Universidad Piloto de Colombia Seguridad en la VPN´S
Transcript of Universidad Piloto de Colombia Seguridad en la VPN´S
Universidad Piloto de Colombia
Seguridad en la VPN´S
Ardila Castillo, Niguer
Universidad Piloto de Colombia
Resumen- Las conexiones por redes LAN y WAN están reduciendo el costo y tiempo, para un mayor despliegue para las compañías, así centraliza toda su información y garantizando su disponibilidad, por medio de las VPN'S.
Significa una gran ventaja para las compañías que cuentan con múltiples sedes remotas, esto a conllevado a que se realicen ataques a estas infraestructuras, para acceder a la información confidencial.
La seguridad de las VPN’S se basa por medio software que cifra, certifica y autentica, contra firewalls para lograr hacer que la red sea impenetrable, pero esto solo es mitigable porque decir que la seguridad de una red está al 100 % es imposible.
Palabras claves — PPP, PPTP, protocolo, proxy, LAN, WAN,
router, SSL, TCP, IP, VPN, OSI, Modo túnel, L2TP, ISAKMP,
IPSEC, intranet, interred, internet, header, Gateway, Firewall,
ESP, DNS y Autenticación
Abstract- The connections through LAN and WAN networks
are reducing the cost and time, for a greater deployment for the
lines, thus centralizing all your information and guaranteeing its
availability, through the VPN's.
It means a great advantage for companies that have multiple
remote locations, this leads to attacks on these infrastructures, to
access confidential information.
VPN security is based on software that encrypts, certifies and
authenticates firewalls to make the Red Sea impenetrable, but
this is only mitigable because saying that the security of a
network is 100% is impossible.
Key words - PPP, PPTP, protocol, proxy, LAN, WAN, router,
SSL, TCP, IP, VPN, OSI, Tunnel mode, L2TP, ISAKMP,
IPSEC, intranet, interred, internet, header, gateway, Firewall,
ESP, DNS and Authentication.
I. INTRODUCCIÓN
Las conexiones por medio de VPN´S, han facilitado el acceso
a los recursos de la información de cualquier compañía, y
basándose en los pilares de la seguridad disponibilidad e
integridad.
En el pasado, cuando una empresa quería conectar su red a
máquinas en un control remoto ubicación se vieron obligados
a utilizar costosas líneas alquiladas para recibir lo que, por
hoy estándares, fue un desempeño menos que satisfactorio.
Con el despliegue generalizado de Internet y las tasas de
banda ancha cada vez mayores, la capacidad de conectar
recursos de red remotos usando Internet se volvió más
atractiva que la solución alquilada de alto costo.
Si bien el uso de recursos públicos hizo que el costo de la
conectividad remota sea sustancialmente menor. Sin embargo,
también presentaba un nuevo problema, a la seguridad. El uso
de una red pública para transmitir los datos privados abrió la
puerta a problemas de privacidad e integridad de datos, y una
forma de tratar con estos problemas es una red privada virtual
(VPN).
Probablemente la definición más simple para un VPN es una
red privada que en algún momento utiliza recursos públicos,
más comúnmente Internet. Es un sistema que permite
autenticación y cifrado de datos entre dos puntos finales. Esto
permite a las empresas mantener la seguridad y privacidad de
una red arrendada, mientras disfruta el costo y la velocidad
beneficios puestos a disposición por Internet.
Una vez que se crea el túnel VPN, diferentes tipos de usuarios
y recursos se puede acceder a través del túnel. Los
dispositivos móviles, como los PDA, pueden acceder a la
empresa servidores de correo electrónico para que puedan
mantenerse en contacto con clientes y socios comerciales;
servidor a servidor se puede compartir y los registros de
ventas se pueden cargar a la base de datos de la empresa sobre
la marcha.[20]
II. VPN SEGÚN SE CONECTIVIDAD
Las Redes Privadas Virtuales son conocidas a menudo como
conexiones VPN (Virtual Private Network). A través de una
red VPN los datos viajan cifrados y solamente podrán ser
descifrados por el destinatario y, por supuesto, por el emisor,
por lo cual todo el proceso resulta transparente para ambas
partes. De este modo no quedan expuestos a la captación
fraudulenta en su camino por la red.
La tecnología VPN permite la conexión a una red local desde
una localización remota, a través de otro tipo de red, como
por ejemplo internet. Una aplicación de ejemplo es la que se
da en muchas instituciones, donde solo son accesibles algunos
recursos desde equipos que se encuentran en su propia red
local por motivos de seguridad. Para permitir el acceso desde
fuera deberá crearse una conexión mediante VPN, lo que
«registrará» a nuestro equipo como perteneciente a la red
local y permitirá su acceso.
Para que todo el tráfico VPN pueda considerarse seguro, es
necesario que se garanticen cuatro principios básicos.[1]
Autenticación y autorización: Permite conocer en todo
momento que persona realiza las operaciones, para que tenga
Universidad Piloto de Colombia
las mismas garantías que si las realizara personalmente en la
empresa o institución.
No repudio: Garantiza que las tareas que se efectúen han sido
realizadas por la persona que se ha autenticado.
Integridad: Evita que los datos enviados o recibidos no
puedan ser modificados durante el trayecto ya sea por terceros
o fallos en la red.
Confidencialidad: Cifrar los datos enviados y recibidos para
que no sean entendibles si éstos son interceptados.[2]
Ilustración 1: conexión VPN.
Se caracteriza por que la mantiene un Proveedor Externo de
Acceso remoto (Ilustración 3) por medio de llamadas locales
o gratuitas y por Ubicuidad del acceso.
Una Instalación y soporte del Proveedor de servicio, Acceso
único al nodo central, tecnologías de acceso como: RT C,
ISDN, XDSL; movilidad IP que permite conectarse a usuarios
individuales a la Central a través de Internet o de otras redes
públicas con servicio seguro. Y una Seguridad reforzada por
el cliente. Sus beneficios son el ahorro económico para
reemplazar servidores RAS y conexiones de larga distancia
(dial-up) con conexiones ISP.
Ilustración 2: VPN de acceso remoto.
Una VPN de Intranet vincula la oficina remota o sucursal a la
red corporativa, a través de una red pública, mediante un
enlace dedicado al proveedor de servicio. La VPN goza de las
mismas cualidades que la red privada: seguridad, calidad de
servicio y disponibilidad, entre otras (Ilustración 3).
Una Intranet es una Red Privada a la cual tienen acceso
únicamente los dispositivos de una organización. Esos
dispositivos pueden conectarse directamente a la red cuando
están en la misma ubicación física, pero algunas veces es
necesario conectar a una red privada dispositivos que se
encuentran en otras ubicaciones en la misma ciudad, en el
mismo país, o en otro país.
Para esto se utilizan las conexiones de Red Privada Virtual, o
VPN, que usan protocolos que permiten el paso de la
información a través de los routers de la red pública de
manera encriptada (OpenVPN, L2TP/IPSec, SSTP,
GRE/IPSec, etc.)
Ilustración 3: VPN de acceso remoto.
Las VPN de extranet permiten un flujo selectivo de
información entre socios comerciales y clientes, con un
énfasis en control de acceso altamente granular y
autenticación fuerte. Por ejemplo, administradores de
seguridad puede otorgar privilegios de acceso específicos del
usuario a aplicaciones individuales que utilizan múltiples
parámetros, incluidos el origen y direcciones de destino,
grupo de usuarios de ID de usuario autenticado, tipo de
autenticación, tipo de aplicación (por ejemplo, FTP, Telnet),
tipo de cifrado, la ventana de día / hora e incluso por dominio.
