“DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA ...mendillo.info/seguridad/tesis/Peña.pdfEn la...
124
TRABAJO ESPECIAL DE GRADO “DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA VIRTUAL (VPN-SSL) UTILIZANDO EL MÉTODO DE AUTENTICACIÓN LDAP EN UNA EMPRESA PRIVADA” Presentado ante la Ilustre Universidad Central de Venezuela Por la Ing. Daniela V. Peña Q Para optar al Título de Especialista en Comunicaciones y Redes de Comunicaciones de Datos Caracas, octubre de 2016
Transcript of “DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA ...mendillo.info/seguridad/tesis/Peña.pdfEn la...
TRABAJO ESPECIAL DE GRADO
“DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA
VIRTUAL (VPN-SSL) UTILIZANDO EL MÉTODO DE
AUTENTICACIÓN LDAP EN UNA EMPRESA PRIVADA”
Presentado ante la Ilustre
Universidad Central de Venezuela
Por la Ing. Daniela V. Peña Q
Para optar al Título de Especialista en
Comunicaciones y Redes de Comunicaciones de Datos
Caracas, octubre de 2016
© Peña Q, Daniela V.
Hecho el Depósito de Ley
Depósito Legal MI2016000470
TRABAJO ESPECIAL DE GRADO
“DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA
VIRTUAL (VPN-SSL) UTILIZANDO EL MÉTODO DE
AUTENTICACIÓN LDAP EN UNA EMPRESA PRIVADA”
Tutor Académico: Msc. Vincenzo Mendillo
Presentado ante la Ilustre
Universidad Central de Venezuela
Por la Ing. Daniela V. Peña Q
Para optar al Título de Especialista en
Comunicaciones y Redes de Comunicaciones de Datos
Caracas, octubre de 2016
REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD CENTRAL DE VENEZUELA
FACULTAD DE INGENIERÍA
ESCUELA DE INGENIERÍA ELÉCTRICA
Especialización en Comunicaciones y
Redes de Comunicaciones de Datos
DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA
VIRTUAL (VPN-SSL) UTILIZANDO EL MÉTODO DE
AUTENTICACIÓN LDAP EN UNA EMPRESA PRIVADA
Autora: Daniela V. Peña Q
Tutor: Msc. Vincenzo Mendillo
Año: 2016
RESUMEN
La investigación tuvo como propósito diseñar e implementar una Red Privada Virtual
(VPN-SSL) utilizando el método de autenticación LDAP en una empresa privada, con
el objetivo de proteger las conexiones de acceso remoto hacia la organización a través
del contenido cifrado, garantizando la integridad, confidencialidad y seguridad de los
datos. En su desarrollo, se abordaron aspectos teóricos de una VPN, seguridad y
documentación de los protocolos que se utilizan actualmente para las conexiones
seguras de acceso remoto. En relación a la metodología, se desarrolló bajo el esquema
de proyecto factible. Para la obtención de los resultados, se empleó la técnica de
observación documental y arqueo bibliográfico, en base a ello se llevaron a cabo cada
una de las fases planificadas, logrando la implementación de una VPN-SSL integrada
con el protocolo LDAP. Se realizaron una serie de adecuaciones y configuraciones en
la empresa privada en el que se definió la política de acceso remoto a la red, se comparó
el protocolo SSL con respecto al IPSec, se estudió el protocolo LDAP, se definió la
arquitectura de implementación de la VPN-SSL, se configuró e integró el firewall con
el directorio activo de la empresa, se establecieron las políticas de firewall para la
conectividad de los usuarios de la VPN, se verificó la redundancia en la conectividad
a través de pruebas de conexión a través de la VPN-SSL, y por último se desarrolló un
manual que permita gestionar la conexión a través de la VPN. Entre las conclusiones
más relevantes se destacan: la arquitectura utilizada permite redundancia en la
conexión vía SSL-VPN, se garantiza la continuidad del negocio permitiendo establecer
conexión desde cualquier ubicación geográfica y al utilizar el protocolo LDAP en la
VPN-SSL, se garantiza el uso de las credenciales de inicio de sesión de Windows a los
usuarios VPN. Finalmente, se recomendó actualizaciones, renovación de
licenciamiento y auditorías de las conexiones VPN.
Descriptores: VPN, SSL, LDAP, software de acceso remoto, firewall.
vi
DEDICATORIA
A Dios por cada una de las personas que puso en mi camino. A mi Padres Blanca
Quintero y Daniel Peña, por apoyarme en el transcurso de toda mi carrera. A mis
hermanos Daniel Peña, Alejandro Peña, Moisés Linares y a mi esposo Roberth
Castellanos que me han acompañado durante este camino. A ustedes les dedico el
trabajo de grado.
vii
AGRADECIMIENTO
Ante todo agradezco a Dios por darme la fortaleza y herramientas necesarias para
cumplir mis objetivos.
Agradezco a la Universidad Central de Venezuela (UCV), por haberme brindado
la oportunidad de cursar y adquirir conocimientos a lo largo de mi especialización.
Agradezco a mi tutor el prof. Vincenzo Mendillo por haberme orientado y
apoyado durante el desarrollo de Trabajo Especial de Grado. Agradezco a la sra. Gipsy
Azuaje por toda su colaboración e información suministrada durante mi
especialización.
A mi familia y amigos que de una u otra forma están presentes en mi crecimiento
personal y profesional.
Muchas Gracias a todos por haberme brindado durante todo este tiempo su
confianza, amor y apoyo en mis años de carrera.
viii
ÍNDICE GENERAL
DEDICATORIA ....................................................................................................................... ii
AGRADECIMIENTO ............................................................................................................ vii
RESUMEN ............................................................................................................................... v
ÍNDICE GENERAL .............................................................................................................. viii
ÍNDICE DE FIGURAS ............................................................................................................ xi
ÍNDICE DE TABLAS ........................................................................................................... xiv
SIGLAS .................................................................................................................................. xv
ACRÓNIMOS........................................................................................................................ xvi
GLOSARIO GENERAL ...................................................................................................... xviii
INTRODUCCIÓN .................................................................................................................. 20
CAPÍTULO I .......................................................................................................................... 22
EL PROBLEMA ..................................................................................................................... 22
1.1 PLANTEAMIENTO DEL PROBLEMA ............................................................... 22
1.2 JUSTIFICACIÓN DEL PROBLEMA .................................................................... 23
1.3 OBJETIVOS ........................................................................................................... 24
1.3.1 OBJETIVO GENERAL .................................................................................. 24
1.3.2 OBJETIVOS ESPECÍFICOS .......................................................................... 24
1.4 ALCANCE DEL PROYECTO ............................................................................... 25
CAPÍTULO II ......................................................................................................................... 27
MARCO TEÓRICO ................................................................................................................ 27
2.1 ANTECEDENTES ................................................................................................. 27
2.2 REQUISITOS PARA UNA VPN ........................................................................... 28
2.2.1 Compatibilidad ................................................................................................ 28
2.2.2 Seguridad ........................................................................................................ 29
2.2.3 Disponibilidad ................................................................................................. 29
2.2.4 Interoperabilidad ............................................................................................. 30
2.3 OCS INVENTORY ................................................................................................ 31
2.4 CONTROL DE APLICACIONES .......................................................................... 32
CAPÍTULO III ........................................................................................................................ 33
MARCO METODOLÓGICO ................................................................................................. 33
3.1 METODOLOGÍA DE LA INVESTIGACIÓN ...................................................... 33
ix
3.2 METODOLOGÍA EMPLEADA EN EL DISEÑO E IMPLEMENTACIÓN ........ 34
FASE I ............................................................................................................................. 34
FASE II............................................................................................................................ 34
FASE III .......................................................................................................................... 34
FASE IV .......................................................................................................................... 35
FASE V ............................................................................................................................ 35
CAPÍTULO IV........................................................................................................................ 36
CARACTERÍSTICAS DE LOS RECURSOS DE LA ORGANIZACIÓN............................ 36
4.1 RECURSOS TECNOLÓGICOS DE LA ORGANIZACIÓN ................................ 36
4.1.1 Servidor de Active Directory .......................................................................... 36
