4. vpn y ipsec

Pág. 1

Redes Privadas Virtuales, VPN

Pág. 2

Índice

Virtual Private Networks (VPNs)

¿Qué es una VPN?

Tipos de Enlaces

¿Para que sirve?

Aspectos Técnicos

Alternativas a las VPN’s

Ventajas e Inconvenientes

Pág. 3

¿Qué es una VPN?

Red privada y segura sobre red pública y no segura.Proporciona un túnel IP cifrado y/o encapsulado a través de Internet.Utiliza encapsulado permitido en la red pública, transportando paquetes de la red privada. Para ello utilizan el encapsulamiento IP-IP. El direccionamiento es independiente del de la red pública.A menudo conllevan un requerimiento de seguridad (encriptación con IPSec).

Pág. 4

Tipos de Enlaces (I)

Enlace Cliente - Red:• El cliente se conecta remotamente a

una LAN. • Se usa PPP para establecer una

conexión entre el cliente y la LAN.LocalISP

LocalISP

Pág. 5

Tipos de Enlaces (II)

Enlace Red – Red:• Se encapsula el tráfico de una red local.• Nos ahorramos el paso PPP ( las tramas se

encapsulan directamente).

Internet

Pág. 6

¿Para que sirven?

Se pueden hacer servir como una Extranet.

Es más segura que una Extranet.

Permitiría conectar diferentes delegaciones de una empresa, simulando una red local de una manera transparente y económica.

Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.

Pág. 7

Aspectos Técnicos

Nivel 2 (OSI)• PPTP, L2F, L2TP

Nivel 3 (OSI)• IPSec

Pág. 8

Aspectos Técnicos

PPTP (Point-to-Point Tunneling Protocol):• Protocolo desarrollado por Microsoft y normalizado por la IETF

(Internet Engineering Task Force, RFC 2637)• Permite el tráfico seguro de datos desde un cliente remoto a un

servidor corporativo privado.• PPTP soporta multiples protocolos de red (IP, IPX, NetBEUI,…).• Muy usado en entornos Microsoft.

Pág. 9

Aspectos Técnicos

L2F (Layer 2 Forwarding):• Protocolo desarrollado por Cisco Systems. • Precursor del L2TP.• Ofrece metodos de autentificación de usuarios remotos• Carece de cifrado de datos

Pág. 10

Aspectos Técnicos

L2TP (Layer 2 Tunneling Protocol):

• Estándar aprobado por la IETF (RFC 2661)• Mejora combinada de PPTP y L2F.• No posee cifrado o autentificación por paquete (ha de

combinarse con otro protocolo, como el IPSec).

• Combinado con IPSec ofrece la integridad de datos y confidencialidad exigidos para una solución VPN.

• Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI, …)

Pág. 11

Aspectos Técnicos

• Tunneling:

1. Añade una cabecera IP adicional (cabecera del protocolo de transporte ) al paquete original para que éste pueda circular a través de Internet hasta el router de la empresa corporativa donde es eliminada.

2. El router que permite accesos vía tunel a una red privada se

denomina servidor de túneles.

Pág. 12

Aspectos Técnicos

IPSec :

• Proporciona servicios de seguridad a nivel 3.

• Permite seleccionar protocolos de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar estos servicios.

• Servicios de seguridad que proporciona:

1. Control de acceso

2. Integridad

3. Autentificación del origen de los datos

4. Confidencilidad

• Es estándar dentro de IPv6 y ha sido adaptado para IPv4.

Pág. 13

Aspectos Técnicos

• Protocolos de Seguridad:

1. AH (Authentication Header): Protocolo de autenticación que usa una firma hash para integridad y autenticidad del emisor.

Datagrama IPv4:

1. ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado que usa mecanismos criptográficos para proporcionar integridad, autenticación del origen y confidencialidad.

Datagrama IPv4:

Cabecera AH Datos

Cabecera Datos encriptados

Pág. 14

Aspectos Técnicos - Autentificación + Integridad

2B 2A AH Contenido de datosINTEGRIDAD

INTERNETINTERNET

WEB

Empresa EmpresaRouter

Firewall 1A

Router 1B

Delegación 0B

Cliente 2B Servidor Web 2A

1B 1A AH 0B 0A Contenido de datos

INTEGRIDAD

Modo transporte

Modo tunel

Pág. 15

Aspectos Técnicos

- Autentificación + Privacidad ESP• Modo Transporte.

• Modo Túnel.

2B 2A ESP Contenido de datos

ENCRIPTACIÓN

1B 1A ESP 0B 0A Contenido de datos

Serv.0A

INTERNETINTERNET

WEB

Empresa EmpresaRouter 1A

Firewall

Router 1B

Delegacion 0B

Cliente 2B Servidor Web 2A

ENCRIPTACIÓN

Pág. 16

Aspectos Técnicos

• Gestión de Claves:

1. IKE (Internet Key Exchange): Autentica a cada participante en una

transacción IPSec. Negocia las normas de seguridad y gestiona el

intercambio de claves de sesión.

– Fase 1: Los nodos IPSec establecen un canal seguro

para realizar el intercambio de informacion (SA).

– Fase 2: Los nodos IPSec negocian por el canal

establecido:

* Algoritmo de cifrado

* Algoritmo hash

* Método de autenticación

Pág. 17

Alternativas a las VPN’s RAS (Remote Acces System)

• Sistemas de acceso remoto basado en llamadas conmutadas (RTC, RDSI).

• Se produce una llamada del cliente al servidor de RAS.

• El coste de esta llamada es el de una llamada conmutada entre los dos extremos de la comunicación.

• Podremos tener tantas conexiones simultaneas como dialers (modems) tengamos disponibles.