Una VPN extranet podría usar un modelo de sitio de usuario a
central, en el que una sola compañía comparte información
con la cadena de suministro y socios comerciales, o un
modelo de sitio a sitio, como el Automotive Network
Exchange.
Si usa el modelo de usuario a sitio, los criterios de evaluación
son similares a los VPN de acceso remoto con la excepción
que el escritorio del usuario no estará bajo el control del sitio
central. Porque la computadora del usuario de extranet es bajo
el control de su propia política de seguridad de la compañía,
puede haber un conflicto en la política de seguridad,
implementado en la computadora de los usuarios. En general,
los socios de extranet en el modelo de usuario a sitio deberán
trabajar juntos para llegar a un acuerdo sobre la
implementación de la política de seguridad en el escritorio del
usuario, problemas de instalación del cliente VPN, servicio de
asistencia, mantenimiento continuo si un socio exige el uso de
un cliente VPN en particular y responsabilidad problemas si
la negligencia de un socio lleva al compromiso de la red del
otro socio. El hardware las plataformas compatibles con el
cliente VPN de un proveedor también serán un problema que
requerirá una encuesta de posibles plataformas que utilizarán
los socios remotos de la extranet. En su mayor parte, el acceso
basado en la web a menudo se usa como software cliente de
elección en entornos de extranet, y SSL a menudo se elige
como protocolo de seguridad.
Esto simplifica enormemente los problemas de configuración
y mantenimiento que deberán ser confrontados. Con una VPN
extranet, realmente lo hace no importa si todos los
Universidad Piloto de Colombia
participantes usan el mismo ISP, suponiendo que se
proporcione una calidad de servicio aceptable por el ISP
elegido. Todo lo que se requiere es que cada miembro del
grupo tenga algún tipo de acceso a la Internet. El software o
equipo VPN en cada sitio debe configurarse con la dirección
IP del Equipo VPN en el sitio principal de la extranet.
(Ilustración 4).[14]
Ilustración 4: VPN extranet.
III. REQUERIMIENTOS BÁSICOS EN VPNS.
Por lo general, al implementar una solución de red remota,
una compañía necesita facilitar el acceso controlado a los
recursos corporativos e información. La solución debe
permitir la libertar de conectar a clientes remotos a la red
LAN, así como las oficinas remotas se conecten entre sí para
compartir recursos e información (conexión de LAN a LAN).
Además, la solución debe garantizar la privacidad e integridad
de datos cuando atraviesa el Internet público. Lo mismo se
aplica en el caso de datos sensibles que cruzan una Intranet
corporativa.
Por lo tanto, una solución de VPN debe proporcionar todo lo
siguiente:
Autenticación del Usuario. La solución deberá
verificar la identidad del usuario y restringir el
acceso a la VPN para que sólo permita a los usuarios
autorizados, además de proporcionar auditorias y
grabar la contabilidad para mostrar quien accedió a
qué información y cuando.
Manejo de Direcciones. La solución deberá asignar
una dirección al cliente en la red privada, y
asegurarse que estas direcciones privadas se
mantengan privadas.
Encriptación de Datos. Los datos que viajan en la red
pública no podrán ser leídos por clientes no
autorizados en la red.
Administración de Llaves. La solución debe generar y
renovar las llaves de encriptación para el cliente y
servidor.
Soporte de protocolo múltiple. La solución debe poder
manejar protocolos comunes utilizados en la red
pública. Como son IP, IPX y sucesivamente.
En Internet la solución de VPN basada en el Protocolo de
Punto-a-punto (PPTP, Point-to-Point Protocol) o la capa 2
Protocolo de Túnel, Layer 2 Tunneling Protocol) reúne todos
estos requisitos básicos, y se aprovecha de la amplia
disponibilidad de Internet a nivel mundial. Otras soluciones,
incluso el nuevo IP Protocolo de Seguridad (IPSec, Security
Protocol), reúnen algunos de estos requisitos.[5]
IV. BASES DE TÚNEL.
Mecanismos de seguridad del nivel de red.
Es el mecanismo de seguridad más robusto de todos. Una
VPN es una conexión que tiene la apariencia y muchas de las
ventajas de un enlace dedicado, pero trabaja sobre una red
pública. Para este propósito utiliza una técnica llamada en
tunelamiento (tunneling), de tal forma que los paquetes de
datos son enrutados por la red pública (Internet o alguna otra
red comercial), en un túnel privado que simula una conexión
punto a punto. Este recurso hace que por la misma red puedan
crearse muchos enlaces por diferentes túneles virtuales a
través de la misma infraestructura.[15]
Algunos ejemplos de tecnologías maduras incluyen:
PPTP. fue la solución de Microsoft para crear redes
privadas virtuales. Con su uso podemos disfrutar de
ventajas y/o facilidades como: la multitud de
protocolos que puede transportar. Con IPsec solo
podíamos encapsular tráfico de red IP unicast. Y tan
sólo usando como intermediario el protocolo GRE, y
con IPsec funcionando en modo transporte,
podíamos encapsular otros tipos de protocolos como
IPX o tráfico multicast. Esto se debe a que PPTP usa
PPP como protocolo de transporte. Este uso de PPP
además nos permite usar la compresión MPPC y la
autenticación de usuarios mediante PAR, CHAP y
MS-CHAP. IPsec usa Xauth, pero esta solución aún
no es un estándar; No es necesario instalar ningún
tipo de cliente añadido para poder conectarte a esa
red remota segura si es que tus terminales de cliente
(PC's) usan el sistema operativo Windows.[16]
LT2P. Permite que se encripte el tráfico IP, IPX o
NetBEUl y posterior se remitirá sobre cualquier
medio que de el soporte a la entrega de datagramas
punto a punto, como IP, X.25, Frame Relay, o ATM.
IPSec. El Modo de Túnel IPSec deja encriptar los
paquetes y después encapsularlos en una cabecera IP
para enviarse a través de una red corporativa IP o
una red pública IP como el Internet.[6]
V. PROTOCOLOS DE TÚNEL.
PPTP o Protocolo de Túnel Punto a Punto (del inglés, Point-
to-Point Tunneling Protocol es un protocolo de red que
permite comunicaciones seguras entre clientes remotos y
servidores, empleando redes públicas como Internet.
Universidad Piloto de Colombia
Para establecer un túnel, tanto el túnel del cliente y el túnel
del servidor deberán utilizar el mismo protocolo de Túnel. La
tecnología de Túnel se puede basar en el Protocolo de Túnel
de la capa 2 o 3 que corresponden al Modelo de Referencia
OSI.
En un principio fue ideado para las VPN de acceso remoto,
aunque también puede ser usado en las VPN de punto a
punto.
Es un túnel voluntario que se crea mediante una conexión
dial-up, que opera en la capa 2 del modelo OSI (capa de
enlace de datos).
PPTP es una extensión del protocolo PPP, cuyos paquetes se
encapsulan en otros IP, y que incorpora otros mensajes de
control para gestionar el túnel.
Este protocolo únicamente se encarga de la creación y gestión
del túnel, por lo que, tanto para el cifrado de los datos como
para la autenticación de los usuarios, cada fabricante puede
emplear los protocolos que considere oportuno, lo cual puede
ocasionarnos problemas de compatibilidad.
Una vez que la conexión de control se ha establecido, se crea
el túnel PPTP propiamente dicho, que será el encargado de
transmitir la información encapsulada entre los interlocutores
de la comunicación.