4.1.2 Firewall Fortigate ............................................................................................ 37
4.1.3 Recolector de Logs Fortianalyzer (FAZVM64) .............................................. 38
4.1.4 Diagrama de Red de la Organización .............................................................. 38
CAPÍTULO V ......................................................................................................................... 40
RESULTADOS....................................................................................................................... 40
5.1 DISEÑO DE LA VPN ............................................................................................ 40
5.2 ADECUACIÓN DE LA PLATAFORMA TECNOLÓGICA ................................ 41
5.2.1 Creación de Grupo de Seguridad en el Directorio Activo .............................. 41
5.2.2 Configuración e Instalación del OCS Inventory ............................................. 43
5.2.2.1 Instalación del OCS .................................................................................... 43
5.2.2.1.1 Instalación del OCS Server ................................................................... 44
5.2.2.1.2 Instalación del OCS Agente .................................................................. 49
5.2.2.2 Inventario de Software Remoto .................................................................. 54
5.2.3 Configuración de Control de Aplicaciones para el Acceso Remoto ............... 56
5.2.3.1 Verificación de Bloqueo Control de Aplicaciones ...................................... 58
5.2.4 Creación de Certificado en OpenSSL ............................................................. 59
5.2.5 Política de Acceso Remoto ............................................................................. 63
5.2.6 Elección de Protocolo VPN ............................................................................ 63
5.3 CONFIGURACIÓN DE VPN-SSL-LDAP ............................................................ 66
5.3.1 Configuración Servidor LDAP ....................................................................... 66
5.3.2 Configuración parámetros VPN SSL .............................................................. 69
5.3.2.1 Configuración SSL-VPN Settings............................................................... 69
5.3.2.2 Creación Objeto de Firewall para VPN-SSL .............................................. 70
x
5.3.2.3 Creación de Portal VPN-SSL ...................................................................... 71
5.3.3 Política de Firewall VPN-SSL ........................................................................ 72
5.4 MANUAL DE CONEXIÓN VPN .......................................................................... 73
5.5 PRUEBAS Y RESULTADOS CONEXIÓN VPN ................................................. 78
CAPÍTULO VI........................................................................................................................ 80
CONCLUSIONES Y RECOMENDACIONES ...................................................................... 80
6.1 CONCLUSIONES .................................................................................................. 80
6.2 RECOMENDACIONES ......................................................................................... 82
REFERENCIAS ...................................................................................................................... 83
ANEXOS ................................................................................................................................ 85
ANEXO A ............................................................................................................................... 85
ANEXO B ............................................................................................................................... 99
ANEXO C ............................................................................................................................. 113
ANEXO D ............................................................................................................................. 120
xi
ÍNDICE DE FIGURAS
Figura 1. Características del Sistema Active Directory de la Organización. .......................... 36
Figura 2. Fortigate 60D ........................................................................................................... 38
Figura 3. Diagrama de red de la Organización ....................................................................... 39
Figura 4. Diseño VPN-SSL ..................................................................................................... 41
Figura 5. Grupo VPN LDAP en el Directorio Activo ............................................................. 42
Figura 6. Propiedades del Grupo VPN SSL ............................................................................ 42
Figura 7. Características del Sistema Active Directory de la Organización. .......................... 43
Figura 8. Inicio instalación OCS Inventory Server ................................................................. 44
Figura 9. Instalación como administrador OCS Inventory Server .......................................... 44
Figura 10. Menú Installer Language – OCS Inventory ........................................................... 45
Figura 11. Asistente de Instalación OCS Inventory ................................................................ 45
Figura 12. Acuerdo de Licencia OCS Inventory Server ......................................................... 46
Figura 13. Carpeta de Instalación OCS Inventory Server ....................................................... 46
Figura 14. Selección de Componentes Instalación OCS Inventory ........................................ 47
Figura 15. Asistente de Instalación OCS Inventory ................................................................ 47
Figura 16. Finalización de la Instalación OCS Inventory Server ............................................ 48
Figura 17. Verificación vía web OCS Inventory .................................................................... 48
Figura 18. Finalización actualización base de datos OCS Inventory ...................................... 49
Figura 19. Inicio instalación OCS Agent ................................................................................ 49
Figura 20. Instalación como administrador OCS Inventory Agent ......................................... 50
Figura 21. Instalación de OCS Inventory NG Agent .............................................................. 50
Figura 22. Acuerdo de Licencia OCS Inventory Agent .......................................................... 51
Figura 23. Selección de Componentes Instalación OCS Inventory Agent ............................. 51
Figura 24. Propiedades del OCS Inventory NG Server .......................................................... 52
Figura 25. Propiedades Servidor Proxy Instalación OCS Agent ............................................ 52
Figura 26. Propiedades del Agente OCS Inventory para Windows ........................................ 53
Figura 27. Carpeta de Instalación OCS Inventory Server ....................................................... 53
Figura 28. Finalización de la Instalación OCS Inventory Agent ............................................ 54
Figura 29. Administración web del OCS Inventory................................................................ 54
xii
Figura 30. Máquinas registradas en el OCS Inventory ........................................................... 55
Figura 31. Búsqueda de Software en el OCS Inventory ......................................................... 55
Figura 32. Identificación de Software de Acceso Remoto en el OCS Inventory .................... 56
Figura 33. Configuración del sensor de control de aplicaciones, bloqueo de Team Viewer .. 56
Figura 34. Finalización de la configuración del sensor de control de aplicaciones ................ 57
Figura 35. Política de firewall con control de aplicaciones en enlace Inter. ........................... 57
Figura 36. Política de firewall con control de aplicaciones en enlace Level3 ........................ 58
Figura 37. Bloqueo del Team Viewer a través del control de aplicaciones ............................ 58
Figura 38. Mensaje del Team Viewer luego de aplicar el control de aplicaciones ................. 58
Figura 39. Log de bloqueo del Team Viewer – Fortianalyzer ................................................ 59
Figura 40. Key generado con OpenSSL .................................................................................. 60
Figura 41. Certificado generado con OpenSSL ...................................................................... 60
Figura 42. Archivos: SSL-LDAP.crt y el LDAP-vpn.key ..................................................... 60
Figura 43. Importar certificado en el Fortigate 60D ............................................................... 61
Figura 44. Importar certificado Local en Fortigate 60D ......................................................... 61
Figura 45. Carga de archivos SSL-LDAP.crt y LDAP-vpn.key en el Fortigate 60D ............. 62
Figura 46. Descarga del certificado en el Fortigate 60D ........................................................ 62
Figura 47. Descarga del certificado en la máquina del usuario .............................................. 62
Figura 48. Atributo LDAP ...................................................................................................... 66
Figura 49. Creación del Servidor LDAP en el Fortigate ......................................................... 67
Figura 50. Creación de Grupo de Usuarios en el Fortigate ..................................................... 67
Figura 51. Creación de Grupo de Usuarios VPN-SSL ............................................................ 67
Figura 52. Asociación de Grupo de Usuarios con Grupo LDAP ............................................ 68