Alquiler de líneas dedicadas:

• Son seguras ya que solo circulamos nosotros.

• Alto coste económico

• El ancho de banda del que queramos disponer va en proporción a lo que se esté dispuesto a pagar.

WAN :

• Coste elevadísimo no asumible por la mayoría de empresas.

• Ejemplo: FDDI, ATM, ...

Pág. 18

Ventajas• Ahorro en costes.• No se compromete la seguridad de la red empresarial.• El cliente remoto adquiere la condicion de miembro de la LAN ( permisos, directivas de

seguridad).• El cliente tiene acceso a todos los recursos ofrecidos en la LAN (impresoras, correo electronico,

base de datos, …).• Acceso desde cualquier punto del mundo (siempre y cuando se tenga acceso a internet).

• No se garantiza disponibilidad ( NO Internet NO VPN).• No se garantiza el caudal.• Gestión de claves de acceso y autenticación delicada y laboriosa.• La fiabilidad es menor que en una línea dedicada• Mayor carga en el cliente VPN (encapsulación y encriptación)• Mayor complejidad en la configuración del cliente (proxy, servidor de correo, … )• Una VPN se considera segura pero no hay que olvidar que viajamos por Internet ( no

seguro y expuestos a ataques).

Inconvenientes

Pág. 19

Conexión VPN a través de Windows 2000 Server

Pág. 20

Objetivo:Configurar el acceso remoto a la red local a través de una VPN sobre Internet, autenticando al usuario en el Directorio Activo de manera transparente al igual que si lo realizara desde la red local interna.

Equípos necesarios:Servidor Windows 2000 Servidor Windows 2000 con DAWindows XP SP2

Software utilizado:• Configuración de la herramienta “Acceso Telefónico a Redes” • Servicio de “Enrutamiento y Acceso Remoto” (RRAS)• Servicio de “Autenticación en Internet” IAS (Servidor Radius

W2000).”

Pág. 21

Definición de las dos máquinas virtuales a utilizar

Pág. 22

XP-SP2

W2K DAIAS Server

Red VMWARE (LAN)

192.168.100.0/24

Equipo principal

Vmnet1(Host Only)

Conexión Area local

10.0.100.2

10.0.100.1

192.168.100.3

192.168.100.5

Red VMWARE (WAN)

10.0.100.0/24

10.0.100.5

W2K RRAS

Esquema de conexión de equipos y Red

Pág. 23

a) Configuración del servidor Radius Interno

1. Configuración de la tarjeta de red.

Pág. 24


2. Instalar el servicio RADIUS (IAS)

Pág. 25


3. Configurar el servicio RADIUS (IAS)

Pág. 26


3. Configurar el servicio RADIUS (IAS)

Pág. 27

b) Configuración del servidor RRAS

1. Configuración las tarjetas de red.

Tarjeta interna (LAN) Tarjeta externa (WAN)

Pág. 28


2. Instalación del servicio RRAS.

Pág. 29


2. Asignación del direccionamiento IP para clientes VPN.

Pág. 30


2. Configurar autenticación Radius.

Pág. 31


Pág. 32

c) Configuración del Acceso Remoto en el cliente XP (I)

Pág. 33

c) Configuración del Acceso Remoto en el cliente XP (II)

Pág. 34

c) Configuración del Acceso Remoto en el cliente XP (III)

Pág. 35

c) Conexión desde el cliente XP

Pág. 36

d) Registro de la conexión en el servidor RRAS

Pág. 37

Establecimiento de conexiones cifradas con IPSEC

Pág. 38

Objetivo:Configurar conexiones IPSEC para él establecimiento de un tunel cifrado entre dos equipos Windows tanto en modo transporte como en modo tunel

Equípos necesarios:2 Servidores Windows 2000 Windows XP SP2

Software utilizado:• Configuración de las directivas de seguridad IP en los equipos.• Software de monitorización de IPSEC• Sniffer de red (opcional)

Pág. 39

Definición de las imágenes VMware.

Pág. 40

XP-SP2W2K DARed VMWARE

192.168.100.0/24

Equipo principal

Vmnet1(Host Only)


192.168.100.3

192.168.100.2

Esquema de conexión de equipos y Red

192.168.100.5

Pág. 41

a) Configuración de las tarjetas de red de los equipos

* Tarjeta de red equipo Servidor * Tarjeta de red equipo XP

Pág. 42

a) Configuración IPSEC en el servidor

Pág. 43

a) Configuración IPSEC en el XP

Pág. 44

a) Monitorización de conexión IPSEC

IpsecMon en el equipo servidor

Consola Monitor Seguridad IP en XP

Pág. 45

b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor

Pág. 46


Pág. 47


Pág. 48


Pág. 49


Pág. 50


Pág. 51


Asignar nueva directiva

Pág. 52

b) Definición de reglas IPSEC específicasDetalle Conexión Telnet desde el XP al Servidor

Monitor Seguridad IPSEC

Pág. 53

c) Conexión IPSEC en modo Tunel

Definición de las imagenes

Pág. 54

XP-SP2

W2k-Left

Equipo principal

Vmnet1(Host Only)


192.168.100.3

192.168.200.5

192.168.100.5

192.168.10.3

192.168.10.2192.168.200.2

Conexión IPSEC (modo Tunel)

W2k-Right

Pág. 55

a) Definir filtro para la activación del tunel


Pág. 56



Pág. 57



Pág. 58

b) Configurar filtro de activación del tunel


Pág. 59

c) Crear la directiva IPSEC del tunel


Pág. 60


1

2

3

4


Pág. 61


1

2

3

4


4. vpn y ipsec

Education

cliente y

una lan

una empresa

una vpn se considera

red ip

iienlace red red

algoritmos que se

utilizar y