Documente Academic
Documente Profesional
Documente Cultură
Las Siglas VPN hacen referencia al acrónimo de el termino ingles “Virtual Private Network” o
“Red Privada Virtual” en castellano. Una red privada virtual es un tipo de tecnología que
permite la extensión de una red privada local a través del acceso remoto a sus recursos. Se
trata de una red de ordenadores que se construye mediante el uso de una red publica que
tomara el papel de medio transmisor entre dos o mas redes aisladas que pretendan
comunicarse entre si. Este tipo de redes es principalmente implementada con el fin de evitar
los costos que son propios a tener su propia linea dedicada para la comunicación de las
redes.
También nos referimos con el termino “privada” a estas redes haciendo alusión a que están
enfocadas a compartir información entre un grupo exclusivo de usuarios y a que por estar
apoyadas en una red publica debe manejar políticas de seguridad estrictas.
1.2. Tunneling o Tunelización de paquetes.
◦ Arquitectura de acceso remoto. Este tipo de VPN consiste en que los usuarios
se conectan a una red desde sitios remotos usando internet como vinculo de
acceso. Una vez el usuario se ha autenticado tiene un nivel de acceso bastante
similar al que tuviese si se encontrara conectado a la red de forma local.
• Ahorro. Este tipo de redes permite conectar redes geográficamente alejadas sin
necesidad de usar una red dedicada, ya que lo hace a través de la internet.
• Políticas de seguridad: El hecho de estar apoyada sobre una red de acceso publico
hace que el establecimiento de políticas de seguridad en una VPN sea obligatorio.
• Soporte de protocolos múltiples. Una VPN debe ser capaz de manejar los
protocolos comunes que se utilizan en la red publica. Estos incluyen el protocolo de
internet (IP), el protocolo de intercambio de paquetes de internet (IPX), entre otros.
2. CARACTERISTICAS DE SEGURIDAD DE UNA VPN
Esta característica se refiere a que para implementar una VPN se debe control sobre quienes
pueden usar la VPN (usuario/equipo) y que nivel de acceso tiene cada uno.
Estas técnicas de autenticación resultan ser de vital importancia, ya que aseguran que los
participantes de la VPN están intercambiando información con el usuario o dispositivo
correcto. La autenticación en una VPN es conceptualmente parecido al logeo en un sistema
con Usuario y Contraseña pero con necesidades mayores de aseguramiento de validación de
identidades.
Existen varios métodos para autenticar los usuarios de una red, los cuales se explican a
continuación.
Las funciones de hash o también conocidas como funciones de resumen, son funciones que
como cualquier otra asume un comportamiento que genera un resultado o imagen B a partir
de una entrada A. Las funciones hash arrojan un conjunto de bits de longitud fija que
dependen del tipo de función hash y los bits de entrada. Dicha función debe cumplir con
ciertas propiedades tales como:
• Sea cual sera la longitud de los bits de entrada en la función, la longitud de la salida
siempre es la misma.
• Es imposible reconstruir a través de algún algoritmo el texto que se utilizo para sacar
un numero de resumen. Esta propiedad hace referencia a que las funciones hash son
funciones de un solo sentido o unidireccionales
Ejemplo: Una función de hash puede ser la siguiente: Una función que traduzca cada
carácter del texto A a su equivalente en código ASCII, luego agrupa los caracteres de 3 en 3
y les aplica la función matemática (1º-2º)*3º.
• Resistencia a la pre-imagen. Esta propiedad tiene que ver directamente con ser una
funciones unidireccional o ser una “one way hash function”. Consiste en que dada
cualquier imagen y, es computacionalmente imposible encontrar un mensaje x tal que
H(x)=y.
• Resistencia a la colisión. Esta propiedad también es conocida como “Strong one way
hash function”. Significa que es computacionalmente imposible encontrar dos
diferentes mensajes x, x’ tal que h(x)=h(x’). Esta propiedad también se conoce como
resistencia a colisión fuerte.
Esta propiedad se refiere a que los paquetes que circulan por una VPN por ninguna razón
deben ser alterados mientras realizan su recorrido hasta la red de destino, tampoco deben
poder ser vistos por usuarios que no pertenezcan a la VPN. Para ello se hace uso de
algoritmos de Hash para la verificación de la integridad, y un proceso de encriptación para
salvaguardar los datos de os paquetes.