Figura 53. Selección de Grupo de Seguridad: VPN-SSL ....................................................... 68
Figura 54. Grupo de Usuarios VPN-SSL ................................................................................ 69
Figura 55. SSL-VPN Settings ................................................................................................. 70
Figura 56. Objeto de Firewall en el Fortigate 60D ................................................................. 70
Figura 57. Portal SSL-VPN .................................................................................................... 71
Figura 58. Autenticación y mapeo del Portal VPN ................................................................. 71
Figura 59. Configuración de la política de Firewall desde ssl.rootVLAN50 ...................... 72
Figura 60. Configuración de la política de Firewall desde ssl.rootVLAN51 ...................... 73
xiii
Figura 61. Solicitud de credenciales inicio de sesión VPN modo web. .................................. 73
Figura 62. Inicio de sesión VPN modo web. .......................................................................... 74
Figura 63. Descarga en modo web del Forticlient. ................................................................. 74
Figura 64. Descarga de Forticlient para Windows. ................................................................. 74
Figura 65. Conexión rápida VPN-SSL modo web. ................................................................. 75
Figura 66. Protocolos permitidos en la conexión rápida VPN-SSL modo web. ..................... 75
Figura 67. Aceptar términos de licencia Forticlient. ............................................................... 75
Figura 68. Selección de Componente VPN Only en el Forticlient. ........................................ 76
Figura 69. Carpeta de instalación Software Forticlient. .......................................................... 76
Figura 70. Inicio de instalación de cliente VPN. .................................................................... 77
Figura 71. Culminación de la instalación de cliente VPN. ..................................................... 77
Figura 72. Configuración de nueva conexión VPN SSL. ....................................................... 78
Figura 73. Inicio de sesión usuario LDAP a través de la VPN SSL. ...................................... 78
Figura 74. Log de conexión VPN-SSL-LDAP en el dispositivo Fortigate 60D. .................... 79
Figura 75. Extracto reporte VPN-SSL-LDAP en el dispositivo Fortianalyzer. ...................... 79
Figura 76. Fases del Protocolo IPSec...................................................................................... 87
Figura 77. Gateway SSL VPN y Conexión Proxy .................................................................. 89
Figura 78. Modos de operación VPN SSL. ............................................................................. 92
Figura 79. Modelos de implementación de L2TP ................................................................... 93
Figura 80. Negociación L2TP sobre IPsec .............................................................................. 95
Figura 81. Formato de paquete L2TP sobre IPsec .................................................................. 96
Figura 82.Negociación conexión PPTP .................................................................................. 97
Figura 83. Aplicaciones de Algoritmos asimétricos ............................................................. 104
Figura 84. Certificado Digital X.509 .................................................................................... 108
Figura 85. Certificación Digital ............................................................................................ 111
Figura 86. SSL and TCP/IP .................................................................................................. 115
Figura 87. Estructura del Protocolo SSL/TSL ...................................................................... 117
Figura 88. TLS Handshake ................................................................................................... 119
Figura 89. Estructura de árbol de la información .................................................................. 121
Figura 90. Atributos LDAP. .................................................................................................. 123
xiv
ÍNDICE DE TABLAS
Tabla 1.Características del Fortigate 60D ............................................................................... 37
Tabla 2. Accesos VPN-SSL .................................................................................................... 40
Tabla 3. Comparación VPN IPSec vs SSL ............................................................................. 65
Tabla 4. Resumen de Tecnologías de acceso remoto. ............................................................. 98
Tabla 5. Protocolos sobre SSL .............................................................................................. 116
Tabla 6. Referencia atributos en servidor LDAP. ................................................................. 124
xv
SIGLAS
IETF: Internet Engineering Task Force.
ITU: International Telecommunication Union
NIST: National Institute of Standards and Technology.
NSA: National Security Agency.
xvi
ACRÓNIMOS
3DES: Triple Data Encryption Standard.
AES: Advanced Encryption Standard.
CA: Certification Authority.
CHAP: Challenge-Handshake Authentication Protocol.
CIR: Committed Information Rate.
DES: Data Encryption Standard.
DH: Diffie-Hellman.
DIT: Directory Information Tree.
DN: Distinguished Name.
DSS: Digital Signature Standard.
HMAC: MAC basado en hash.
HTTP: Hypertext Transfer Protocol.
HTTPS: Hypertext Transfer Protocol Secure.
IKE: Internet Key Exchange.
IMAP: Internet Message Access Protocol.
ISDN: Integrated Services Digital Network.
ISP: Proveedor de servicios de Internet.
L2TP: Layer 2 Tunneling Protocol.
LAN: Local Area Network.
LDAP: Lightweight Directory Access Protocol.
MAC: Message authentication code
MD5: Message Digest 5.
MS-CHAP: Microsoft CHAP.
NAT: Network Address Traslation.
OSI: Open System Interconnection.
PAP: Password Authentication Protocol.
PKI: Public Key Infrastructure
POP3: Post Office Protocol version 3.
xvii
PPTP: Point-to-Point Tunneling Protocol
QoS: Quality of Service.
RSA: Rivest, Shamir y Adelman.
SHA-1: Secure Hash Algorithm 1.
SMTP: Simple Mail Transfer Protocol.
SSL: Secure Socket Layer
TCP/IP: Protocolo de Control de Transmisión/Protocolo de Internet.
UDP: User Datagram Protocol.
VPN: Virtual Private Network.
WAN: Wide Area Network.
WWW: World Wide Web
X.509: Estándar de ITU-T para la Infraestructura de clave pública.
xviii
GLOSARIO GENERAL
Active Directory: Es un servicio de directorio que permite almacenar y administrar
información de usuarios, computadoras, impresoras aplicaciones y otros objetos de la
red de forma centralizada y segura.
Certificado Digital: Es el único medio que permite garantizar técnica y legalmente la
identidad de una persona en Internet. Se trata de un requisito indispensable para que
las instituciones puedan ofrecer servicios seguros a través de Internet.
Criptografía: La criptografía (del krypto, oculto, y graphos, escribir, literalmente
escritura oculta) es la técnica, bien sea aplicada al arte o la ciencia, que altera las
representaciones lingüísticas de un mensaje. En esencia la criptografía trata de
enmascarar las representaciones caligráficas de una lengua, de forma discreta.
Estándar: Es un proceso, protocolo o técnica utilizada para hacer algo concreto.
Firewall: Es una parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios.
Gateway: Es una "puerta de enlace" (equipo para interconectar redes).
xix
LDAP: Es un protocolo estándar que permite administrar directorios, esto es, acceder
a bases de información de usuarios de una red mediante protocolos TCP/IP.
Protocolo TCP/IP: TCP/IP es un conjunto de protocolos. La sigla TCP/IP significa
"Protocolo de control de transmisión/Protocolo de Internet.
Secure Sockets Layer: Es un protocolo criptográfico que proporciona comunicaciones
seguras por una red, comúnmente Internet. SSL proporciona autenticación y privacidad
de la información entre extremos sobre Internet mediante el uso de criptografía.
UDP: Es un protocolo del nivel de transporte basado en el intercambio de datagramas
(Encapsulado de capa 4 Modelo OSI). Permite el envío de datagramas a través de la
red sin que se haya establecido previamente una conexión, ya que el propio datagrama
incorpora suficiente información de direccionamiento en su cabecera. Tampoco tiene
confirmación ni control de flujo, por lo que los paquetes pueden adelantarse unos a
otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmación de
entrega o recepción.
VPN: Permite crear una conexión segura a una red remota a través del Internet.
Cuando se conecta cualquier dispositivo a un concentrador VPN, esta conexión actúa
como una extensión de la LAN y todo el tráfico de datos se envía de forma segura a
través del túnel VPN.
20
INTRODUCCIÓN
En la actualidad, las organizaciones han incrementado las implementaciones de
la VPN-SSL, dicha implementación se encarga de conectar usuarios remotos a la LAN
de la Organización. La conexión vía VPN-SSL, se establece mediante una
infraestructura pública (Internet) de manera segura, ya que los datos se establecen a
través de un canal cifrado. La conexión a través de esta infraestructura pública, permite
la reducción de costos en la implementación y se puede establecer la conexión segura
desde cualquier ubicación geográfica.
La VPN-SSL que se implementó, se integró con el protocolo Lightweight
Directory Access Protocol (LDAP). El protocolo LDAP, es un protocolo a nivel de
aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para
buscar diversa información en un entorno de red, esto beneficia al usuario debido a que
se utiliza la misma credencial de acceso a los recursos de la LAN y a través de la
conexión remota.
