agresivo.
IKE fase 1.5 (opcional)a fin de autenticar a los participantes clientes de la VPN,
se puede utilizar un protocolo llamado Extender Authenticaton (Xauth), que provee
autenticación de usuarios en los túneles IPsec dentro del protocolo IKE.
Adicionalmente se pueden intercambiar otros parámetros entre los peers, DNS, IP
address…
IKE fase 2Esta fase la negocia el ISAKMP. Como las SA que son utilizadas por
IPsec son unidireccionales, se necesitan claves separadas para los diferentes flujos.
Los dos peers están entonces de acuerdo en los transform sets, hash methods, y
otros parámetros. Quick mode es el método utilizado para las SA de fase 2.
Modos de operación:
Extended Authentication
Xauth se basa en IKE. Permite autenticación, autorización y accounting (AAA) de
usuarios en una fase separada antes de la fase 1de IKE.
No reemplaza a IKE. IKE valida dispositivos, Xauth usuarios.
3.2.6 – ESP and AH Protocols, Transport and Tunnel Modes
Con ESP autenticado, IPsec encripta la carga usando una clave simétrica, entonces
calcula el valor de autenticación para los datos encriptadas utilizando una segunda
clave simétrica y el algoritmo HMAC-SHA1 o HMAC-MD5. El valor de la autenticación
ESP se añade al final del paquete. El receptor computa su propio valor de
autenticación de los datos encriptados utilizando la segunda clave y el mismo
algoritmo. El receptor compara los resultados, si hay matcheo desencripta los datos.
Un paquete ESP puede anidarse con un paquete AH. Primero, la carga es
encriptada. Después, la carga encriptada se pasa por un hash (MD5 o SHA1). El
hash brinda autenticación del origen e integridad de datos.
3.2.7 – AH Authentication and Integrity
Entre dos gateways de seguridad, los datos originales están bien protegidos porque
el datagrama ip original esta encriptado. Un encabezado ESP y un trailer se añaden
a los datos encriptados. Con la autenticación ESP, el datagrama encriptado y el
encabezado ESP se incluyen en el proceso de hashing. Al final, un nuevo
encabezado IP se añade a la cabeza de los datos autenticados. La nueva dirección
ip se utiliza para enrutar el paquete a través de Internet.
Cuando se seleccionan las dos, autenticación y encriptación, la encriptación se
realiza antes de la autenticación. Su función es facilitar la detección y rechazo
rápidos de paquetes retransmitidos o corruptos. Antes de desencriptar el paquete,
el receptor puede autenticar los paquetes entrantes. Autenticando primero el
receptor puede detectar problemas y reducir potenciales ataques DoS.
El modo transporte es el modo por defecto de IPsec. Solo protege la carga del
paquete y los protocolos de capas superiores, pero deja la dirección ip original
desprotegida. La ip original se usa para enrutar el paquete a través de Internet. El
modo transporte se utiliza entre dos hosts.
Cuando se utiliza el modo túnel, IPsec encripta el encabezado ip y la carga. Brinda
protección al paquete ip entero, tratándolo el paquete como una carga de paquete
AH o ESP. Se utiliza entre host y Gateway de seguridad o entre gateways.
Cuando se establece una conexión segura entre dos hosts, las propuestas de
seguridad se intercambian entre los routers. Estas propuestas identifican los
protocolos que se van a negociar. En vez de negociar cada algoritmo
individualmente, los algoritmos se agrupan en transforms sets, los cuales describen
que algoritmo de encriptado, autenticación, modo y tamaño de la clave.
