Title: Redes Privadas Virtuales'
1Redes Privadas Virtuales.
- 1. Conceptos basicos sobre VPN
- 2. Seguridad en VPNIPSec
- 3. Tunelización
- 4. Protocolos
- 5. Autenticación y gestión de usuarios
- 6. Ejemplo real Cisco VPN
- 7. Analisis de tráfico L2TP IPSec
- 8 . Seguridad en Ipv6
2Redes Privadas Virtuales.
- 1. Conceptos basicos sobre VPN
3Redes Privadas Virtuales.
- 1. Conceptos basicos sobre VPN
- las RPV se pueden clasificar en
- acceso remoto
- conexión de redes
- Acceso a red corporativa
4Redes Privadas Virtuales.
- 2. Seguridad en VPNIPSec
- Definido en las RFC 2401, 2402 y 2406
- Trata la seguridad en comunicaciones basadas en
IP - Proporciona confidencialidad de datos, integridad
y autenticacion entre sedes - IPSec actúa como una capa del nivel de red
protegiendo los paquetes IP a traves de los
elementos de red que participan en la conexion
5Redes Privadas Virtuales.
- 2. Seguridad en VPNIPSec
- modo túnel se codifica todo el paquete IP
- modo transporte la cabecera IP queda descartada
de la encriptación - Cabecera IP
- ESP
- AH
- Cabecera TCP
- Datos
6Redes Privadas Virtuales.
- 2. Seguridad en VPNIPSec
- Cabecera de autenticacion, AH
- Suministra autenticacion e integridad a los
datagramas enviados entre dos sistemas empleando
la funcion de resumen o hash codificado sobre el
datagrama - Encapsulacion de Carga util segura, ESP.
- Es un protocolo de seguridad usado para
suministrar confidencialidad mediante la
encriptación, autenticacion de los datos origen,
integridad de datos, servicio antireenvio
opcional, y flujo limitado de trafico
confidencial mediante analisis del trafico.
7Redes Privadas Virtuales.
- 3. Tunelización
- Un túnel entre dos sedes consiste en el método
para mantener una intranet mediante el uso de
una infraestrutura de red pública pra la
interconexion y el envio de datos dentro de la
propia red privada. - Existen varios protocolos de tunel SNA sobre IP,
IPX sobre IP, PPTP, L2TP e Ipsec. De entre
estos, los más utilizados son PPTP,L2TP que
trabajan en el nivel de enlace, e IPSec, que
trabaja en el nivel de red.
8Redes Privadas Virtuales.
- 4. Protocolos
- PPP Protocolo Punto a Punto.
- Para el establecimiento del tunel se requiere de
este protocolo para autenticar al cliente dentro
de la intranet se utiliza por los protocolos de
tunel de nivel 2 - Para la RPV, dado que en sà ésta es un enlace
punto a punto virtual, se emplea este protocolo
para establecer este enlace.
9Redes Privadas Virtuales.
- 4. Protocolos
- EAP Extensible Authentication Protocol.
- EAP es una extensión de PPP que permite
mecanismos variados de autenticacion para la
validacion de la conexion. Permite añadir modulos
de verificacion en ambos extremos. - EAP está basado en clave pública el cliente
presenta su certificado de usuario al otro
extremo, y el servidor presenta un certificado de
maquina al cliente para verificar la
autenticidad de ambos certificados, hacen una
peticion a un centro de autenticacion o CA para
verificarlo.
10Redes Privadas Virtuales.
- 4. Protocolos
- PPTP Point to point tunnelling protocol.
- Es un protocolo de nivel 2 que encapsula tramas
PPP en datagramas IP para su transmisión sobre
una red IP (RFC 2637). - Una vez realizada la conexión PPP, se crea una
conexión controlada entre el cliente PPTP y el
servidor PPTP esta conexión se denomina tunel
PPTP. - El protocolo PPTP crea datagramas IP, que
contienen paquetes PPP encriptados que son
enviados a través del tunel PPTP al servidor PPTP
11Redes Privadas Virtuales.
- 4. Protocolos
- GRE General Routing Encapsulation (RFC1701-2)
- GRE es un protocolo diseñado para encapsular un
paquete de un protocolo cualquiera, para despues
enrutarlo se usa generalmente para control de
flujo, retransmisiones... . En este caso,
encapsula a PPP que a su vez encapsula a IP de
tal forma que garantiza que los datos enviados
estén encriptados por PPP - Permite encriptar los datos incluidos en él de
forma opcional para ello emplea MPPE, encriptado
punto a punto de Microsoft que está basado en el
algoritmo RSA/RC4
12Redes Privadas Virtuales.
- 4. Protocolos
- L2TP Layer Two Tunnelling Protocol
- L2TP es un protocolo estándar de túnel para
Internet que tiene casi la misma funcionalidad
que el PPTP, encapsula tramas PPP para ser
enviadas sobre redes IP, X.25, Frame Relay o ATM
( RFC 2661) - El servidor es el que inicia la sesión ejecuta
todas las comprobaciones y validaciones de
seguridad, y activa el cifrado de los datos.
13Redes Privadas Virtuales.
- 5. Autenticación y gestión de usuarios
- Para garantizar una mayor seguridad en la
autenticación y gestión de usuarios dentro de una
RPV, se requiere que los perfiles de conexión
estén almacenados en una base de datos para
garantizar que la RPV sólo tiene una
administración posible - Existen dos metodos LDAP, un servidor de
directorios que dé acceso a determinadas carpetas
o servicios dependiendo del cliente que solicita
la conexión, o bien mediante un servidor RADIUS
14Redes Privadas Virtuales.