A través de seis (6) capítulos, se expone el desarrollo del trabajo de grado,
seguidamente se presenta la estructura general de cada capítulo y se comenta
brevemente la finalidad de cada uno:
Capítulo Primero: En este capítulo se describe de manera detallada el
planteamiento del problema, justificación, el objetivo general y los objetivos
específicos a cumplir durante la ejecución del proyecto.
Capítulo Segundo: Corresponde fundamentalmente a todas las bases teóricas que
soportan los aspectos más relevantes del desarrollo de la investigación, las mismas
conllevan a comprender el diseño del proyecto.
21
Capítulo Tercero: Este capítulo se basa en la metodología de la investigación que
se utilizó en el desarrollo del Proyecto de Grado.
Capítulo Cuarto: En este capítulo se describe el levantamiento de información
asociado a los recursos de la Organización.
Capítulo Quinto: Este capítulo se presenta el diseño, adecuaciones y
configuración de los elementos de la VPN en la plataforma de la Organización,
documentación del manual de usuarios para la conexión VPN-SSL y pruebas de
validación asociada a la conexión de usuarios remotos.
Capítulo Sexto: En el este capítulo se desarrollan una serie de conclusiones y
recomendaciones generadas a partir del diseño e implementación del proyecto.
22
CAPÍTULO I
EL PROBLEMA
1.1 PLANTEAMIENTO DEL PROBLEMA
Actualmente, en la empresa privada sujeta a estudio, los empleados utilizan
software de acceso remoto como por ejemplo: Team Viewer para ingresar
externamente a los dispositivos que se encuentran en la LAN (Local Area Network).
Este método de conexión no deja un registro de cuando el usuario tuvo acceso a la red
de la organización, por tal motivo no se puede realizar la auditoría de las conexiones a
través de software de acceso remoto. Por lo indicado anteriormente, las organizaciones
deben contar con un mecanismo de acceso remoto seguro como la VPN (Virtual Private
Network) hacia los elementos críticos de la organización, ya que los usuarios
manipulan información sensible de la organización y este método de conexión permite
realizar la auditoría de los usuarios que se conectan a través de la VPN. La VPN se
encarga de establecer un túnel, es decir un canal de comunicación seguro a través de
Internet para oficinas remotas, usuarios móviles y socios comerciales, disminuyendo o
eliminando los costos asociados por enlaces dedicados que en tiempos pasados
permitían la comunicación dedicada entre el usuario y la empresa privada.
El principal objetivo del presente trabajo diseño e implementación de una red
privada virtual (VPN-SSL) utilizando el método de autenticación LDAP, esto con el
fin de utilizar las credenciales de los usuarios en la LAN para establecer la conexión
vía VPN.
23
1.2 JUSTIFICACIÓN DEL PROBLEMA
La empresa actualmente en estudio, se dedica a la atención de requerimientos,
incidentes e implementaciones en el área de seguridad perimetral, teniendo como
fortaleza los dispositivos del Fabricante Fortinet. El motivo de este proyecto, es la
implementación de una VPN-SSL en una empresa privada, esto con el fin de que los
empleados y consultores externos posean acceso de forma segura a través de una VPN-
SSL, esta VPN-SSL estará integrada con el protocolo LDAP. El motivo de elección de
esta arquitectura, se debe a que usualmente cuando se crean los usuarios VPN en el
firewall, es común observar que cuando un usuario deja de laborar en la organización,
el administrador del firewall no deshabilita o elimina el usuario. Basándonos en la
premisa que la empresa privada posee un proceso que indica las acciones que se deben
realizar cuando un empleado deja de laboral en la organización, dicho proceso debe
indicar que corresponde deshabilitar el usuario de red y esta acción tendría efecto
inmediato en el acceso a través de la VPN-SSL.
Es importante que antes de implementar la VPN-SSL, se realice la auditoría del
software de acceso remoto, con el fin de denegar el acceso no autorizado desde internet
hacia las máquinas de los usuarios. Esta acción tiene el objetivo de garantizar solo la
conectividad a través de la VPN y denegar el acceso a través de diferentes productos
de software de acceso remoto.
Ventajas de utilizar una VPN-SSL integrada con LDAP:
- Se utiliza el mismo usuario y clave para el acceso desde la LAN de la empresa
como desde la VPN-SSL.
- Conexión desde cualquier sitio que posea acceso a Internet.
24
- El tráfico viaja de forma segura, ya que el mismo se encuentra encriptado.
- Debido al auge de la red de redes (Internet), actualmente la mayoría de las
empresas mantienen VPN para que los empleados puedan acceder a los archivos,
aplicaciones, impresoras y otros recursos de la red de la oficina, sin comprometer la
seguridad de la organización.
- El firewall se puede configurar con un dispositivo recolector de logs, con la
finalidad de obtener la auditoría de la conexión de los usuarios VPN.
- Esta VPN-SSL puede ser utilizada de forma web ó utilizando cliente VPN-SSL.
- Fácil configuración para los usuarios finales.
1.3 OBJETIVOS
1.3.1 OBJETIVO GENERAL
Diseñar e implementar una Red Privada Virtual (VPN-SSL) utilizando el método
de autenticación LDAP en una empresa privada.
1.3.2 OBJETIVOS ESPECÍFICOS
Definir una política de acceso remoto a la red.
Comparar el protocolo SSL vs IPSec.
Estudiar el protocolo LDAP.
25
Definir la arquitectura a utilizar en la implementación de la VPN SSL.
Configurar e integrar el firewall con el Directorio Activo de la organización.
Configurar e implementar políticas de firewall para la conectividad de los
usuarios VPN.
Desarrollar el manual de conexión a la VPN.
1.4 ALCANCE DEL PROYECTO
El proyecto de grado se enfoca en el diseño e implementación de una VPN-SSL
integrada con el protocolo LDAP en una empresa privada. La VPN-SSL será
configurada con un dispositivo de seguridad Fortinet y se aprovechará la disponibilidad
del directorio activo de la organización. Para culminar exitosamente la implementación
se debe realizar las siguientes actividades:
Definir una política de acceso remoto a la red.
Comparar los protocolos SSL vs IPSec.
Estudio del protocolo LDAP.
Definir la arquitectura a utilizar en la implementación de la VPN SSL.
Configurar e integrar el firewall con el Directorio Activo de la organización.
26
Configurar e implementar de políticas de firewall para la conectividad de los
usuarios VPN.
Desarrollar el manual de conexión a la VPN.
La autora propone la implementación de la VPN-SSL, debido a la facilidad de
conexión desde cualquier posición geográfica siempre y cuando se posea un acceso a
Internet. Dicha conexión puede ser a través del navegador web o utilizando un cliente
VPN-SSL.
27
CAPÍTULO II
MARCO TEÓRICO
2.1 ANTECEDENTES
En los últimos veinte años el mundo ha experimentado grandes cambios. Ahora
un gran número de empresas, en vez de ocuparse sencillamente de asuntos locales o
regionales, tiene que pensar en mercados globales y en logística. Muchas
Organizaciones disponen de instalaciones por todo el país o incluso el mundo. Aunque
todas las empresas necesitan lo mismo una forma de mantener comunicaciones rápidas,
seguras y confiables no importa dónde se encuentren sus oficinas.
Una VPN (Virtual Private Network), es una red privada virtual que utiliza una
red pública (Internet) para conectar sitios remotos o usuarios. En vez de utilizar una
conexión dedicada como enlace WAN, una VPN utiliza conexiones "virtuales" que se
enrutan a través de Internet desde la red privada de la empresa hasta el sitio remoto o
viceversa.
Una VPN bien diseñada puede aportar grandes beneficios a una empresa. Por
ejemplo, puede:
- Ampliar la conectividad geográfica.
- Reducir los costos de funcionamiento en comparación con las WAN
tradicionales.
- Reducir el tiempo de tránsito y los gastos de viaje de los usuarios remotos.
28
- Mejorar la productividad.