El transporte de los datos se realiza a través de tramas PPP
encapsuladas mediante Encapsulación Genérica para Ruteo o
GRE (del inglés, Generic Routing Encapsulation), el cual
realiza únicamente este proceso, por lo que requiere ser
combinado con otros protocolos que añadan mecanismos de
seguridad.
El Protocolo de Túnel de Capa 2 (L2TP, del inglés Leyer 2
Tunneling Protocol) nació con el objetivo de ofrecer
conexiones seguras a través de Internet por las que realizar
transmisiones de información.
Desarrollado por un grupo de trabajo de IETF (especificado
en el estándar RFC 2661), ha ganado gran peso dentro del
ámbito de las redes privadas virtuales, convirtiéndose en uno
de los protocolos de referencia utilizados en estas tecnologías,
tanto en VPN de acceso remoto como en las de punto a punto.
Este protocolo encapsula tramas PPP para que puedan ser
transmitidas mediante redes IP, X.25, Frame Relay o ATM.
Debido a esta característica, puede ser empleado en la
creación de túneles para VPN a través de Internet, ofreciendo
en ellos un plus de seguridad al disponer de opciones de
compresión y/o cifrado de los datos cuando van a ser
enviados. También puede ser combinado con el protocolo
IPSec (que veremos a continuación) cuando los túneles
trabajan con paquetes ll), dando lugar a una configuración
denominada L2TP/lPSec, la cual garantiza un nivel de
protección de la información muy alto en las comunicaciones.
Además, L2TP tiene implementadas varias opciones de
autenticación de usuarios (CHAP, MS-CHAP, MS•CHAPv2,
EAP), permitiendo el uso de certificados digitales en estos
procesos para aumentar más su seguridad.
Es el extremo del túnel L2TP que unirá los clientes remotos a
un LNS para intercambiar información entre ellos, mediante
una conexión local o con un enlace PPP.
Este equipo deberá tener los elementos de conexión a la red, o
un sistema de terminación PPP que gestione el protocolo
L2TP.Los túneles de este protocolo pueden ser usados sobre
redes IP, como es el caso de Internet. El transporte de los
mensajes, tanto los de control como las tramas encapsuladas
de datos, se realiza mediante UDP.[17]
El protocolo de capa 2 corresponde al Nivel de Enlace de
Datos, y usa frames como su unidad de intercambio. PPTP,
L2TP y L2F son de capa 2.
Estos protocolos encapsulan el paquete en un PPP que será
enviado por la interred. El protocolo de capa 3 corresponde al
Nivel de Red y utilizan paquetes. IPSec e IP sobre IP son de
capa 3. Estos protocolos encapsulan los paquetes IP en una
cabecera IP adicional antes de enviarlos por una interred IP.
Para los protocolos de Túnel de capa 2 como PPTP y L2TP,
un túnel es similar a una sesión; los dos puntos finales del
túnel deben aceptar el túnel y negociar variables de la
configuración, tal como asignación de dirección o los
parámetros de encriptación o de compresión. En ambos casos
los datos transferidos atraviesan el túnel enviado usando un
protocolo de datagrama. El protocolo de mantenimiento del
túnel es usado como un mecanismo para administrar el túnel.
El túnel debe ser creado, mantenido y después terminado.
Para los protocolos de Túnel de capa 3 generalmente supone
todas las cuestiones de configuración son manejadas fuera de
banda, a menudo por procesos manuales. Para estos procesos,
no hay fase de mantenimiento de túnel.
Una vez que el túnel se establece, los datos del túnel pueden
ser enviados. El túnel cliente o servidor utilizan un protocolo
de transferencia de datos del túnel a fin de preparar los datos
para la transferencia.[7]
A. Protocolos y requerimientos básicos de túnel.
Se basan en el protocolo de PPP, el protocolo de Nivel 2
(PPTP y L2TP) heredan un conjunto de características útiles.
Estas características, y sus contrapartes de capa 3 cubren los
requerimientos de VPN básicos:[7]
Autenticación de Usuario. Los protocolos de túnel de
nivel 2 heredan al usuario la autenticación de
esquemas PPP, incluso los métodos de EAP. Los
esquemas de túnel de capa 3 asumen que los puntos
finales (endpoints) son conocidos (y autenticados)
antes que el túnel se establezca.
Soporte de tarjeta de señales. Usando EAP, el
protocolo de túnel de capa 2 soporta una amplia
variedad de métodos de autenticación, y las
Universidad Piloto de Colombia
contraseñas de "una sola vez", calculadoras
criptográficas, y tarjetas inteligentes. Los protocolos
de túnel de Nivel 3 usan métodos similares.
Asignación de Dirección Dinámica. El túnel de nivel 2
apoya la asignación dinámica de direcciones del
cliente basados en el Protocolo de Control de la Red
(NCP, Network Control Protocol) del mecanismo de
la negociación. Los esquemas de túnel de capa 3
asumen que una dirección ya ha sido asignada
anteriormente para inicializar el túnel.
Compresión de Datos. Los protocolos de túnel capa 2
soportan esquemas basados en esquemas de
compresión PPP. El IETF está investigando
mecanismos similares para los protocolos de túnel
capa 3.
Encriptación de Datos. Los protocolos de túnel de capa
2 soportan mecanismos basados en la encriptación de
datos PPP. Los protocolos de túnel capa 3 pueden
usan métodos similares.
Administración de llaves. MPPE, un protocolo de capa
2, se basa en las claves iniciales generadas durante la
autenticación del usuario, y luego la renueva
periódicamente. IPSec, explícitamente negocia una
llave común durante el intercambio de ISAKMP, y
también la renueva periódicamente.
Soporte de protocolo múltiple. Los protocolos de túnel
de capa 2 soportan múltiples cargas de protocolos, lo
cual hace sencillo para los clientes del túnel acceso a
la red de la corporación usando IP, IPX, NetBEUl, y
más. Los protocolos de túnel de capa 3 como el
modo de túnel IPSec, soporta solo tarjetas de redes
que usan el protocolo de IP.
B. Tipos de túnel.
Diversos proveedores que venden servidores de acceso de
marcación han implementado la capacidad para crear un túnel
en nombre del cliente de marcación. La computadora o el
dispositivo de red que proporciona el túnel para la
computadora del cliente se conoce como Procesador Frontal
(FEP) en PPTP, Concentrador de Acceso L2TP en L2TP, o
un Gateway de seguridad en IP en IPSec. FEP describe esta
función sin tomar en cuenta el protocolo de túnel.
FEP debe tener instalado el protocolo de túnel apropiado y ser
capaz de establecer el túnel cuando se conecte la computadora
cliente Ilustración 5. FEP puede establecer túneles a través de
Internet a un servidor de túnel conectado a la red privada de la
corporación, y así logra fortalecer las llamadas de diversas
zonas geográficas en una sola conexión a Internet en la red
corporativa.[7]
Ilustración 5: Túnel obligatorio.
Esta configuración se conoce como Túnel Obligatorio, debido
a que el cliente está obligado a usar el túnel creado por el
FEP. Una vez la conexión inicial está hecha, todo el tráfico de
la red para y del cliente es enviado automáticamente a través
del túnel. Con túneles obligatorios, la computadora del cliente
hace una simple conexión PPP, y cuando un cliente marca al
NAS, un túnel es creado y todo el tráfico es automáticamente
enrutado a través del túnel. El FEP puede ser configurado
para hacer un túnel a todos los clientes de marcación hacia un
servidor específico del túnel. Además, el FEP podría hacer
túneles individuales de clientes basados en el nombre o
destino del usuario.
