Implementacin de Redes Privadas Virtuales (VPN) utilizando el protocolo IPSec

Vicente Jos Aguilar RosellRicardo Domnguez JoverIgnacio Snchez Medina

Definicin de seguridadcapacidad para impedir el fraude, mediante la proteccin de la disponibilidad, integridad y confidencialidad de la informacin

Elementos donde ubicar servicios de seguridadProteccin de los sistemas de transferencia o transporteEjemplos: establecimiento de un nivel de transporte seguro, de un servicio de mensajera con MTAs (Mail Transport Agents) seguras, o la instalacin de un firewall Aplicaciones seguras extremo a extremoEjemplos: correo electrnico, videoconferencia, acceso a bases de datos

reas de un sistema de seguridadSeguridad fsica (pasiva y activa)Seguridad en las comunicaciones (autentificacin, integridad y confidencialidad de los datos)Seguridad en el acceso al servicio (activa y pasiva)Seguridad en el acceso al servicioSeguridad y proteccin de los datosSeguridad en la prestacin del servicio

Mtodo de implantacin de un plan de seguridadComit de seguridad y gestin de red.Evaluacin de la redAdministracin de la red y mtodos de control de accesoSistemas de control de acceso.Anlisis del trfico de la redSeguridad en las aplicaciones informticasAuditora de seguridad y deteccin de intrusionesPoltica de seguridad de redPoltica de control de virusPlan de contingencia y recuperacin ante catstrofes

Redes privadas virtualesVPN

Definicin de VPNUna Red Privada Virtual es una red que ofrece una conectividad segura sobre una red pblica.Como la infraestructura es compartida, se puede proporcionar la conectividad a menor coste que con redes privadas dedicadas

Beneficios de las VPNAhorro de costes directosReduccin del tiempo de aprendizajeReduccin de equiposReduccin de soporte tcnico necesarioAumento de flexibilidadEscalabilidad: extiende la red WAN a ms usuarios remotosSoporta ms conexiones y ancho de bandaBasadas en rendimiento, fiabilidad de conexin, cantidad de informacin y no en tiempo de conexin y en distancia

Escenarios tpicos donde usar VPNBranch Offices o delegaciones.Empresas separadas geogrficamente necesitan compartir datos de forma seguraExtranetsEmpresas diferentes necesitan hacer negocios de forma seguraUsuarios mviles o road-warriorwsPersonas que necesitan acceder a la red de la empresa de forma segura desde cualquier parte

Tecnologas de las VPN (I)PPTP (Point-to-Point Tunneling Protocol)L2TP (Layer 2 Tunnelling Protocol)IPSec

Tecnologas de las VPN (II)PPTP (Point-to-Point Tunneling Protocol)Encapsulado de tramas PPP en datagramas IP, utilizando una versin extendida del GRE (Generic Routing Encapsulation, protocolo IP 47). La conexin de control se realiza sobre TCP, puerto 1723Aunque muy popular en el mundo Microsoft, est siendo sustituido por el L2TP

Tecnologas de las VPN (III)L2TP (Layer 2 Tunnelling Protocol)Encapsulado de tramas PPP sobre cualquier medio, no necesariamente redes IP. En el caso IP se usa UDP, puerto 1701Aporta grandes ventajas y es sencillo de configurar, aunque debido a su falta de seguridad e incompatibilidades est opcin tambin ser descartada

Tecnologas de las VPN (IV)IPSecIPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6IPSec integra confidencialidad, integridad y autentificacin en un mismo marco interoperante por lo que esta ser la opcin escogida para la implementacin de las VPN

IPSec

Niveles donde implementar la comunicacin seguraEnlaceIndependiente del protocolo de redRequiere control de la infraestructura de red y consume muchos recursosRedIndependiente tanto del nivel de transporte como de la infraestructuraSolo aplicable a IP (encapsulamiento de otros protocolos)AplicacinMxima seguridad extremo a extremo y selectivo (PGP, https, SSL, SNMP, etc.)Ha de implementarse en cada host de la red

Qu es IPSec?IPSec = Internet Protocol SecurityProporciona autentificacin y confidencialidad a nivel IPUtiliza dos protocolos de seguridadAuthentication Header (AH) Encapsulating Security Payload (ESP)Soporta conexiones entre hosts y gatewaysModo Transporte (slo hosts)Modo Tnel (hosts, gateways)

Modos de funcionamiento de IPSecModo transporteComunicacin segura extremo a extremoRequiere implementacin de IPSec en ambos hostsModo tnelComunicacin segura entre gateways (routers) nicamentePermite incorporar IPSec sin tener que modificar los hosts.Se integra fcilmente con VPNs

AHProporciona autentificacin e integridad de los datos pero no proporciona encriptacin.Se basa en MACs (Message Authentication Codes) utilizando algoritmos hashCabecera IPv4Authentication headerProtocolo superior (TCP, UDP, ...)Siguiente cabeceraLongitudReservadoSecurity Parameter Index (SPI)Datos de Autentificacin (Nmero variable de palabras de 32 bits)Packet format (IPv4):Authentication header

ESPProporciona proteccin de los datos incluyendo encriptacinUtiliza los algoritmos Blowfish, 3DES, DES, CAST128 para la encriptacinAdicionalmente puede proporcionar los mismos servicios que AHIP HeaderOther IP HeadersESP Headerencrypted dataSecurity Association Identifier (SPI)Opaque Transform Data, variable lengthPacket format (IPv4):ESP Header:

IKEInternet Key Exchange (IKE)Protocolo hbrido (ISAKMP/Oakley) para negociar y proporcionar material de autenticacin de claves para IPSec.ISAKMP es un marco para la autentificacin e intercambio de claves.Oakley describe una serie de intercambio de claves y los servicios que proporcionan (seguridad para las claves, proteccin de la identidad y autentificacin).El propsito de IKE es crear SAs para IPSec de forma automtica segn est definido en la poltica de seguridad.

X.509X.509 es el estndar de clave pblica:Cuando se genera un par de claves pblica-privada la clave pblica se enva en una Certification Request a un servidor CA para ser firmada y colocada dentro de un certificado X.509.Para verificar la validacin de los certificados se utilizan listas de revocacin y verificacin de rutasLas Certificate Revocation Lists (CRL) se pueden almacenar en un fichero local o en el servidor.La verificacin de rutas slo puede hacerse cuando la cadena completa de certificacin est accesible.LDAP es el protocolo que se utiliza para los servidores CA.

Demostracin

Dear Partners,

On the behalf of the whole F-Secure Team I want to welcome you to this partner confrence and its technical tracks.

I am Olli Voima and I have worked in Data Fellows about a month now. My primary job is to be a clone of Sakari. Should you have anything to ask or to talk about during the weekend dont hesitate to come to me.

But now to the subject of this presentation

-Going through it fast- Any questions

What am I going to talk about? Cyrptography= -Communication between persons -Mathematics -Physics