- Simplificar la topología de red.
- Proporcionar oportunidades de trabajo en red global.
- Servir de apoyo al trabajador que está desplazándose.
2.2 REQUISITOS PARA UNA VPN
Vincenzo Mendillo (2011), indicó los requisitos para la Red Privada Virtual
(VPN), dichos requisitos se pueden agrupar en cuatro áreas principales:
compatibilidad, seguridad, disponibilidad e interoperabilidad.
2.2.1 Compatibilidad
Para que una VPN pueda utilizar Internet, debe ser compatible con el protocolo
de Internet (IP). Resulta obvia esta consideración con el fin de poder asignar y,
posteriormente, utilizar conjuntos de direcciones IP. Sin embargo, la mayoría de redes
privadas emplean direcciones IP privadas o no-oficiales, provocando que únicamente
unas pocas puedan ser empleadas en la interacción con Internet. La razón por la que
sucede esto es simple, la obtención de un bloque de direcciones IP oficiales
suficientemente grande como para facilitar un subnetting resulta imposible. Las
subredes simplifican la administración de direcciones así como la gestión de los routers
y conmutadores, pero malgastan direcciones muy preciadas.
Actualmente existen varias técnicas con las que se puede obtener la
compatibilidad deseada entre las redes privadas e Internet, por ejemplo la conversión a
29
direcciones Internet mediante NAT (Network Address Traslation) y el empleo de
túneles para encapsulamiento.
En la primera de estas técnicas, las direcciones Internet oficiales coexistirán con
las redes IP privadas en el interior de la infraestructura de routers y conmutadores de
las organizaciones. De este modo, un usuario con una dirección IP privada puede
acceder al exterior por medio de un servidor de direcciones IP públicas mediante la
infraestructura local y sin necesidad de emplear ningún tipo de acción especial.
2.2.2 Seguridad
Debe considerarse seriamente la seguridad cuando se usa Internet. Las
comunicaciones ya no van a estar confinadas a circuitos privados, sino que van a viajar
a través de Internet, que es considerada una red “demasiado pública” para realizar
comunicaciones privadas. Aunque puede parecer poco probable que alguien
monitoreando una línea con un sniffer consiga capturar información y hacer uso de
ella, ya que está encriptada, la posibilidad existe. Cuando la información está
encriptada, se requieren claves para cifrar y descifrar. Los usuarios en cada extremo
deben tener las claves adecuadas. Si se está configurando una conexión con una
sucursal es fácil administrar este intercambio de claves. Sin embargo, si un usuario
remoto accede a la red corporativa, se necesita un modo de verificar quién es y un modo
de intercambiar las claves para la encriptación. Las claves públicas basadas en
certificados digitales y PKI son los que más de utilizan para este propósito.
2.2.3 Disponibilidad
La disponibilidad viene motivada principalmente por dos variables: una
accesibilidad plena e independiente del momento y del lugar, y un rendimiento óptimo
que garantice la calidad de servicio ofrecida al usuario final.
30
La calidad de servicio (QoS – Quality of Service), hace referencia a la capacidad
que dispone una red para asegurar un cierto grado de operación de extremo a extremo.
La QoS puede venir dada como una cierta cantidad de ancho de banda o un retardo que
no debe sobrepasarse, o bien como una combinación de ambas. Actualmente, la entrega
de datos en Internet es realizada de acuerdo al mejor esfuerzo (best effort), lo cual no
garantiza la calidad de servicio demandada. No obstante, en el futuro Internet será
capaz de suplir esta carencia ofreciendo un soporte para la QoS a través de un conjunto
de protocolos emergentes entre los que cabe destacar DiffServ (Differential Services),
RSVP (Resource ReSerVation Protocol) y RTP (Real Time Protocol). Pero por ahora,
los proveedores sólo proporcionan la QoS de las VPNs haciendo uso del tráfico CIR
(Committed Information Rate) en Frame Relay u otras técnicas (ejemplo MPLS).
2.2.4 Interoperabilidad
Las implementaciones de los tres primeros requisitos han provocado la aparición
de un cuarto: la interoperabilidad. Los estándares sobre tunneling, autenticación,
encriptación y modo de operación ya mencionados anteriormente son de reciente
aparición o bien se encuentran en proceso de desarrollo. Por esta razón, previamente a
la adquisición de una tecnología VPN, se debe prestar una cuidadosa atención a la
interoperabilidad de extremo a extremo. Esta responsabilidad puede residir tanto en el
usuario final como en el proveedor de red, dependiendo de la implementación deseada.
Una manera de asegurar una correcta interoperabilidad radica en la elección de una
solución completa ofrecida por un mismo fabricante. En el caso de que dicho fabricante
no sea capaz de satisfacer todos los requisitos, se deberán limitar los aspectos inter
operacionales a un subconjunto que englobe aquellos que sean esenciales, además de
utilizar únicamente aquel equipamiento que haya sido probado en laboratorios o bien
sometido a pruebas.
31
Una vez vista la relevancia que presentan estas cuatro áreas para las VPN, se
procederá a realizar una breve descripción de los principales protocolos comúnmente
utilizados, los cuales permiten alcanzar en general unos resultados satisfactorios,
principalmente en las áreas de seguridad y compatibilidad. En los Anexos: A, B, C y
D se explica detalladamente las tecnologías de acceso remoto, bloques criptográfico
para SSL, el protocolo SSL/TSL y finalmente el protocolo LDAP.
2.3 OCS INVENTORY
OCS Inventory es una aplicación en software libre, basada en un modelo cliente-
servidor, que recopila la información del software y el hardware instalado en los
equipos de red en un sistema centralizado.
Toda la información que extrae OCS se realiza mediante la instalación de un
agente, en cada uno de los equipos a gestionar (ya sean Windows, Linux o MacOS),
que envía la información al servidor mediante HTTP e intercambiando archivos XML.
El entorno requerido no es nada complejo: Apache + Perl + PHP + MySQL, por lo que
podemos montar el servicio sin mucha dificultad. En el lado del cliente, por ejemplo
en Windows, tan sólo hay que instalar un simple ejecutable que dejará un servicio
corriendo en el sistema.
OCS Inventory es capaz de detectar todos los dispositivos activos en la red,
incluyendo switches, routers, impresoras en red y cualquier dispositivo desatendido.
Para cada uno de ellos, almacena la dirección MAC y la dirección IP permitiendo su
posterior clasificación.
Otra de las ventajas de OCS Inventory, además de tener un control completo del
hardware de cada uno de los dispositivos de nuestra red, el software instalado o los
usuarios del sistema, es la de permitir instalar remotamente aplicaciones, por ejemplo,
32
realizar un despliegue masivo en todo nuestro parque informático de manera
centralizada, lo cual es un aspecto muy interesante.
2.4 CONTROL DE APLICACIONES
El control de aplicaciones, es una protección que permite configurar qué
programas de los instalados los equipos de los usuarios pueden ejecutarse o no.
Esta funcionalidad se basa en las capacidades de Capa 7 para poder identificar
las diferentes aplicaciones. Por lo tanto, no está basado en el puerto de la aplicación
como tal, sino, en el reconocimiento del tráfico que atraviesa las interfaces del firewall.
Se puede utilizar el control de aplicaciones para mantener las aplicaciones maliciosas,
arriesgadas, y no deseados fuera de su red a través de puntos de control en el perímetro,
en el centro de datos, e internamente entre los segmentos de la red.
33
CAPÍTULO III
MARCO METODOLÓGICO
3.1 METODOLOGÍA DE LA INVESTIGACIÓN
La metodología de la investigación que se utilizó en el desarrollo del Proyecto de
Grado, se define como Proyecto Factible. Se denomina Proyecto Factible a la
elaboración de una propuesta viable, destinada atender necesidades específicas a partir
de un diagnóstico.