Un túnel entre el FEP y servidor del túnel puede ser
compartido por múltiples clientes de marcación. Cuando un
segundo cliente marca al FEP para alcanzar un destino para el
cual un túnel ya existe, no hay ninguna necesidad de crear una
nueva instancia del túnel entre el FEP y servidor del túnel.
El tráfico de datos para el nuevo cliente es llevado sobre un
túnel existente y puede haber múltiples clientes en un solo
túnel, pero el túnel no es terminado hasta que el último
usuario se desconecta del túnel.
Un servidor de acceso de marcación VPN capaz configura y
crea un túnel obligatorio. Con un túnel obligatorio, la
computadora del usuario no es un punto terminal del túnel.
Otro dispositivo, el servidor de acceso remoto, entre la
computadora del usuario y el servidor del túnel es el punto
terminal del túnel y actúa como el cliente del túnel.
Un túnel voluntario ocurre cuando una estación de trabajo o
ruteador de servidor utiliza el software del cliente del túnel,
para crear una conexión virtual al servidor del túnel objetivo.
Para esto, el protocolo de túnel apropiado debe ser instalado
en la computadora del cliente. Para los túneles voluntarios se
requiere una conexión IP (a través de una LAN o por
marcación).
En una situación de marcación (dial-up), el cliente debe
establecer una conexión de marcación antes que el cliente
pueda establecer un túnel.
En una PC conectada a una LAN, el cliente ya tiene una
conexión a la interred que puede proporcionar enrutamiento a
los paquetes encapsuladas al servidor del túnel LAN
escogido.
Es un concepto erróneo común que las VPN requieran una
conexión de marcación. Solo se requiere una red IP. Algunos
clientes (PCs de casa) usan conexiones de marcación a
Universidad Piloto de Colombia
Internet para establecer transporte IP. Éste es un paso
preliminar en la preparación para crear un túnel, y no es parte
del protocolo del túnel mismo. [7]
VI. PROTOCOLO DE PUNTO A PUNTO (PPP).
El protocolo punto a punto (PPP, «Point to Point Protocol»)
permite transportar datagramas de múltiples protocolos sobre
enlaces punto a punto que proporcionan comunicación
simultánea en ambos sentidos y en los cuales los paquetes se
entregan en orden.
Componentes del protocolo:
Un método para encapsular datagramas: Las unidades de
transmisión de nivel de red, o datagramas, se trocean en
paquetes, que son las unidades básicas de encapsulado. A
cada uno de estos paquetes se le añade una cabecera que
contiene un identificador del tipo de paquete, dando lugar a
una trama, que constituye la unidad de transmisión en el nivel
de enlace de datos y que es denominada trama PPP.
1. Un protocolo de control del enlace (LCP, «Link Control
Protocol»). Este protocolo se utiliza para realizar las
siguientes funciones:
— poner de acuerdo con las dos partes sobre las opciones de
formatos de encapsulado (por ejemplo, para determinar el
tamaño máximo de los paquetes);
— detectar problemas de configuración entre las partes; y,
opcionalmente,
— autenticar a las partes,
— testear el funcionamiento del enlace.
2. Una familia de protocolos de control del nivel de red
(NCP, «Network Control Protocol») para establecer y
configurar diferentes protocolos de nivel de red.
En concreto, dentro de esta familia de protocolos, el protocolo
de control IP (IPCP, «Internet Protocol Control Protocol») es
el responsable de configurar, habilitar e inhabilitar los
módulos del protocolo IP en ambos extremos del enlace.
Adicionalmente, el protocolo IPCP también puede utilizarse
para asignar la dirección IP a una de las partes
(habitualmente, a la que accede remotamente desde el enlace
punto a punto establecido sobre la red de acceso externa). [8]
Como consecuencia de lo anterior, a través del enlace punto a
punto circulan, encapsulados en tramas PPP, paquetes
correspondientes a cada uno de los distintos niveles del
protocolo:
a) Paquetes de red conteniendo información de usuario (por
ejemplo, datagramas IP). Sobre un mismo enlace, además, es
posible multiplexar paquetes de diferentes
protocolos de red.
b) Paquetes de los protocolos de control del nivel de red
(NCP).
c) Paquetes del protocolo de control del enlace (LCP).
d) Por último, paquetes de red que, por su bajo volumen de
tráfico no requiere ningún protocolo de control asociado.[8]
PPP es un protocolo de capa 2, diseñado para enviar datos a
través de conexiones de marcación o de Punto a Punto
dedicadas. PPP encapsula paquetes IP, IPX, y NetBEUl
dentro de frames de PPP, luego transmite los paquetes PPP
encapsulados a través de un enlace punto a punto. PPP se usa
entre un cliente telefónico y un NAS. [8]
Hay cuatro fases distintas de negociación en una sesión
telefónica PPP, y deben completarse exitosamente antes que
la conexión PPP esté lista para
transferir los datos del usuario.
Fase 1: Establecer un enlace PPP. PPP usa el
Protocolo de Control de Enlace (LCP, Link Control
Protocol) para establecer, mantener, y terminar la
conexión física. En la fase inicial de LCP, se
seleccionan opciones de comunicaciones básicas.
Durante la Fase 1, se seleccionan los protocolos de
autenticación, pero no se llevan a cabo hasta la fase
de autenticación de conexión (Fase 2). De manera
similar, durante una decisión LCP se toma una
decisión acerca de que si dos iguales negociarán el
uso de compresión y/o encriptación. La elección real
de algoritmos de compresión / encriptación y otros
detalles ocurre durante la Fase 4.
Fase 2: Autenticar al usuario. La PC cliente presenta
las credenciales del usuario al servidor de acceso
remoto. Un esquema de autenticación seguro
proporciona protección contra ataques de repetición
y personificación de clientes remotos.
Muchas de las implementaciones de PPP proporcionan
métodos de autenticación limitados como PAP, CHAP y
MSCHAP. [8]
PAP es un esquema simple y claro de autenticación de texto,
este esquema de autenticación no es seguro porque una
tercera parte pudiera capturar el nombre del usuario y
contraseña y podría usarlo para conseguirle acceso
subsecuente al NAS y a todos los recursos proporcionados
por el NAS. PAP no proporciona ninguna protección contra el
ataque de reproducción o la personificación del cliente remoto
una vez que se compone la contraseña del usuario.[9]
CHAP (Ilustración 6) es un mecanismo de autenticación
encriptado que evita la transmisión de contraseñas reales en la
conexión. El NAS envía una petición (challenge) que consiste
en una ID de sesión y una cadena de petición arbitraria, para
el cliente remoto. El cliente remoto debe usar el algoritmo de
control unidireccional MD5 para devolver el nombre del
usuario y una encriptación de la petición, la sesión ID, y la
contraseña del cliente. El nombre del usuario se envía sin
digerir (unhashed).
CHAP es una mejora sobre PAP en cuanto a que no envía la
contraseña del texto claro sobre el enlace. Y la contraseña se
usa para crear un hash encriptado para la petición original.
CHAP protege contra los ataques de reproducción empleando
una cadena de petición arbitraria para cada intento de
Universidad Piloto de Colombia
autenticación. CHAP protege contra la personificación del
cliente remoto de manera impredecible enviando
repetidamente peticiones al cliente remoto por todas partes
durante la conexión.[9]
Ilustración 6: Proceso CHAP.
MS-CHAP es un mecanismo de autenticación de encriptación
muy similar al CHAP. Este diseño manipula una verificación
del MD4 de la contraseña, proporciona un nivel adicional de
seguridad, porque permite al servidor guardar contraseñas
verificadas en lugar de las contraseñas del texto transparentes.
