PROYECTO DE REDES DE COMPUTADORES, ELO-322

Utilizacin y Aplicacin de T neles IPsec en o o u ambiente de VPN empresarial

Sebastin Araya, Carlos Carvajal, Andrs Llico. a e
Resumen La utilizacin de un sistema VPN en o nuestra universidad permite a los profesores e investigadores el acceso remoto a las bibliotecas digitales accesibles desde el interior de la red de la universidad tal cual como si estuvieran f sicamente al interior de ella. Las redes privadas virtuales basadas en IPSec permiten hacer este trabajo de manera segura e independiente de las aplicaciones. En este informe se tratarn los aspectos generales a de un VPN, un t nel y la accin de tunneling, u o los principios de seguridad en la red, el concepto de IPSec, sus tecnolog as y trminos asociados, e adems de cmo responde IPSec a los principios a o de seguridad previamente planteados, para nalizar con la implementacin y funcionamiento de IPSec o y el sistema VPN de la universidad. Para responder a todo esto se realiz una investigacin tanto a o o los conceptos tericos como a prcticas de la vida o a real que forman parte de un sistema como el que ser ac expuesto. Los resultados obtenidos pera a miten tener una idea al menos bsica respecto de a cmo funciona y en qu consiste esta tecnolog que o e a crece cada d en el mundo (recordar grco de la a a visita a Global Crossing) con una mencin especial o al caso de nuestra universidad, donde tambin est e a implementada. Palabras Claves VPN, IPsec, Tunneling.

de forma segura y conable?.

A qu multinae

cional no le interesa que sus centrales y sucursales estn siempre conectadas de la misma mane era? Imaginemos este ultimo escenario con dis tancias contientales. Si se usara una red LAN el costo de implementacin es incre o blemente elevado. Asimismo, si se pensara en tener un cable desde la universidad al hogar de cada profesor/investigador, el costo no es factible y se atenta contra la conectividad que otorga internet y que la diferencia de los circuitos telefnicos. La solucin o o a esto son las VLAN o Virtual -LAN, que crean una red similar a una LAN pero sin que los equipos se encuentren f sicamente dentro de una. Ahora, para aplicar el concepto de privacidad estn las VPN (redes privadas virtuales) que bloquean, de manera similar a una LAN privada, las intrusiones de terceros, de diversas maneras. Una de estas maneras, que es la tratada en este informe, es la que utiliza la familia de protocolos IPSec, una familia de tecnolog que permite autenticar y enas criptar los paquetes IP de un stream de datos, dentro de otras cosas que sern explicitadas en a la seccin correspondiente. As creada la red viro ,

I. Introduction

tual gracias a un tnel e implementando IPSec u

o a QUIEN ? no le agrada trabajar desde obtendremos la solucin VPN que nos asegurar o la comodidad del hogar y, adems, la complecin de los principios de seguridad en la a

PROYECTO DE REDES DE COMPUTADORES, ELO-322

red tambin planteados en este informe. e II. Que es VPN ?.

importantes pero no estrictamente. La disponibilidad apunta a que una sesin de trabajo se lleve a o cabo y termine correctamente. De la mano con la

Se puede denir a una Red Privada Virtual VPN disponibilidad va la accesibilidad, pues no basta (sigla del ingls Virtual Private Network) como que un recurso est disponible, si no que sea utie e una tecnolog de red que permite la extensin de lizable con tiempos de respuesta aceptables. La a o una red interna de una Organizacin sobre una red condencialidad es la mantencin del secreto de o o p blica o no controlada (red insegura), externa a las informaciones (La condentialit est le mainu e la Organizacin, como por ejemplo Internet, otor- tien du secret des informations, cita de Le petit o gando al usuario los mismos privilegios y nivel de Robert) es decir, puede ser vista como la proacceso a la informacin que tendr si estuviese tecin de los datos contra una divulgacin no auo a o o dentro de la Organizacin (f o sicamente). torizada. La integridad se reere a que los recur III. Qu es un tunel ?. e Se dene como t nel a un conducto que traza u un camino unico desde un sitio a otro para transferir datos. Es el concepto clave para entender una VPN. A. Qu es tunneling ?. e La tcnica de tunneling consiste en encapsular e un protocolo de red sobre otro (protocolo de red encapsulador) creando un t nel dentro de una red u de computadoras. IV. Seguridad A. Principios de seguridad en la Red Toda solucin de seguridad debe cumplirlos. o B. Qu es IPSec? e IPsec (abreviatura de Internet Protocol secusos, datos, tratamientos, transacciones o servicios no hayan sido modicados, alterados o destruidos de forma intencional o accidental. La no repudiacin es la prevencin de la negacin de que o o o un mensaje ha sido enviado o recibido y asegura que el emisor del mensaje no pueda negar que lo envi o que el receptor niegue haberlo recibido. La o propiedad de no repudiacin de un sistema de seo guridad de redes de cmputo se basa en el uso de o rmas digitales. La autenticacin permite verio car la identidad anunciada y de asegurarse que sta no fue usurpada. Usa el control de acceso. e