2.2.1. Encriptación.
La encriptación es el proceso en el cual los datos a proteger son traducidos a un código que
aparentemente es aleatorio y no tiene significado (los datos encriptados o cifrados). Un
algoritmo criptografico o cifrador es una función matemática usada en el proceso de
encriptación y desencriptación. Un algoritmo de encriptación trabaja en conjunto con una
clave (numero, palabra, frase, contraseña) para encriptar o desencriptar los datos. Para
encriptar datos el algoritmo combina matemáticamente la información a proteger con una
clave provista. El resultado de dicho calculo son los datos encriptados.
Si la clave o los datos encriptados son cambiados en algún momento el resultado sera
diferente.
2. Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o
dinero descifrar la clave que el valor posible de la información obtenida por terceros.
Las principales desventajas de los métodos
simétricos son la distribución de las claves, el
peligro de que muchas personas deban conocer
una misma clave y la dificultad de almacenar y
proteger muchas claves diferentes.
2. Conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro en
tiempo o dinero descifrar la clave que el valor posible de la información obtenida por
terceros.
4. Dado un texto encriptado con una clave privada sólo existe una pública capaz de
desencriptarlo, y viceversa.
2.3. No repudio: Cada mensaje enviado debe ser firmado de tal forma que quien lo envío no
pueda negar que lo hizo.
3. PROTOCOLOS PARA TUNELIZACION DE PAQUETES.
este protocolo perteneciente a la capa de enlace, descrito dentro de RFC 1661 a 1663 y por
tanto se trata de un protocolo de la pila TCP/IP. Es el estándar en internet para conexiones
de un nodo aislado, por ejemplo una computadora en el hogar a un servidor en internet y
provee los siguientes servicios. Esta permite establecer una comunicación a nivel de enlace
entre dos computadoras. Generalmente se utiliza para establecer la conexión a internet de
un particular con su proveedor de acceso a internet o ISP. Ya que el uso de internet es
inherente a la creación de una vpn esta debe ser establecida antes de generar el túnel.
• Una familia de protocolos de control de red para establecer y configurar los distintos
protocolos a nivel de red.
Supongamos que un usuario quiere establecer una conexión a internet. En primera instancia
llama al router del ISP a través de un modem conectado a la linea telefónica. Una vez el
router del ISP responde a la llamada se ha establecido una conexión y se empiezan a
mandar una serie de paquetes del protocolo LCP(Link control Protocol) en el campo de datos
de uno o mas marcos ppp. Estos paquetes y sus respuestas seleccionan los parametros ppp
por usar. Luego se intercambian paquetes de NCP (network control protocol) para configurar
la capa de red.
•
• Indicadores: estos campos delimitan el inicio y el fin del marco.
• Direccion: se elimina la necesidad de asignar una dirección al enlace de datos.
• Control: indica si se realiza control de marcos por medio de números de secuencia.
Por defecto este no tiene control.
• Protocolo: este valor indica el tipo de datagrama que va en el campo de carga util.
• Carga util: Contiene el datagrama del protocolo especificado.
PROTOCOLOS DE TUNNELING
Protocolo pptp
El principio del protocolo pptp es crear tramas del protocolo ppp y encapsularlas en
datagramas ip, por lo tanto, con este tipo de conexión , los equipos remotos en dos redes de
area local se conectan en una conexión de igual a igual (con un sistema de autenticacion y
cifrado) y el paquete se envia dentro de un datagrama IP.
Aplicación Datos
Transporte Cabecera TCP
Interwork Cabecera IP
Enlace Físico Cabecera PPP
Cabecera GRE
Cabecera IP
La comunicación segura que es establecida a través del protocolo PPTP involucra tres
procesos los cuales requieren ser realizados de forma secuencial.
1. conexión y comunicación pptp: El cliente pptp usara el protocolo ppp para conectarse a
su ISP. En esta se usa ppp para establecer una conexión y encriptar paquetes de datos.
2. control de conexión pptp: tras establecer una conexión a internet con el protocolo ppp el
pptp crea una conexión controlada a un servidor de acceso remoto pptp en internet para
establecer el tunel.
3. Tunneling pptp: Se crea un túnel de datos envolviendo datagramas ppp encriptados que
son enviados a través del túnel al pptp server el cual encripta y desencripta los datos para el
lado de la red que le corresponde.