El MS-CHAP proporciona códigos adicionales de error,
códigos de contraseñas ya expiradas y mensajes adicionales
de cliente-servidor encriptadas que permite a los usuarios
cambiar sus contraseñas. [9]
Durante la fase 2 de la configuración del enlace de PPP, el
NAS recopila los datos de autenticación y luego valida los
datos contra su propia base de datos del usuario o contra un
servidor central de base de datos de autenticación.
Fase 3: Control de Retorno de PPP. En esta fase se
utiliza el Protocolo de Control de Retorno de
Llamada (CBCP) inmediatamente después de la fase
de autenticación. Esto proporciona un nivel adicional
de seguridad para las redes de marcación. NAS
permite conexiones de clientes remotos que residen
físicamente sólo en números telefónicos específicos.
Fase 4: Invocación de Protocolos de Nivel de Red.
Una vez que las fases anteriores se han completado,
PPP invoca varios Protocolos de Control de Red
(NCP) que son seleccionados durante la fase de
establecimiento de enlace (Fase 1) para configurar
protocolos usados por el cliente remoto.
Fase de transferencia de datos. Una vez se han
completado las cuatro fases de negociación, PPP
empieza a transmitir datos hacia y desde las dos
partes. Cada paquete de datos transmitido se
encapsula en un encabezado de PPP que es
eliminado por el sistema receptor. Si la compresión
de datos se seleccionó en la fase I y se negoció en la
fase 4 los datos serán comprimidos antes de la
transmisión. Pero si se seleccionó y se negoció de
manera similar la encriptación de datos, los datos
(opcionalmente comprimidos) se encriptarán antes
de la transmisión.
VII. PROTOCOLO DE TÚNEL DE PUNTO A PUNTO.
La desventaja de PPTP es que su seguridad es más débil que
la seguridad que nos permite IPsec. En el funcionamiento de
PPTP entran en juego tres entidades: PAC, PNS y el cliente
remoto.
PAC: Es el terminador del túnel seguro que se encuentra en el
lado del cliente remoto. Su función es encriptar y desencriptar
la información que viaja por el túnel PPTP para que de esta
forma se pueda liberar al cliente de esta carga. En la
actualidad las funciones de LAC y cliente remoto pueden ser
desarrolladas por el equipo del cliente.
PNS: Es la puerta de enlace segura que termina el otro
extremo del túnel PPTP y lo conecta con la red privada a la
que el cliente remoto quiere conectarse. También realiza las
funciones de encriptación y autenticación del PAC y del
cliente remoto.
Cliente remoto: Es un usuario de la red privada pero
localizado físicamente fuera de ella. Este puede o bien,
utilizar el PAC para conectarse a al PNS y por consiguiente a
la red remota, 0 funcionar sin necesidad del PAC. Este cliente
está corriendo Windows en su equipo.
Para poder iniciarse y mantenerse el túnel PPTP se requiere
de dos conexiones. Una TCP de control y la propia conexión
segura que utiliza una versión especial de GRE que encapsula
el tráfico PPP.
Para crear el túnel, el LAC o el PNS inicia una conexión TCP
con puerto Origen y destino 1723. Esta conexión de control se
mantiene activa durante todo el tiempo que dure la conexión
segura. Si se terminase esta conexión, también acabaría con
ella la conexión segura. Esta conexión de control además de
solicitar el inicio de la conexión, la mantiene mediante unos
ecos. Cuando se quiere terminar la conexión segura también
se solicita su cierre desde esta conexión de control.
Una vez se ha acordado el inicio de la conexión, empieza la
negociación PPP. PPP pasa por cuatro etapas antes de estar
operativo. La primera es LCP, en esta etapa el PAC y el PNS
negocian el tipo de autenticación que van a usar, la activación
de la compresión o el uso del "call back".
Cuando la fase LCP ha terminado con éxito, la conexión toma
el estado de "open" y se inicia la fase de autenticación. PPP
soporta cuatro tipos de autenticación: PAP, CHAP, MS-
CHAPv1 y MS-CHAPv2. La autenticación PAP es la más
básica y menos segura. En este modo el PAC y el PNS se
envían en texto plano su nombre de usuario y contraseña.
Estos mismos, usando sus bases de datos locales, o mediante
un servidor AAA externo, comprueban si la password enviada
es correcta para ese usuario. Tanto el PAC como el PNS
tienen que conocer previamente el nombre de usuario y
contraseña de los posibles usuarios válidos. El modo de
autenticación CHAP es más seguro. Cando el PNS (o el PAC)
recibe una llamada de petición, envía al causante de esa
llamada un paquete que contiene su identificativo y un
número creado aleatoriamente, a esto se le llama "desafío". La
entidad que realizó la llamada lee del paquete desafío el
identificativo del creador de este, y así busca la password que
Universidad Piloto de Colombia
necesita usar para loguearse con él. Una vez encontrada, la
hace pasar por una función MD5 junto con el número
aleatorio recibido. Añade a esta información su nombre de
usuario y se lo devuelve al remitente. El remitente (y lanzador
del desafío) realiza los mismos pasos y compara el hash MD5,
que han de ser iguales. Como puede observarse este método
es mucho más seguro debido a que las contraseña ni siquiera
viajan por la red. MS-CHAP es una modificación de este
último método. Este nos permite usar usuarios creados en un
"Active Directory". Además, durante el proceso de
autenticación se crea una contraseña que se podrá usar para
encriptar el tráfico mediante MPPE. Esta contraseña va
cambiando a lo largo de la vida de la conexión. Es más, no
podemos encriptar el tráfico que circula por la VPN PPTP si
no usamos este tipo de autenticación.
La tercera etapa es Call back, que permite, una vez
autenticadas las entidades de la conexión, cortar la
comunicación para que el PNS llame al PAC y continuar la
comunicación. Esto se da porque PPP es un protocolo
pensado inicialmente para usarse en redes que requerían
marcación, como RTB o ISDN. Con esto se aseguraba que era
el verdadero PAC y no un farsante el que estaba tratando de
conectarse, porque el PNS iba a marcar el número del PAC
que el poseía en su agenda y así continuar con la sesión.
La última etapa es NCP. En esta etapa se negocian los
parámetros del protocolo de capa 3 (red) que se va a
transportar dentro de PPP. Como el protocolo más usado es
IP, Se inicia IPCP. En él se negocia por ejemplo la dirección
IP que se le va a asignar al cliente remoto. Cando esta cuarta
etapa termina satisfactoriamente, adquiere el estado de
"Open" y entonces ya puede empezar la comunicación del
cliente final con la red segura.[18]
Ilustración 7: Proceso CHAP.
VIII. TRANSMISIÓN DE NIVEL 2.
El protocolo de reenvío de capa 2 (L2F) fue desarrollado por
Cisco aproximadamente al mismo tiempo que PPTP. L2F no
se usó ampliamente en el mercado de consumo debido a su
requerimiento de hardware L2F. A diferencia de PPTP, donde
está instalado el software de cliente VPN e iniciado desde el
cliente, L2F no requiere ningún software de cliente VPN. Una
conexión L2F está destinada a ser realizada por hardware
L2F. Este hardware está diseñado para estar en el ISP. Un
cliente haría una conexión PPP típica con el ISP. El ISP
iniciará la conexión del túnel L2F en el puerto UDP 1701 al
servidor L2F en la sede corporativa. Esto requiere
coordinación entre el ISP y la red corporativa trabajo. L2F se
basa en la autenticación PPP para pasar al servidor de
autenticación corporativo. [11]
IX. PROTOCOLO DE LA CAPA 2 DE TÚNEL.
El protocolo L2TP se creó a partir de la combinación de dos
Otros protocolos: el Protocolo de túnel punto a punto (PPTP),
que especifica la tunelización de PPP; y el protocolo de
reenvío de capa 2 (L2F), que especifica el túnel de PPP y
SLIP. Tanto PPTP como L2F fueron diseñados en el modelo
de operación que desde entonces se conoce como túnel
obligatorio, y ambos protocolos todavía se usan hoy en día. El
objetivo de ambos protocolos era permitir la separación de lo
físico hardware de conexión (módems) desde el software de
control comunicación a través de las conexiones físicas (es
decir, PPP o SLIP).
