protocolo vpn
TRANSCRIPT
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
1
UNIVERSIDAD ADVENTISTA DE BOLIVIAFACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS
VPN
POR: JUAN MAMANI VIVEROS
PROTOCOLO
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
2
Introducción ¿Qué es una VPN? Tipos de Enlaces ¿Para que sirve? Aspectos Técnicos Firewalls Alternativas a las VPN’s Ventajas e Inconvenientes Webgrafía
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
3
¿Qué es una VPN? Red privada y segura sobre red pública y no segura. Proporciona un túnel ip encriptado y/o encapsulado a través
de internet.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
4
Tipos de Enlaces (I) Enlace Cliente - Red:
– El cliente se conecta remotamente a una LAN. – Se usa PPP para establecer una conexión entre el cliente y la
LAN.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
5
Tipos de Enlaces (II) Enlace Red - Red:
– Se encapsula el tráfico de una red local.– Nos ahorramos el paso PPP ( las tramas se encapsulan
directamente).
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
6
¿Para que sirven? Se pueden hacer servir como una Extranet. Es más segura que una Extranet. Permitiría conectar diferentes delegaciones de una
empresa, simulando una red local de una manera transparente y económica.
Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
7
Aspectos Técnicos (I)
Nivel 2 (OSI)– PPTP, L2F, L2TP
Nivel 3 (OSI)– IPSec
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
8
Aspectos Técnicos (II)
PPTP (Point-to-Point Tunneling Protocol):– Protocolo desarrollado por Microsoft y normalizado por la
IETF (Internet Engineering Task Force, RFC 2637)– Permite el tráfico seguro de datos desde un cliente
remoto a un servidor corporativo privado.– PPTP soporta multiples protocolos de red (IP, IPX,
NetBEUI, … ).– Tiene una mala reputación en seguridad.– Muy usado en entornos Microsoft.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
9
Aspectos Técnicos (III)
L2F (Layer 2 Forwarding):– Protocolo desarrollado por Cisco Systems. – Precursor del L2TP.– Ofrece metodos de autentificación de usuarios remotos– Carece de cifrado de datos
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
10
Aspectos Técnicos (IV)
L2TP (Layer 2 Tunneling Protocol):– Estándar aprobado por la IETF (RFC 2661)– Mejora combinada de PPTP y L2F.– No posee cifrado o autentificación por paquete (ha de combinarse
con otro protocolo, como el IPSec).– Combinado con IPSec ofrece la integridad de datos y
confidencialidad exigidos para una solución VPN.– Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI,
…)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
11
Aspectos Técnicos (V)
– Tunneling: • Añade una cabecera IP adicional (cabecera del protocolo de
transporte ) al paquete original para que éste pueda circular a través de Internet hasta el router de la empresa corporativa donde es eliminada.
• El router que permite accesos vía tunel a una red privada se denomina servidor de túneles.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
12
Aspectos Técnicos (VI)
IPSec :– Proporciona servicios de seguridad a nivel 3.– Permite seleccionar protocolos de seguridad, algoritmos que se
van a utilizar y las claves requeridas para dar estos servicios.– Servicios de seguridad que proporciona:
• Control de acceso
• Integridad
• Autentificación del origen de los datos
• Confidencilidad
– Es estándar dentro de IPv6 y ha sido adaptado para IPv4.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
13
Aspectos Técnicos (VII)– Protocolos de Seguridad:
• AH (Authentication Header): Protocolo de autenticación que usa una firma hash para integridad y autenticidad del emisor.
Datagrama IPv4:
• ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado que usa mecanismos criptográficos para proporcionar integridad, autenticación del origen y confidencialidad.
Datagrama IPv4:
Cabecera AH Datos
Cabecera Datos encriptados
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
14
Aspectos Técnicos (VIII)
– Gestión de Claves:• IKE (Internet Key Exchange): Autentica a cada participante en una
transacción IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesión.
– Fase 1: Los nodos IPSec establecen un canal seguro para realizar el
intercambio de informacion (SA).
– Fase 2: Los nodos IPSec negocian por el canal establecido:
* Algoritmo de cifrado
* Algoritmo hash
* Método de autenticación
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
15
Firewall
Como medida adicional de seguridad se recomienda utilizar firewall para garantizar que solo tendrán acceso a la LAN los clientes autorizados.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
16
Alternativas a las VPN’s
RAS (Remote Acces System)– Sistemas de acceso remoto basado en llamadas conmutadas
(RTC, RDSI).– Se produce una llamada del cliente al servidor de RAS. – El coste de esta llamada es el de una llamada conmutada entre
los dos extremos de la comunicación.– Podremos tener tantas conexiones simultanias como dialers
(modems) tengamos disponibles.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
17
Alternativas a las VPN’s
Alquiler de linias dedicadas:– Son seguras ya que solo circulamos nosotros.– Alto coste económico– El ancho de banda del que queramos disponer va en proporción a
lo que se esté dispuesto a pagar.
WAN :– Coste elevadisimo no asumible por la mayoria de empresas.– Ej: FDDI, ATM, ...
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
18
Ventajas e Inconvenientes (I)
Ventajas:– Ahorro en costes.– No se compromete la seguridad de la red empresarial.– El cliente remoto adquiere la condicion de miembro de la LAN
( permisos, directivas de seguridad).– El cliente tiene acceso a todos los recursos ofrecidos en la LAN
(impresoras, correo electronico, base de datos, …).– Acceso desde cualquier punto del mundo (siempre y cuando se
tenga acceso a internet).
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament. d’Arquitectura de Computadors - UPC
19
Ventajas e Inconvenientes (II)
Inconvenientes:– No se garantiza disponibilidad ( NO Internet --> NO VPN).– No se garantiza el caudal.– Gestión de claves de acceso y autenticación delicada y laboriosa.– La fiabilidad es menor que en una linia dedicada– Mayor carga en el cliente VPN (encapsulación y encriptación)– Mayor complejidad en la configuración del cliente ( proxy, servidor
de correo, … )– Una VPN se considera segura pero no hay que olvidar que
viajamos por Internet ( no seguro y expuestos a ataques).