- 5. Autenticación y gestión de usuarios
- El servidor NAS, una vez el usuario ha lanzado la
peticion de conexion, comprueba los perfiles de
conexion y la politica de seguridad que tiene el
usuario a la RPV - la admision por IP del usuario
- la no admisión por número de usuarios conectados
a través de un determinado tipo de conexión (
RTB, RDSI o DSL) - restringuir el numero de usuarios con el mismo
login conectados a la RPV.
15Redes Privadas Virtuales.
- 6. Ejemplo real Cisco VPN
16Redes Privadas Virtuales.
- 7. Analisis de tráfico L2TP IPSec
- 1 El router del cliente Z lanza una conexión
hacia el servidor VPN , se produce el inicio
deuna negociacion IKE con el servidor de tuneles
dentro de la red publica, para generar una
asociacion de seguridad. - 2 Esta asociacion determinará el método de
autenticacion, claves de sesion y parametros de
seguridad. Los certificados de ambas maquinas son
intercambiados. - 3 Despues de comprobar los certificados, contra
la CA en Y, se negocia el tunel.
17Redes Privadas Virtuales.
- 7. Analisis de tráfico L2TP IPSec
- 4 Una vez establecido el tunel, se negocia la
conexión PPP, con un metodo de autenticacion de
los enunciados ( por ejemplo MS CHAPv2). - 5 El servidor de tunel para las credenciales de
autenticacion y los parametros de autenticacion
al servidor RADIUS de la red publica. - 6 El servidor RADIUS valida al usuario remoto
dentro de la red, mediante la base de datos
establecida en Y y los datos de conexion
suministrados por el cliente.Una vez se autentica
y autoriza al cliente Z, RADIUS envia al NAS la
informacion de que el cliente ha sido admitido.
18Redes Privadas Virtuales.
- 7. Analisis de tráfico L2TP IPSec
- 7 El servidor de tunel completa la conexión PPP y
el router Z está conectado a la sede Y a través
de internet, empleando una conexion L2TP con
encriptado Ipsec..
19Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- Introducción.
- Se pasa de direcciones IP de 32 bits a
direcciones de 128 bits - Las nuevas direcciones identifican a un interfaz
o conjunto de interfaces - Las redes que implementen IP v6 serán más fáciles
de adminitrar y tendrán menos problemas de
tráfico, y cargarán menos a los routers
20Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- 1.Soportar miles de millones de host.
- 2.Reducir el tamaño de las tablas de
enrutamiento. - 3.Simplificar el protocolo IP, lo que permitirá
un procesamiento más rápido. - 4.Proveer más seguridad al sistema.
- 5.Permitir el uso de tipos diferentes de
servicio. - 6.Mejorar el multicasting.
- 7.Hacer posible el cambio de localización fÃsica
de los host sin tener que cambiar su dirección
IP. - 8.Permitir que el protocolo pueda cambiar en el
futuro, permitiendo a la vez la compatibilidad de
los protocolos nuevos con los antiguos.
21Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- Seguridad en Ipv6
- Las especificaciones de Ipv6 describen dos
formatos de seguridad la cabecera de
autenticación AH, y la encriptacion segura de la
carga util similar al concepto de IPSec. - Ambos se basan en el concepto de asociación de
seguridad entre entidades remotas.
22Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- Tunelizacion en Ipv6
- Similar a Ipv6, pero con varios inconvenientes
- La especificación establece que cuando un sistema
Ipv6 recibe paquetes de una conexion tunelizada
direccionada a una de las direcciones Ipv4, se
elimine la cabecera Ipv4 y se reenvie como
datagrama Ipv6.
23Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- Tunelizacion en Ipv6
- Pueden tunelizar un paquete a un router que no
sea sospechoso, traspasando asi las protecciones
contra spoofing de direccion ip. - Si un servidor da servicio a dos redes
diferentes, pueden usarse los procedimientos de
tunelización para puentearse entre esas dos
redes, traspasando los cortafuegos impuestos. - Pueden usar tunelizacion para reenviar mediante
un router su trafico sobre un enlace caro ,
dejando al propeitario del router pagar el
trafico generado.
24Redes Privadas Virtuales.
- 8 . Seguridad en Ipv6
- Soluciones
- los host o servidores pueden usarse para varias
redes diferentes, pero no deben nunca como
reenviadores de trafico IP - Los routers deben, como minimo, comprobar que los
paquetes tunelizados vienen de un emisor
legitimo. - el proceso de tunelizacion que se tenia
establecido por defecto se debe suplantar por el
GRE dentro de los routers Ipv4 para permitir
averiguar la direccion origen real. Si se quiere
garantizar que el origen es quien dice ser,
empleo de AH en los datagramas IP.
25Redes Privadas Virtuales.
- Bibliografia
- IPV6 , The new internet protocol (2000),
Christian Huitema. PRENTICE HALL. - CISCO Secure Virtual Private Networks(1999).
Andrew G. Mason. Cisco Press. - IP Addressing and Subnetting Including IPv6
(2000).J. D. Wegner, Robert Rockell Syngress
Media
26Redes Privadas Virtuales.
- Enlaces
- Sobre protocolo PPTP y establecimiento del tunel
- http//www.pablin.com.ar/computer/info/varios/pptn
vpn.htm - Sobre protocolo PPTP y establecimiento del tunel
- http//www.htmlweb.net/redes/tcp_ip/capa_3/red_6.h
tmlN - Sobre protocolo L2TP IPSEC
- http//www.microsoft.com/windows2000/es/server/hel
p/default.asp?url/windows2000/es/server/help/acce
ss_L2TP.htm - Acceso a traves del cliente IPSec de CISCO
- http//www.uv.es/ciuv/cas/vpn/vpnencr.html
27Redes Privadas Virtuales.