El Manual de Tesis de Grado y Especialización y Maestría y Tesis Doctorales de
la Universidad Pedagógica Libertador, (2006), encuentra que:
El Proyecto Factible consiste en la investigación, elaboración y desarrollo de una
propuesta de un modelo operativo viable para solucionar problemas, requerimiento o
necesidades de organizaciones o grupos sociales; puede referirse a la formulación de
políticas, programas, tecnologías, métodos o procesos. El Proyecto debe tener apoyo
en una investigación de tipo documental, de campo o un diseño que incluya ambas
modalidades.
De lo indicado anteriormente la autora puede inferir, que la investigación,
análisis y estudio de la problemática planteada conducirá a la implementación de la
VPN-SSL con LDAP en una empresa privada.
34
3.2 METODOLOGÍA EMPLEADA EN EL DISEÑO E IMPLEMENTACIÓN
A continuación la autora indica las fases definidas en el estudio y ejecución del
proyecto:
FASE I: Levantamiento de información de la plataforma tecnológica de la
empresa privada en estudio.
En esta fase la autora realizará el levantamiento de información asociado a los
componentes de la plataforma tecnológica tales como: servidor de dominio, marca y
modelo de firewall, esquema de red., así como la documentación necesario para llevar
a cabo la implementación.
FASE II: Adecuación de la plataforma tecnológica de la empresa privada, con
el fin de implementar la solución.
En esta fase la autora se encargará de implementar una aplicación, basada en un
modelo cliente-servidor, que recopila la información del software y el hardware
instalado en los equipos de nuestra red en un sistema centralizado, esto con el fin de
ubicar los software de acceso remoto en la máquinas de los usuarios. La autora deberá
crear un Grupo de Seguridad en el directorio activo e incorporar a los usuarios que van
a tener acceso VPN-SSL a este grupo de seguridad, se realizará la generación de un
certificado de seguridad a ser instalado en los navegadores web: Mozilla, Chrome e
Internet Explorer.
FASE III: Configuración e implementación de la VPN-SSL con LDAP en el
firewall de una empresa privada.
35
En esta fase la autora realizará la configuración e integración del Firewall
Fortigate con el LDAP, así como la creación de políticas de Firewall que permite el
acceso desde Internet hacia la LAN a través de la VPN-SSL.
FASE IV: Pruebas y diagnóstico de la solución implementada.
En esta fase la autora luego de realizar la configuración e implementación de la
solución, realizará las verificaciones asociadas al correcto funcionamiento de la VPN-
SSL con LDAP. Se les indicará a los usuarios de la empresa privada en estudio que
realicen las pruebas de conectividad VPN utilizando su usuario del dominio.
FASE V: Documentación de la VPN-SSL con LDAP implementada.
La autora realizará la documentación asociada al manual de configuración de la
VPN-SSL y política de acceso remoto a la red.
36
CAPÍTULO IV
CARACTERÍSTICAS DE LOS RECURSOS DE LA
ORGANIZACIÓN
4.1 RECURSOS TECNOLÓGICOS DE LA ORGANIZACIÓN
4.1.1 Servidor de Active Directory
El Active Directory se encuentra instalado en un servidor Windows Server 2012,
bajo un entorno virtualizado basado en Vmware. Las características del sistema se
muestran en la figura 1.
Figura 1. Características del Sistema Active Directory de la Organización.
37
4.1.2 Firewall Fortigate
La plataforma de seguridad perimetral de la Organización es un dispositivo
Fortigate 60D con un FortiOS en la versión 5.4.1. Actualmente la Organización posee
tres enlaces para el acceso a Internet los cuales son: Level 3, Cantv e Intercable, estos
enlaces están directamente conectados al Fortigate 60D. Las características del firewall
se indican en la tabla 1.
System Performance
System Performance Firewall Throughput (1518 / 512 / 64 byte UDP
packets) 1.5 / 1.5 / 1.5 Gbps
Firewall Latency (64 byte UDP packets) 4 μs
Frewall Throughput (Packets Per Second) 2.2 Mpps
Concurrent Sessions (TCP) 500000
New Sessions/Second (TCP) 4000
Firewall Policies 5000
IPsec VPN Throughput (512 byte packets) 1 Gbps
Gateway-to-Gateway IPsec VPN Tunnels 200
Client-to-Gateway IPsec VPN Tunnels 500
SSL-VPN Throughput 30 Mbps
Concurrent SSL-VPN Users (Recommended Maximum) 100
IPS Throughput (HTTP / Enterprise Mix) 200/41 Mbps
SSL Inspection Throughput 32 Mbps
Application Control Throughput 50 Mbps
NGFW Throughput 23 Mbps
Threat Protection Throughput 20 Mbps
CAPWAP Throughput 250 Mbps
Virtual Domains (Default / Maximum) 10-oct
Maximum Number of FortiAPs (Total / Tunnel Mode) 10-may
Maximum Number of FortiTokens 100
Maximum Number of Registered FortiClients 200
High Availability Configurations Active / Active, Active / Passive,
Clustering
Tabla 1.Características del Fortigate 60D
38
En la figura 2, se muestran las características físicas del dispositivo Fortigate
60D.
Figura 2. Fortigate 60D
Fuente: www.fortinet.com
4.1.3 Recolector de Logs Fortianalyzer (FAZVM64)
El Fortianalyzer FAZVM64, es un recolector de logs virtual del Fabricante
Fortinet. Este dispositivo se conecta con el Fortigate 60D y se encarga de recolectar,
analizar y construir los reportes del tráfico que pasa a través del firewall.
Este dispositivo trae por defecto una serie de reportes. Sin embargo, los
administradores de la organización pueden generar reportes personalizados según las
necesidades de la empresa.
4.1.4 Diagrama de Red de la Organización
En la actualidad, la red de la empresa se encuentra estructurada de la siguiente
manera: Red de Datos, Red de Servidores y Red de Voz. La empresa posee tres enlaces
para el acceso a Internet, entre ellos: ABA CANTV, Intercable y Level 3. En la figura
3, se indica el esquema de red de la empresa privada.
39
Red de Servidores
Red de Usuarios
Switch LAN
CANTV
LEVEL 3
INTERCABLE
Internal1
wan2
Internal7
wan1
Figura 3. Diagrama de red de la Organización
40
CAPÍTULO V
RESULTADOS
5.1 DISEÑO DE LA VPN
Para el diseño de la VPN se hizo la selección del direccionamiento IP que permite
la conexión de los usuarios VPN, tal como se muestra en la tabla 2.
Direccionamiento IP usuarios VPN-SSL Acceso en la LAN Enlaces de conexión para el
túnel VPN
10.100.20.1-10.100.20.10 10.1.50.0/24
CANTV, Intercable, Level3 10.1.51.0/24
Tabla 2. Accesos VPN-SSL
Las conexiones VPN se podrán establecer a través de los tres enlaces de la
Organización: CANTV, Intercable y Level3, tal como se muestra en el Diseño de la
VPN, representado en la figura 4.
41
Red de Servidores
Red de Usuarios
Switch LAN
CANTV
LEVEL 3
INTERCABLE
Internal1
wan2
Internal7
wan1
Usuarios Remotos Usuarios Remotos
Usuarios Remotos
Túnel VPN Intercable
Túnel VPN Level3
Túnel VPN CANTV
Fortianalyzer – Recolector de Logs
Figura 4. Diseño VPN-SSL
5.2 ADECUACIÓN DE LA PLATAFORMA TECNOLÓGICA
Para la puesta en producción de la VPN integrada con el protocolo LDAP, se
realizaron una serie de adecuaciones a nivel de red, con el fin de dar cumplimiento con
el trabajo de grado. A continuación se indican las adecuaciones de la plataforma.
5.2.1 Creación de Grupo de Seguridad en el Directorio Activo
Se procedió a crear el grupo de seguridad VPN SSL en el directorio activo de la
organización. Luego de la creación del grupo, se asociaron a los usuarios que deben
tener acceso vía VPN-SSL-LDAP a este grupo de seguridad.