o Dentro de las muchas caracter sticas de seguridad rity) es un conjunto de protocolos cuya funcin que uno busca cumplir, stas se resumen en una es asegurar las comunicaciones sobre el Protocolo e tr ada fundamental. Los principios fundamentales de Internet (IP) autenticando o cifrando cada pae son los de Disponibilidad, Condencialidad e Inte- quete IP en un ujo de datos. IPsec tambin ingridad. Luego de estos se plantean los de no repu- cluye protocolos para el establecimiento de claves u diacin y autenticidad, los que tambin son muy de cifrado. Los protocolos de IPsec act an en la o e

PROYECTO DE REDES DE COMPUTADORES, ELO-322

capa de red. Otros protocolos de seguridad para C.2 Certicados. Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte hacia arriba. Esto hace que IPsec sea ms exible, ya que puede ser a utilizado para proteger protocolos de la capa de transporte, incluyendo TCP y UDP, los protocolos ms usados. IPsec tiene una ventaja sobre SSL a y otros mtodos que operan en capas superiores. e Para que una aplicacin pueda usar IPsec no hay o que hacer ning n cambio, mientras que para usar u SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modicar su cdigo. o C.3 CA. La C. Tecnolog y conceptos asociados a IPSec as C.1 Llaves. estructura de los certicados es de Pero la existencia de tantas llaves p blicas denu tro de una red hace necesaria una identicacin o que permita asociar cada una de ellas a sus respectivos due os. Es de ah que surge un docun mento electrnico donde se indican datos como: o el propietario de la llave, algoritmo usado para su creacin, su tiempo de validez, su propsito, la o o llave p blica en s entre otras cosas. A este docu , umento se le denomina certicado.

conocimiento p blico, por ende, cualquier persona u es capaz de crear el suyo propio. Pero para poder asegurar que el certicado fue emitido por una persona sin nes maliciosos, se crean entidades

Para asegurar la conabilidad e integridad de de conanza que son las responsables de emitir e los mensajes intercambiados a travs de una red y revocar dichos certicados. A stas se les dee o se distinguen 2 tipos de llaves: p blicas y pri- nominan Autoridades de certicacin (Certicau vadas. Por lo tanto, en una comunicacin, el que tion Authority). o Estas vienen incorporadas de transmite el mensaje lo codica utilizando la llave forma nativa en la base de datos de los sistemas p blica del destinatario, el que con su llave pri- operativos y permiten comprobar si tras los ceru vada podr decodicar el mensaje. Para que el ticados que las distintas aplicaciones requieran, a destinatario pueda responder, debe tener la llave existe una autoridad que acredite que dicho certip blica del emisor y decodicar con su llave pri- cado es de conanza o no. u a vada. A este esquema se le denomina un sistema de llaves asimtrico. Por otro lado existen sise temas de llaves simtricas, donde la misma llave e C.4 SA. El establecer una comunicacin entre dos o

se utiliza tanto para decodicar como para codi- mquinas para realizar un intercambio de infora car los mensajes, por lo cual se debe compartir y macin de forma segura se le denomina Asociacin o o mantener en absoluto secreto entre ambos partic- de Seguridad (Security Association) dentro de lo ipantes de la comunicacin. o cual se incluyen aspectos como las llaves y los cer-