DH Key Exchange
Cuando los peers llegan a un acuerdo en los parámetros de seguridad que van a
utilizar, cada dispositivo guarda la información en una Security Policy Database
(SPD). Esta base de datos incluye los algoritmos de encriptación y autenticación, ip
destino, modo de transporte, tiempo de vida de las claves, etc. Esto es lo que se
llama SA. Cada SA es unidireccional por lo que se necesitan dos SA para tener
comunicación bidireccional. El servicio VPN indexa la SA con un numero llamado
Security Parameter Index (SPI). En vez de enviar los parámetros individuales por el
túnel, el origen inserta el SPI en el encabezado ESP. Al llegar al destino, el peer saca
toda la información y la guarda en su SPD y procesa los datos según su SPD.
2. Definir el IPsec transform set. Define los parámetros del túnel, como
encriptación e integridad de algoritmos.
Los túneles GRE son stateless, sin control de flujo. Significa que cada punto final del
túnel no guarda información sobre el estado o disponibilidad del punto final remoto.
Esta característica ayuda a los proveedores de servicio a suministrar túneles ip a
sus clientes que no conscientes de la estructura interna del túnel en la parte del
proveedor.
Redundancy
Soluciones de redundancia:
• Dos enlaces de acceso.
• Múltiples peers.
• Dos dispositivos locales VPN.
• Rutas múltiples independientes.
Failure Detection
Para detectar los fallos en las rutas IPsec se utilizan:
• DPDes un mecanismo nativo de IKE
• Cualquier IGP corriendo sobre IPsec detectara fallas en la ruta
Para detectar fallos a nivel local se pueden utilizar protocolos como HSRP (Hot
Standby Router Protocol), VRRP (Virtual Router Redundancy Protocol) y GLBP
(Gateway Load Balancing Protocol).
Cisco IOS Keepalives siempre transmite keepalives mientras que DPD solo mandara
keepalives cuando no haya flujo de tráfico. El problema es que cada vez que se
manda un keepalive hay que encriptarlo y desencriptarlo, por lo que aportan una
carga extra de trabajo.
DPD utiliza mensajes bajo demanda. Se basa en los patrones de tráfico, si tiene que
mandar tráfico, primero manda un mensaje para saber si el peer está activo. Si el
router no está activo y no tiene tráfico para mandar, el router no podrá mandar
mensajes hasta que la SA se vuelva a establecer.
Los dispositivos detrás del router central pueden encontrar la ruta de vuelta a los
sitos remotos por dos mecanismos:
• HSRP en el interfaz interno, configurado muy parecido en el interfaz externo.
• Reverse Route Injection (RRI), para inyectar rutas de redes remotas dentro
de un IGP y distribuirlas a los demás routers en la red.
3.6.6 – Ipsec Stateful Failover
Cuando se configura IPsec como stateless failover, cuando sucede una falla, un
túnel caerá y tendrá que ser reestablecido. Stateful failover se asegura que al haber
una falla, cualquier túnel que caiga se reestablecerá automáticamente sin perder el
estado.
Para poder dar este tipo de servicio, deben correr dos dispositivos con las mismas
características.
SSO permite a los active y standby router compartir la información IKE e IPsec, para
que cada router tenga la información suficiente para convertirse en el router activo.
Las funciones principales de Cisco Easy VPN son simplificar la configuración del
cliente y centralizar la configuración para poder mandarla a los clientes. Esto se
realiza con el IKE Mode Config que hace que los clientes se descarguen los
parámetros de configuración. Los clientes tienen una preconfiguración con un
conjunto de políticas IKE y transform sets Ipsec.
Maneja automáticamente:
• Negociación de los parámetros del túnel, como direcciones, algoritmos y
Lifetime
• Establecimiento de túneles de acuerdo a los parámetros elegidos
• Crear automáticamente NAT o PAT y sus ACLs asociadas
• Autenticar usuarios
• Administración de claves de seguridad para encriptar y desencriptar
• Autenticar, encriptar y desencriptar los datos a través del túnel
El Cisco Unity Client protocol solo soporta políticas ISAKMP con el grupo DH 2
(1024). Cuando se vaya a utilizar Cisco VPN Client.
Con los Cisco Easy VPN Remote no soporta transform sets sin autenticación o sin
encriptación.