Para la autenticación en pptp se utiliza CHAP, MS-CHAP y aceptar cualquier tipo inclusive
texto plano. Mientras el servidor aceptara autenticación CHAP, MS-CHAP y PAP.
el protocolo L2TP fue diseñado por un grupo de trabajo IETF como heredero aparente de
protocolos PPTP y L2F, con el fin de cubrir las deficiencias de dichos protocolos y esta
especificado en RFC 2661. Este esta ubicado en la capa de enlace pero al igual que su
antecesor pptp tiene problemas para definir la encriptacion estándar.
Al igual que pptp, el protocolo l2tp encapsula tramas ppp que a su ves encapsulan tramas de
otros protocolos. L2PT tambien utiliza ppp para establecer una conexión a internet y luego la
redirige hacia cierta parte que resultaria siendo el otro lado del tunnel.
El transporte de l2tp esta definido para una gran variedad de paquetes tales como x25, frame
relay, atm, etc. Este protocolo amplia las funciones ppp para que de soporte a un tunel en la
capa de enlace entre el cliente que realiza la peticion y el extremo en el que esta el servidor
L2TP de destino. En este cabe la posibilidad que donde finalice el protocolo de acceso
telefonico y donde se proporcione el acceso a la red sea distinto.
Dispositivos que intervienen con L2TP
• LAC: tambien conocido como concentrador de acceso l2tp por sus siglas en ingles:
“L2TP Access Concentrator” .Viene a la par con un dispositivo LNS y esta ubicado entre este
y un sistema remoto y se dedica a enviar paquetes entre ambos. Los paquetes entre el LAC
remoto y LNS son enviados a través del túnel l2tp y los paquetes entre el LAC y el sistema
remoto con enviados por medio de ppp.
• LNS: también conocido como servidor de red l2tp, actua como el otro extremo de la
conexión l2tp y es el otro par del LAC. Es la terminacion logica de una sesion ppp que esta
siendo puesta en un tunel desde un sistema remoto por el LAC.
• Mensajes de datos: Encapsulan marcos ppp y los envían a através del túnel. Van
sobre una canal de entrega no
confiable.
A pesar de que L2TP ofrece acceso economico, con soporte multiprotocolo y acceso a redes
remotas, no presenta caracteristicas criptografica especialmente robustas, como por
ejemplo:
• Solo realiza la operación de autenticacion a los extremos del tunel y no por cada
paquete, lo que puede dar lugar a suplantaciones de identidad.
• Sin comprobación de la integridad de cada paquete, sería posible realizar un
ataque de denegación del servicio por medio de mensajes falsos de control que den
por acabado el túnel L2TP o la conexión PPP subyacente.
• L2TP no cifra en principio el tráfico de datos de usuario, lo cual puede dar
problemas cuando sea importante mantener la confidencialidad de los datos.
• A pesar de que la información contenida en los paquetes PPP puede ser cifrada,
este protocolo no dispone de mecanismos para generación automática de claves, o
refresco automático de claves. Esto puede hacer que alguien que escuche en la red y
descubra una única clave tenga acceso a todos los datos transmitidos.
Debido a las anteriores fallas de seguridad el protocolo IpSec fue implementado junto con
este para proteger la seguridad de los datos.
PROTOCOLO IPSec
• Modo tunel: En este modo todo el paquete es encriptado y debe ser de nuevo
encapsuldo en un paquete ip para tareas de ruteo.
•
1. Cifrar el trafico de tal forma que nadie mas pueda ser leído por nadie mas que los
extremos del tunneling a los que va dirigido.
4. Anti-recepcion. Esto quiere decir que protege contra la repetición de la sesión segura.
Protocolos IPSec:
La familia de los protocolos IPSec esta formada por los protocolos AH o cabecera de
autenticacion y el protocolo ESP o Encapsulated Security payload. Ambos protocolos son
independientes.
EncapsulaciónL2TP:
Las tramas PPP (que consisten en un datagrama IP o un datagrama IPX) se empaquetan
con un encabezado L2TP y un encabezado UDP.
EncapsulaciónIPSec:
El mensaje L2TP resultante se empaqueta a continuación con un encabezado y un
finalizador de Carga de seguridad de encapsulación (ESP, <i>Encapsulating
Security Payload</i>) de IPSec, un finalizador de autenticación IPSec que
proporciona autenticación e integridad de mensajes y un encabezado IP final. El
encabezado IP contiene las direcciones IP de origen y de destino que
corresponden al cliente VPN y al servidor VPN.