PROYECTO DE REDES DE COMPUTADORES, ELO-322

ticados a usarse, entre otras cosas. C.5 ISAKMP.

la misma conguracin (parmetro a parmetro). o a a De all surge la necesidad de crear un proto colo ms sencillo que permitiese implementarse de a

Pero cuando se habla de comunicaciones a forma universal y a la vez automatizado, con lo travs de Internet, el protocolo que rige el establec- cual surge IKEv2. e imiento de asociaciones de seguridad (SA) se denomina ISAKMP (Internet Security Association C.7 AH. and Key Management Protocol). Bajo este protoEn los paquetes enviados en una comunicacin o

colo se denen los procedimientos para la auten- utilizando IPsec, existe un elemento importante ticacin; la creacin, modicacin y eliminacin que permite garantizar la integridad y que la o o o o de SAs; tcnicas para la generacin de llaves, etc. fuente de origen sea autentica. e o Por lo cual, a ISAKMP se implementa sobre la capa de trans- los paquetes de IPsec se les agrega un encabezado porte y se puede implementar sobre cualquier pro- denominado Authentication Header donde se estocolo de la misma. C.6 IKE / IKEv2. Pero un protocolo que diga cmo establecer las o asociaciones de seguridad no es suciente, por C.8 ESP. ende, para poder congurar una SA, en particAl igual que AH, ESP busca proporcionar intetablecen los parmetros para llevar esto a cabo. a Cabe se alar que AH adems protege todos los n a campos no-modicables de los paquetes IP.

ular sobre IPsec, se requiere un protocolo que es- gridad, autenticidad y condencialidad de los patablezca cmo se realizar el intercambio secreto quetes. Para ello puede operar en distintas modalo a de llaves y para ello adems se apoya en ISAKMP. idades: de slo cifrado, slo autenticacin o ama o o o A este protocolo se le denomina IKE (Internet Key bas. La ultima es la ms utilizada pues otorga una Exchange). IKE consta de 2 etapas: mayor seguridad. Por otro lado, la gran diferencia Una primera etapa en donde se establece un que tiene de AH es que no proporcin proteccin o o canal de comunicacin segura, generando las llaves contra errores en la cabecera de los paquetes IP. o secretas que se utilizarn para la encriptacin. a o C.9 KINK. Mientras que en la segunda etapa, utilizando el

canal generado, se realiza la negociacin de la SA o y otros servicios como por ejemplo IPsec.

Al igual que IKE, KINK es un protocolo que permite congurar las asociaciones de seguridad

Pero IKE est abierto a diferentes interpreta- (SA) pero que utiliza el protocolo Kerberos que le a o ciones, y al contar con m ltiples opciones de con- permite a terceros manejar la autenticacin entre u a a guracin carece de sencillez, dicultando la co- las mquinas que se desean comunicar y adems o ticas de seguridad de forma centralizada. municacin en que ambas partes deb contar con las pol o an

PROYECTO DE REDES DE COMPUTADORES, ELO-322

D. Servicios de IPSec y cmo responden a los o principios de seguridad en la red. Dado que IP no provee por s slo ninguna o capacidad de seguridad, IPSec fue creado para otorgrselos. As cifrando el trco nos asegua , a ramos de la condencialidad, con la validacin nos o aseguramos de la integridad, la autenticacin se o garantiza al autenticar los extremos (asegurar que el extremo es de conanza) y adems nos asegua ramos de la anti-repeticin. Como fue mencionado o previamente en la seccin de tecnolog y cono as ceptos asociados, los principios de seguridad se logran gracias a los protocolos AH (Authentication Header) y el ESP (Encapsulating Security Payload). V. Conclusiones. Los sistemas IP VPN crecen con mayor rapidez cada d Se pudo ver en la visita a Global a. Crossing. A futuro este sistema ser utilizado a
[1] redes.html,