Muchos de los aspectos arquitectónicos de PPTP y L2F son
similares porque ambos protocolos comienzan con el modelo
de túnel obligatorio el funcionamiento general de PPTP, L2F
y L2TP es, por lo tanto, muy similar.
aunque los detalles de sus mecanismos pueden diferir. Por
ejemplo, todos tres especifican el uso de un canal de control.
En PPTP, el canal de control está sobre una conexión TCP, y
el procesamiento de datos está sobre una conexión GRE, en
L2F el canal de control se diferencia del tráfico de datos
dentro del encabezado específico de L2F y sin comunicación
particular Se presupone el método, aunque para las redes IP
L2F opera sobre UDP L2TP hereda el diseño de su canal de
control más de L2F que de PPTP; sobre redes IP L2TP opera
sobre UDP. Los tres los protocolos especifican mecanismos
para recibir llamadas entrantes y realizar llamadas salientes.
Aunque L2F y PPTP se desarrollaron en el modelo de túnel
obligatorio, PPTP también se implementa como software de
cliente permitiendo el modo de operación de túnel
voluntario.[11]
L2TP encapsula datos de aplicación, datagramas de
protocolos LAN e información de tramas punto a punto
dentro de un paquete que, además contiene una cabecera de
entrega, una cabecera IP y una cabecera GRE (Generic
Routing Encapsulación). La cabecera de entrega mantiene la
información de tramas para el medio a través del cual se
establece el túnel. La cabecera IP contiene las direcciones IP
de fuente y destino. GRE incluye extensiones como la de
señalización de llamada, que añaden inteligencia de
conexión.[19]
L2TP no encripta los datos como parte de su administración
de túnel, es capaz de transportar numerosos protocolos de
Nivel IP, IPX, NetBEUl, etc. L2TP ha sido definido para el
uso sobre varios paquetes de media incluyendo PPP, X.25,
Universidad Piloto de Colombia
Frame Relay, y ATM. Muchas implementaciones se enfocan
al uso de UDP sobre IP. [11]
La Ilustración 8 muestra cómo un paquete L2TP se forma
antes de la transmisión. Se muestra a un cliente remoto que
crea un túnel a través de una interred. La capa final de la
trama muestra la encapsulación para el cliente (Controlador
de Dispositivo PPP). La encapsulación asume L2TP sobre IP.
Ilustración 8: Paquetes L2TP.
A. Elementos de una red L2TP.
Para formar un túnel, L2TP emplea dos funciones básicas:
LAC (Concentrador de acceso L2TP) y LNS (Servidor de red
L2TP). LAC realiza funciones de servidor de línea para el
cliente (ilustración 9), mientras que LNS actúa como servidor
de red en el lado del servidor (Ilustración 10). [11]
Por ejemplo, si L2TP reside en el LAC de un punto de
presencia del operador, LAC iniciará un túnel cuando el
usuario remoto active una conexión PPP con un proveedor de
servicios Internet. Después de realizar la autenticación inicial,
LAC acepta la llamada y añade las diferentes cabeceras
comentadas a la carga útil de PPP, y establece un túnel hacia
el dispositivo de terminación LNS del extremo de la red
corporativa. El LNS puede ser un Servidor de Acceso
Remoto, un Conmutador VPN especializado o un router
convencional.
Ilustración 9: LAC.
Ilustración 10: LNC.
En este caso, el host contiene el software cliente LAC que ya
ha sido conectada al Internet público. Una conexión PPP
virtual es creada y el software LAC cliente del L2TP local
crea un túnel al LNS (ilustración 11). Este tipo de túneles
voluntarios están demostrando ser el tipo más popular de
túnel. [11]
Un computador de un usuario o del cliente puede emitir una
solicitud VPN para configurar y crear un túnel voluntario. En
este caso, la computadora del usuario es un punto terminal del
túnel y actúa como un cliente del túnel. Un host que corre
L2TP puede participar en túnel para la LAN sin usar una LAC
separada.
Una Sesión L2TP es creada entre el LAC y LNS cuando una
conexión PPP extremo a extremo es establecida entre el
sistema remoto y el LNS. (ilustración 11) Los datagramas
relacionados para la conexión PPP son enviados sobre un
túnel Una vez establecido el túnel, entre LAC y LNC.
Una vez establecido el túnel, un servicio de nombres de
seguridad o el servicio de nombres y la seguridad integrada en
Windows NT, se autentifica las identidades del usuario y del
punto final. LNS acepta el túnel y establece una interfaz
virtual para el paquete PPP. A las tramas entrantes se les
elimina la información de cabecera de L2TP y se les procesa
como si fueran tramas PPP normales. Entonces se asigna a la
sesión una dirección IP corporativa local. (Ilustración 12).
Ilustración 11: Túnel Voluntario.
Ilustración 12: Sesión L2TP.
En el Proceso L2TP usa PPP para crear una conexión de
marcación entre el cliente y el RAS. Estableciendo una
conexión física, y se realiza una primera autenticación, se
crean datagramas PPP y se termina la conexión. Cuando se
usa L2TP para establecer un túnel, primero se encapsulan
paquetes PPP para usar sobre un medio de transmisión, se
Intercambian mensajes de control para instalar y mantener un
túnel. Se crea una llamada ID y/o un identificador de túnel
para cada sesión y se incluye en la cabecera de L2TP. [11]
Universidad Piloto de Colombia
L2TP junto con IPSec provee la funcionalidad y la protección
que le hace falta, en la autenticación de paquete a paquete
cuando salen de los túneles abiertos haciéndolos vulnerables a
ataques como fisgoneos, modificación de datos y secuestro de
sesiones. L2TP incluye un túnel identificador para cada túnel
individual y así puede ser identificado desde una sola fuente
(Ilustración 13). [11]
Ilustración 13: Proceso L2TP.
PPP define un mecanismo de encapsulación para
transportación de paquetes de multi protocolos a través del
Nivel 2 con enlaces de punto a punto. Un beneficio obvio de
cada separación es que en lugar de requerir la conexión de
capa 2 terminada del NAS (requiere un cargo de larga
distancia) la conexión quizá termine con un circuito
concentrador local, el cual extiende la sesión lógica PPP
sobre una infraestructura compartida, el cual es un Circuito
Frame Relay o de Internet. Desde la perspectiva del usuario
no hay una diferencia funcional entre el circuito de capa 2
terminado en un NAS directamente o usando L2TP [11]
.
Fase I. Un ISP autentifica una llamada a un número
telefónico, el número llamado, o nombre de usuario
para determinar o no, si el servicio L2TP [3]
es
requerido.
Fase 2. El Servidor de la red corporativa decide o no,
aceptar la llamada, basada en CHAP, PAP, EAP u
otra información de autenticación desde el ISP.