42
En la figura 5, se muestra el grupo: VPN LDAP en el Directorio Activo.
Figura 5. Grupo VPN LDAP en el Directorio Activo
Actualmente en el Grupo VPN-SSL, se encuentran dos usuarios del grupo de
tecnología. Esta configuración puede ser implementada en pequeñas, medianas y
grandes empresas. En la figura 6, se muestra los usuarios que pertenecen al grupo de
seguridad VPN SSL.
Figura 6. Propiedades del Grupo VPN SSL
43
5.2.2 Configuración e Instalación del OCS Inventory
El OCS Inventory, es un aplicativo que permite realizar el inventario del
hardware y software de una organización. Este software se instaló en un servidor
virtualizado Windows Server 2012, con el fin de identificar los programas de acceso
remoto que están instalados en las máquinas de los usuarios y posteriormente realizar
el bloqueo de estos programas a través del control de aplicaciones en el firewall de la
organización.
En la figura 7, se muestran las características del sistema.
Figura 7. Características del Sistema Active Directory de la Organización.
5.2.2.1 Instalación del OCS
Para realizar la instalación del OCS Inventory, se procedió a descargar el
software desde la página http://www.ocsinventory-ng.org/en/. A continuación, se
indican los pasos que se realizaron para la instalación de este software en el servidor.
44
5.2.2.1.1 Instalación del OCS Server
En la carpeta de descargas, seleccionar el software, tal como se muestra en la
figura 8.
Figura 8. Inicio instalación OCS Inventory Server
Seleccionar el software: OCSNG-Windows-Server-Setup.exe, presionar el
botón derecho del mouse y ejecutar como administrador. En la figura 9, se muestra la
acción descrita anteriormente.
Figura 9. Instalación como administrador OCS Inventory Server
Al ejecutar el software comienza la instalación del OCS Inventory Server, tal
como se describe a continuación:
- En el menú Installer Language, seleccionar el lenguaje en el cual se va a instalar
el software y posteriormente seleccionar: OK. En la figura 10, se muestra el
idioma de instalación del software.
45
Figura 10. Menú Installer Language – OCS Inventory
- En el menú Instalación de OCS Inventory NG seleccionar Siguiente, tal como
se muestra en la figura 11.
Figura 11. Asistente de Instalación OCS Inventory
- En el menú Instalación de OCS Inventory NG, se debe aceptar los términos de
la licencia y seleccionar siguiente, tal como se muestra en la figura 12.
46
Figura 12. Acuerdo de Licencia OCS Inventory Server
- En el menú Instalación de OCS Inventory NG, se debe seleccionar la carpeta de
instalación y presionar Siguiente, tal como se muestra en la figura 13.
Figura 13. Carpeta de Instalación OCS Inventory Server
- En el menú Instalación de OCS Inventory NG, se deben seleccionar los
componentes de instalación y presionar siguiente, tal como se muestra en la
figura 14.
47
Figura 14. Selección de Componentes Instalación OCS Inventory
- En el menú Instalación de OCS Inventory NG, al seleccionar el botón siguiente
en figura 14, se inicia el proceso de instalación del software, tal como se muestra
en la figura 15.
,
Figura 15. Asistente de Instalación OCS Inventory
- En el menú Instalación de OCS Inventory NG, se culminó el proceso de
instalación, tal como se muestra en la figura 16.
48
Figura 16. Finalización de la Instalación OCS Inventory Server
- Luego de la instalación del OCS Inventory NG, se debe verificar desde el
servidor vía web el siguiente URL: http://localhost/ocsreports/, tal como se
muestra en la figura 17. Para ingresar se utiliza el usuario root y la clave por
defecto.
Figura 17. Verificación vía web OCS Inventory
49
- Luego de ingresar las credenciales en el OCS Inventory NG, se hace la
actualización de la base de datos y se culmina con el proceso de instalación, tal
como se muestra en la figura 18.
Figura 18. Finalización actualización base de datos OCS Inventory
5.2.2.1.2 Instalación del OCS Agente
En la carpeta de descargas, seleccionar el software, tal como se muestra en la
figura 19.
Figura 19. Inicio instalación OCS Agent
50
Seleccionar el software: OCS-NG-Windows-Agent-Setup.exe, presionar el
botón derecho del mouse y ejecutar como administrador. En la figura 20 se muestra la
acción descrita anteriormente.
Figura 20. Instalación como administrador OCS Inventory Agent
Al ejecutar el software comienza la instalación del OCS Agent en la máquina de
cada usuario de la Organización, tal como se describe a continuación:
- En el menú Instalación de OCS Inventory NG Agent, seleccionar Siguiente, tal
como se muestra en la figura 21.
Figura 21. Instalación de OCS Inventory NG Agent
- En el menú Instalación de OCS Inventory NG Agent, se debe aceptar los
términos de la licencia y seleccionar siguiente, tal como se muestra en la figura
22.
51
Figura 22. Acuerdo de Licencia OCS Inventory Agent
- En el menú Instalación de OCS Inventory NG Agent, se deben seleccionar los
componentes de instalación y presionar siguiente, tal como se muestra en la
figura 23.
Figura 23. Selección de Componentes Instalación OCS Inventory Agent
- En el menú Instalación de OCS Inventory NG Agent, se debe especificar el
direccionamiento IP del servidor donde se realizó la instalación del OCS
Inventory NG Server, presionar siguiente, tal como se muestra en la figura 24.
52
Figura 24. Propiedades del OCS Inventory NG Server
- En el menú Instalación de OCS Inventory NG Agent, en las propiedades del
servidor proxy se debe seleccionar siguiente, tal como se muestra en la figura
25.
Figura 25. Propiedades Servidor Proxy Instalación OCS Agent
- En el menú Instalación de OCS Inventory NG Agent, seleccionar siguiente tal
como se muestra en la figura 26.
53
Figura 26. Propiedades del Agente OCS Inventory para Windows
- En el menú Instalación de OCS Inventory NG Agent, se debe seleccionar la
carpeta de instalación y presionar siguiente, tal como se muestra en la figura 27.
Figura 27. Carpeta de Instalación OCS Inventory Server
- En el menú Instalación de OCS Inventory NG Agent, se debe seleccionar el
botón de finalizar con el fin de culminar con la instalación, tal como se muestra en
la figura 28.
54
Figura 28. Finalización de la Instalación OCS Inventory Agent
5.2.2.2 Inventario de Software Remoto
El inventario de software en las máquinas de los usuarios, es necesario para
identificar las máquinas que poseen algún software de acceso remoto, para el
cumplimiento de los objetivos del trabajo de grado se identificó el Team Viewer. Para
realizar el inventario se deben realizar los siguientes pasos:
- Ingresar vía web a través de: https://10.1.51.63/ocsreports. Se ingresa con el
usuario y clave por defecto, posteriormente se debe cambiar la clave por defecto.
En la figura 29, se muestra la administración web del OCS Inventory.
Figura 29. Administración web del OCS Inventory
- Al ingresar vía web, se puede observar que actualmente en la empresa se están
monitoreando once (11) máquinas de usuarios. En la figura 30, se muestra la
cantidad de máquinas registradas en el software de inventario.
55
Figura 30. Máquinas registradas en el OCS Inventory
- En el OCS Inventory se selecciona “All softwares”, se filtra por la letra “T” y se
coloca el nombre del software sobre el cual se va a realizar el filtro, para efectos
del trabajo de grado es el: Team Viewer. Lo indicado anteriormente, se muestra
en la figura 31.
Figura 31. Búsqueda de Software en el OCS Inventory
- El software OCS Inventory procedió a identificar cuatro (4) máquinas con el
software Team Viewer (versión 10 y 11), tal como se muestra en la figura 32.