Referencias
http://html.rincondelvago.com/administracion-de-

[2] http://ru.wikipedia.org/wiki/RADIUS [3] http://fr.wikipedia.org/wiki/Lightweight Directory Access Protocol [4] [5] https://www.cisco.com/en/US/prod/collateral/vpndevc /ps6032/ps6094/ps6120/product data sheet0900aecd802930c5.html http://en.wikipedia.org/wiki/Layer 2 Tunneling Protocol #L2TP.2FIPsec [6] http://en.wikipedia.org/wiki/VPN [7] http://www.dcsc.utfsm.cl/redes/vpn/index.html [8] http://www.cisco.com/en/US/products/sw/secursw /ps2308/ [9] http://fr.wikipedia.org/wiki/IPsec [10] http://ru.wikipedia.org/wiki/IPsec [11] http://es.wikipedia.org/wiki/Autoridad de certicaci%C3%B3n [12] http://en.wikipedia.org/wiki/Certicate authority [13] http://en.wikipedia.org/wiki/Digital certicate [14] http://en.wikipedia.org/wiki/Public key [15] http://es.wikipedia.org/wiki/IPsec [16] http://en.wikipedia.org/wiki/Kerberized Internet Negotiation of Keys [17] http://en.wikipedia.org/wiki/Internet Key Exchange [18] http://en.wikipedia.org/wiki/Internet Security Association and Key Management Protocol

con Ipv6, pues fue pensado originalmente para l. e Las VPN representan una gran solucin para las o empresas en cuanto a seguridad, condencialidad e integridad de los datos y prcticamente se ha a vuelto un tema importante en las organizaciones, debido a que reduce signicativamente el costo de la trasnferencia de datos de un lugar a otro.

PROYECTO DE REDES DE COMPUTADORES, ELO-322

Contents I II Introduction Qu es VPN ?. e 1 2

VI. Anexos. A. Cmo funciona IPsec y el vpn de la universio dad. En el sistema de VPN de la universidad cada

III Qu es un tnel ?. e u III-A Qu es tunneling ?. . . . . . . . . . e IV Seguridad IV-A Principios de seguridad en la Red . IV-B Qu es IPSec? . . . . . . . . . . . . e IV-C Tecnolog y conceptos asociados as a IPSec . . . . . . . . . . . . . . .

2 usuario que desee utilizar la VPN debe estar in2 scrito. Se le otorga un nombre de usuario y contrase a unicos (al menos el nombre de usuario). n 2 Para poder acceder al servicio, deben correr desde 2 su ordenador el cliente sw de Cisco, donde una in2 terfaz amigable los espera. Normalmente luego de la conguracin inicial solamente debern abrirlo o a 3 e iniciar la conexin. Hecho esto, establecern o a 3 una conexin segura con la UTFSM y una IP loo 3 cal (de la red UTFSM). Pero esto va ms all, lo a a 3 que sucede por debajo de este escenario aparente 3 es que el cliente entabla una conexin con la o 4 ASA5510, que es la mquina que permite iniciar a 4 la conexin hacia la red USM, sta conrma con el o e 4 servidor RADIUS que el usuario y su contrase a n 4 son vlidos (RADIUS gestiona los usuarios con el a 4 servidor LDAP) y si los parmetros son aceptaa 5 dos, se dar acceso al sistema y se asignan los rea 5 cursos de direccin IP y el t nel (que bien podr o u a ser L2TP: Layer 2 Tunneling Protocol). Luego

IV-C.1 Llaves. . . . . . . . . . . . . IV-C.2 Certicados. . . . . . . . . . IV-C.3 CA. . . . . . . . . . . . . . IV-C.4 SA. . . . . . . . . . . . . . . IV-C.5 ISAKMP. . . . . . . . . . . IV-C.6 IKE / IKEv2. . . . . . . . . IV-C.7 AH. . . . . . . . . . . . . . IV-C.8 ESP. . . . . . . . . . . . . . IV-C.9 KINK. . . . . . . . . . . . . IV-DServicios de IPSec. . . . . . . . . . V Conclusiones. VI Anexos. VI-A Cmo funciona IPsec y el vpn de la o universidad. . . . . . . . . . . . . .

6 de esto, el usuario navega con todas las ventajas que tendr como si estuviera f a sicamente en la 6 UTFSM, pero en la comodidad de su hogar (probablemente) y a travs de un canal inseguro, como e es la internet, que es en s la gran magia de aplicar un t nel con IPSec. u