Fase 3. Después la llamada es aceptada, el servidor de
red puede inicializar otra fase de autenticación para
el nivel PPP.
C. PPTP y L2TP.
Tanto PPTP y L2TP usan PPP para mantener un nivel inicial
de los datos, y luego incluir encabezados adicionales para
transportarse a través de la interred. Ambos protocolos son
similares, pero existen diferencias. [11]
PPTP requiere que la interred sea de tipo IP, y L2TP requiere
que los medios de comunicación del túnel proporcionen una
conectividad de punto a punto orientada a paquetes. Se puede
utilizar L2TP sobre IP (uso de UDP), Circuitos Virtuales
Permanentes (Pvcs), Circuitos Virtuales X.25 (VCs), o ATM
VCS. PPTP sólo puede soportar un sencillo túnel entre los
puntos terminales.
L2TP permite el uso de múltiples túneles entre los puntos
terminales y se pueden crear diferentes túneles para diferentes
calidades de servicio. Proporciona la compresión de
encabezados. Cuando la compresión se habilita L2TP opera
con 4 bytes adicionales, y PPTP con 6 bytes. L2TP
proporciona la autenticación de túnel, mientras PPTP no lo
hace. [11]
Cuando se utiliza cualquier protocolo sobre IPSec, se
proporciona la autenticación del túnel por IPSec.
X. PROTOCOLO DE SEGURIDAD DE INTERNET.
IPsec es una colección de múltiples protocolos relacionados.
Es usado como una solución completa de protocolo VPN o
simplemente como un esquema de encriptación para L2TP o
PPTP. IPsec es un protocolo de túnel de capa 3. Válido para
IPv4 como IPv6, permite definir los protocolos de seguridad,
los algoritmos criptográficos y las claves manejadas entre los
sistemas que se comunican.
IPSec soporta la transferencia protegida de información a
través de una interred IP, y define el formato del paquete para
un IP sobre un modo de túnel IP, generalmente llamado como
Modo de túnel IPSec. Un túnel IPSec consiste en un cliente
del túnel y servidor del túnel, ambos configurados para usar
los túneles IPSec y un mecanismo de encriptación negociado.
El modo de túnel IPSec usa el método de seguridad negociado
para encapsular y encriptar los paquetes IP, para una
transferencia segura por una interred IP privada o pública. Así
el paquete encriptado se encapsula con un encabezado IP de
texto y se envía en la interred para la entrega al servidor del
túnel. Al recibir este datagrama, el servidor del túnel procesa
y descarta el encabezado IP de texto y luego desencripta su
contenido, para recuperar del paquete el paquete original IP.
Enseguida se procesa el paquete de Paquete de IP de manera
normal y se enruta a su destino en la red designada.[12]
El Modo de Túnel IPSec soporta solamente tráfico IP,
funciona al fondo de la pila IP. Es controlado por una política
de seguridad que establece los mecanismos de encriptación y
del túnel disponible en orden preferencial, así como los
métodos de autenticación disponibles.
Una de las características más importantes de IPSec es su
compatibilidad con las redes IP actuales. IPSec puede
dividirse básicamente en mecanismos de gestión de claves,
mecanismo de creación de asociaciones seguras y algoritmos
criptográficos para autenticación y cifrado. Estos servicios
son provistos de IP de nivel 2 y ofrecen protección para IP y
para los protocolos de niveles superiores.
Los protocolos de seguridad definen la información que se ha
de añadir a la cabecera de un paquete IP para proporcionar los
servicios de seguridad requeridos (AH y ESP).
La gestión de claves puede ser manual o automática. La
gestión automática de claves se realiza mediante IKE (Interna/
Key Exchange). Los mecanismos criptográficos que emplea
IPSec son el intercambio de claves basado en el algoritmo
Diffie-Hellman, criptografía de clave público, algoritmos
Universidad Piloto de Colombia
simétricos de cifrado de datos (DES, IDEA...), algoritmos
hash con clave (HMAC), y otros más tradicionales (MD5 y
SHA), para proporcionar autenticación de paquetes, y manejo
de certificados digitales. [12]
IPSec combina estos mecanismos criptográficos para ofrecer
confidencialidad, integridad y autenticidad a los datagramas
IP. IPSec no define los algoritmos específicos a utilizar, sino
que proporciona un mecanismo para que las entidades
negocien aquellos que emplearán en su comunicación.
A. Cabeceras IPSec
IPSec hace uso de dos cabeceras: la cabecera de
Autenticación (AH, Autenticación Header) para autenticar
usuarios y la Carga de Encripción Segura (ESP, Encryption
Security Paquete) para proveer confidencialidad. Esas nuevas
cabeceras se colocan después de la cabecera IP y antes de la
de nivel de transporte.[12]
La autenticación permite un sistema final o dispositivo de red
para autenticar a usuarios y filtros correspondientes. Ayuda en
la prevención de los ataques de redes basadas en la
suplantación de identidad o reproducción. La autenticación se
realiza basándose en un secreto compartido.
Algunas formas son: criptografía de clave pública, firma
digital, MPPE (protocolo que sirve para encriptar los datos de
las transmisiones), MSCHAP v1. y v2. (sirve para establecer
la conexión segura y el intercambio de las claves),
IPIP(protocolo de encapsulamiento de IP sobre tramas IP, y
sirve para hacer el túnel que se marca como uno de los
requisitos de VPN), IP-GRE (protocolo de encapsulamiento
de otros protocolos sobre IP, útil en el que se tienen redes de
otro tipo además de IP y funcionar con una VPN), y SOCKS
(proporciona otra alternativa a los protocolos de VPN se aloja
en el Nivel de Sesión de OSI, permite a los administradores
limitar el tráfico VPN). [12]
B. Modos de IPSec.
Las especificaciones IPSec en perfil de AH y ESP son
aplicadas de dos maneras llamados Modos:
El Modo de Transporte. La protección es permitida
para el Nivel de Transporte para el paquete y
porciones seleccionadas de la cabecera IP. Este
modo es utilizado entre los dispositivos finales de
una comunicación que cumplen el estándar IPSec.
Empleado en ambos hosts o en la configuración de
Gateway. La dirección fuente y destino IP pueden ser
abiertas para algunas formas de ataque. [13]
El Modo de Túnel. La protección es permitida para el
paquete original IP, para la pre-espera de la cabecera
original IP con una nueva. Este modo permite que un
dispositivo actúe como proxy IPSec en beneficio de
máquinas que no soporten el estándar.[13]
IPSec requiere varias combinaciones de Transporte y Modos
de Túnel para maximizar la seguridad. El aplicar AH o ESP
en Modo de Túnel para autenticar/encriptar el dato original
IP, y/o el aplicar AH o ESP en Modo de Transporte para
proteger la recién cabecera generada. En Modo de transporte
IPSec usa IP tipo 51 para AH y usa IP tipo 50 para ESP. [12]
Los dos sistemas comunicantes deben estar de acuerdo en los
algoritmos que se usarán, así como en la clave de sesión que
han de compartir. Una vez realizado este proceso se ha creado
una asociación segura (SA) entre las dos entidades. Durante
este proceso se crea un túnel seguro entre los dos sistemas y
se negocia la SA para IPSec.
C. Administración de Comunicaciones Seguras.
Los servicios de seguridad que provee IPSec dependen de
valores secretos compartidos o llaves que pueden ser
implementadas antes de asegurar las comunicaciones que
pueden tomar. Las dos partes deben tener reglas bien
definidas para intercambiar información. Estas reglas son
definidas con una Asociación Segura (SA) que pertenece a los
parámetros requeridos para la autenticación y encripción en
ambos modos de transporte y túnel.
D. Asociación de Seguridad.
Una SA, es una manera de relación entre un remitente y un
destinatario que permite servicios de seguridad para el tráfico
que porta en él. Si se requiere seguridad bidireccional, un SA
es requerido para cada dirección. Los servicios de seguridad
son permitidos para un SA usar AH o ESP, pero no ambas.
Un SA se identifica por tres parámetros:
Parámetro de SPI. Una serie de bits permiten que una
estación receptora para seleccionar el apropiado SA
con el cual se procesa el paquete.
Dirección de destino IP. Es la dirección de destino IP
de un punto final del SA.
Protocolo identificador de Seguridad. Indica si el SA
es para AH o ESP.
Una SA es una relación que existe entre dos estaciones.
Cuando las estaciones accedan a estos atributos, se hace
referencia al SPI que sirve como un punto a SA. Estas
entidades pueden ser cualquier host o pasarela. Las
conexiones pueden existir entre dos pasarelas. Estas
conexiones pueden existir en dos modos (transporte o túnel). [13]
En el Modo de Transporte, la SA es una conexión que existe
entre dos hosts. En este Modo si se usa AH la protección
permite todos los protocolos por encima del nivel IP, y el
seleccionar partes de la cabecera IP. Al usar ESP se provee
protección sólo para estos protocolos por encima del nivel IP.
En Modo de Túnel, una nueva cabecera IP exterior es
agregada a los datos para ser transmitidos entre dos
estaciones. La cabecera IP externa especifica la pasarela
responsable para procesar el tráfico, mientras la cabecera
interna especifica el destino final. Cuando se emplea AH, la
Universidad Piloto de Colombia
protección es permitida sobre todos los protocolos de Nivel
IP y también selecciona partes de la cabecera IP Cuando se
usa ESP solo la cabecera IP interna es protegida. [13]
Cuando el final es una conexión gateway, las conexiones
deben ser en Modo de Túnel. Tantas conexiones entre dos
pasarelas o entre un host y un gateway existen en modo de
túnel. La excepción de la regla es, si el gateway es el destino
final de los datos en caso de que el gateway esté actuando
como un host. En este caso se empleará el Modo de
Transporte.
REFERENCIAS
[1]https://books.google.com.co/books?id=Mgvm3AYIT64C
&pg=PA150&dq=tipos+de+vpn&hl=es&sa=X&ved=0ahUK
EwjL7YOuh_zjAhULy1kKHR8TD0EQ6AEIPTAD#v=onep
age&q=tipos%20de%20vpn&f=false
[2] https://grsolutions.net/conexion-vpn-gr-solutions/
[3]http://www.eyesoft.es/redes-privadas-virtuales--vpn----
intranet.html
[4] https://invidgroup.com/es/que-es-una-extranet/
[5]https://es.scribd.com/document/225698801/Requisitos-
Para-Establecer-Una-VPN
[6] http://www.dte.us.es/personal/mcromero/docs/ip/tema-
seguridad-IP.pdf
[7] https://ostec.blog/es/generico/protocolos-comunicacion-
vpn
[8]https://books.google.com.co/books?id=yTSoYCiXYAAC
&pg=PA219&dq=protocolo+ppp&hl=es&sa=X&ved=0ahU
KEwif1M67kPzjAhVCnFkKHTcMCUAQ6AEIKTAA#v=on
epage&q&f=false
[9]https://books.google.com.co/books?id=BOUCXWWFHX
kC&q=pap+chap+ms-chap&dq=pap+chap+ms-
chap&hl=es&sa=X&ved=0ahUKEwjioeCmlPzjAhUx01kKH
cVQBrEQ6AEIZjAH
[10]https://books.google.com.co/books?id=dW5mCwAAQB
AJ&printsec=frontcover&dq=pptp+vpn&hl=es&sa=X&ved=
0ahUKEwiE3suylfzjAhVFj1kKHVl3B3QQ6AEIOzAC#v=o
nepage&q=pptp%20vpn&f=false
[11]https://www.textoscientificos.com/redes/redes-
virtuales/tuneles/l2f
[12]https://books.google.com.co/books?id=So-
fDwAAQBAJ&pg=PA503&dq=protocolo+ipsec&hl=es&sa=
X&ved=0ahUKEwj_2dWlmPzjAhXywVkKHXpMChIQ6AE
IOzAD#v=onepage&q=protocolo%20ipsec&f=false
[13]https://books.google.com.co/books?id=WI-
fDwAAQBAJ&pg=PA123&dq=modos+de+ipsec&hl=es&sa
=X&ved=0ahUKEwiUlYrrmPzjAhUqx1kKHb1tBG8Q6AEI
MTAB#v=onepage&q=modos%20de%20ipsec&f=false
[14]https://books.google.com.co/books?id=96BbTjHBpOQC
&pg=PA482&dq=vpn+extranet&hl=es&sa=X&ved=0ahUK
EwiHsKy9o5zkAhWr1lkKHUrdBlUQ6AEINDAB#v=onepa
ge&q=vpn%20extranet&f=false
[15]https://books.google.com.co/books?id=k3JuVG2D9lMC
&pg=PA76&dq=Tunneling+o+Bases+de+T%C3%BAnel&hl
=es&sa=X&ved=0ahUKEwi847bsp5zkAhXjuFkKHWUKD8
AQ6AEINzAC#v=onepage&q=Tunneling%20o%20Bases%
20de%20T%C3%BAnel&f=false
[16]https://books.google.com.co/books?id=dW5mCwAAQB
AJ&pg=PA3&dq=%E2%80%A2%09PPTP&hl=es&sa=X&v
ed=0ahUKEwij3d6-
rJzkAhXq1FkKHTgtCiwQ6AEILDAA#v=onepage&q=%E2
%80%A2%09PPTP&f=false
[17]https://books.google.com.co/books?id=lo6fDwAAQBAJ
&pg=PA130&dq=protocolo+de+tunel&hl=es&sa=X&ved=0
ahUKEwjd-
aGSr5zkAhURxVkKHZeACRwQ6AEILzAB#v=onepage&q
=protocolo%20de%20tunel&f=false
[18]https://books.google.com.co/books?id=dW5mCwAAQB
AJ&pg=PA3&dq=PPTP&hl=es&sa=X&ved=0ahUKEwicr5_
YuJzkAhVQ11kKHT_jCj4Q6AEILDAA#v=onepage&q&f=
false
[19]https://books.google.com.co/books?id=ydKQ4YKc_xsC
&pg=PA31&dq=L2TP&hl=es&sa=X&ved=0ahUKEwi7gb7l
vpzkAhUktlkKHbmNCUEQ6AEIMjAB#v=onepage&q&f=f
alse
[20]https://books.google.com.co/books?id=5OYf6u5vzFsC&
pg=PR13&dq=vpn&hl=es&sa=X&ved=0ahUKEwiz_NrF_J7
kAhURpFkKHb-
PDhMQ6AEILDAA#v=onepage&q=vpn&f=false
Niguer Ardila, nació en Bogotá el
8 de Noviembre de 1987, tiene el
título de Ingeniero de sistemas de
la Universidad Libre de Colombia,
tiene certificaciones como el
CCNA, CCNP, NSE 1, NSE 2,
NSE 3, NSE 4, HP Flex
Networking y SAP
NETWEAVER.
Del 2015 al 2019 se desempeñó como administrador de
seguridad IT, en la empresa de logística Blu Logistics y
desde el mes de marzo de 2019 es especialista de