56
Figura 32. Identificación de Software de Acceso Remoto en el OCS Inventory
5.2.3 Configuración de Control de Aplicaciones para el Acceso Remoto
El primer paso para la creación de un sensor de aplicaciones, es la identificación
de la aplicación que se quiere bloquear. Una vez identificada la aplicación, se procede
a seleccionar dichos aplicativos en el control de aplicaciones del Fortigate, se
selecciona “Use Selected Signatures”, tal como se puede observar en la figura 33.
Figura 33. Configuración del sensor de control de aplicaciones, bloqueo de Team Viewer
Luego de seleccionar las aplicaciones asociadas al Team Viewer, se selecciona
el botón “Apply”, tal como se muestra en la figura 34.
57
Figura 34. Finalización de la configuración del sensor de control de aplicaciones
El sensor de control de aplicaciones se aplica en la política de Firewall, que
permite el acceso desde la red LAN hacia Internet. Esto con el fin, de denegar el acceso
de aplicativos de acceso remoto. En la figura 35, se muestra la política de Firewall que
permite el acceso desde la red: VLAN51 hacia Internet por el puerto WAN2
(Intercable) con el control de aplicaciones: default aplicado en la política.
Figura 35. Política de firewall con control de aplicaciones en enlace Inter.
En la figura 36, se muestra la política de Firewall que permite el acceso desde la
red: VLAN51 hacia Internet por el puerto Internal7 (Level3) con el control de
aplicaciones: default aplicado en la política.
58
Figura 36. Política de firewall con control de aplicaciones en enlace Level3
5.2.3.1 Verificación de Bloqueo Control de Aplicaciones
En la máquina de un usuario de la organización, se hizo el intento de abrir el
aplicativo Team Viewer luego de aplicar el control de aplicaciones en la política de
firewall, como resultado se tuvo el bloqueo de dicho aplicativo tal como se puede
observar en las figuras 37 y 38.
Figura 37. Bloqueo del Team Viewer a través del control de aplicaciones
Figura 38. Mensaje del Team Viewer luego de aplicar el control de aplicaciones
59
Se verificó en el recolector de Logs (Fortianalyzer) de la organización y se pudo
observar el bloqueo de la aplicación, a través del control de aplicaciones como se
muestra en la figura 39.
Figura 39. Log de bloqueo del Team Viewer – Fortianalyzer
5.2.4 Creación de Certificado en OpenSSL
Se realizó la descarga del software OpenSSL y se procedió a generar el
certificado siguiendo los siguientes pasos:
- Para generar el certificado el administrador de debe ubicar en la siguiente ruta
en MS-DOS: C:\OpenSSL-Win64\bin, posteriormente ejecutar el siguiente
comando: openssl genrsa -aes256 -out LDAP-vpn.key 4096, tal como se
muestra en la siguiente figura 40. Luego el sistema solicitará una clave para el
LDAP-vpn.key.
60
Figura 40. Key generado con OpenSSL
- Con el comando: openssl req -new -x509 -days 3650 -key LDAP-vpn.key -
sha256 -extensions v3_ca -out SSL-LDAP.crt, se solicita un certificado con una
vigencia de 10 años, dicho certificado contiene los datos de la organización, tal
como se muestra en la figura 41.
Figura 41. Certificado generado con OpenSSL
- En la figura 42, se muestra en la carpeta C:\OpenSSL-Win64\bin, los archivos:
SSL-LDAP.crt y el LDAP-vpn.key, ambos archivos se requieren para importar
el certificado localmente en el Fortigate.
Figura 42. Archivos: SSL-LDAP.crt y el LDAP-vpn.key
61
- Para importar el certificado en el Fortigate, se debe seleccionar en el menú:
CertificatesImport, tal como se muestra en la figura 43.
Figura 43. Importar certificado en el Fortigate 60D
- Para importar el certificado en el Fortigate, se debe seleccionar en el menú:
CertificatesImportLocal Certificate, tal como se muestra en la figura 44.
Figura 44. Importar certificado Local en Fortigate 60D
- Al importar el certificado en el Fortigate es requerido el certificado: SSL-
LDAP.crt y el archivo con la clave: LDAP-vpn.key, tal como se muestra en la
figura 45.
62
Figura 45. Carga de archivos SSL-LDAP.crt y LDAP-vpn.key en el Fortigate 60D
- Luego de importar el certificado en el Fortigate, se puede realizar la descarga
del certificado deseado y posteriormente se selecciona la opción: Download, tal
como se muestra en la figura 46.
Figura 46. Descarga del certificado en el Fortigate 60D
- En la figura 47, se muestra la descarga del certificado que se debe utilizar para
la VPN-SSL-LDAP.
Figura 47. Descarga del certificado en la máquina del usuario
63
5.2.5 Política de Acceso Remoto
- El área de Tecnología es responsable de la creación y asignación de los accesos
remotos. Los accesos remotos deben ser aprobados por la Gerencia de
Tecnología.
- El acceso de conexión remota (VPN), está permitido para los empleados de la
organización y consultores externos.
- Es de responsabilidad del usuario VPN, asegurarse que ninguna otra persona
utilice su cuenta de acceso, entendiendo que es de uso exclusivo para quienes se
les ha asignado dichos privilegios.
- Los usuarios deben conectarse al túnel VPN con su usuario y clave de inicio de
sesión de Windows.
- El tráfico de la conexión VPN se encuentra limitado según el perfil de acceso
del usuario VPN.
- Los usuarios pueden establecer la conexión vía VPN de dos maneras: vía
navegador web (HTTPS) o vía SSL VPN Client.
- Es el deber del usuario optimizar el uso de los recursos mientras se utilice el
túnel VPN.
- La máquina de los usuarios deben poseer un antivirus con las últimas huellas
actualizadas.
- Las estadísticas de la conexión de los usuarios VPN serán auditadas a través de
un equipo recolector de Logs (Fortianalyzer).
5.2.6 Elección de Protocolo VPN
Vincenzo Mendillo (2016), indicó que una VPN (Virtual Private Network) es
esencialmente una forma de comunicación que usa recursos de transmisión y
conmutación compartidos, es decir públicos (lo que usualmente implica inseguros).
64
Conceptualmente, un túnel de comunicaciones significa encapsular los paquetes
que llevan un cierto protocolo (por ejemplo HTTP) dentro de paquetes de otro
protocolo (por ejemplo SSL/TLS, PPTP o IPSec). Mediante el encapsulamiento se
añade un nuevo encabezado al paquete original, y los datos además se encriptan y se
autentican. El encapsulamiento se efectúa a la entrada de túnel y el nuevo paquete viaja
a través de la red de tránsito hasta alcanzar el final del túnel, donde se remueve el
encabezado, se desencriptan los datos y reaparece el paquete original. El túnel es la
ruta de información lógica a través de la cual viajan los paquetes encapsulados. Para
los interlocutores de origen y de destino originales, el túnel suele ser transparente.
El rasgo que distingue a SSL de otros protocolos para túneles seguros como
PPTP, L2TP, o IPSec es que se ubica en el modelo OSI entre los niveles de transporte
(TCP/IP) y de aplicación, suministrando un canal seguro a nivel de socket (conector),
de allí su nombre.
PPTP (Point-to-Point Tunneling Protocol): fue creado por Microsoft para la
realización de transferencias seguras desde clientes remotos a servidores emplazados
en redes privadas, empleando para ello tanto líneas telefónicas conmutadas como
Internet.
L2TP (Layer 2 Tunneling Protocol): trabaja en la capa 2 y es el resultado de la
combinación de los protocolos L2F (de Cisco) y PPTP. Permite la creación de túneles
a través de una gran variedad de tipos de redes (IP, SONET, ATM) para el transporte
de tráfico PPP.
IPSec (IP Security Protocol): trabaja en la capa 3 y es usado en VPN por su
escalabilidad y robustez, sobre todo para túneles VPN permanentes entre sitios, más
que para usuarios remotos, ya que por lo general no funciona bien si el usuario está
detrás de un NAT. Los servicios IPSec son llevados a cabo mediante el uso de dos
65
protocolos de seguridad: AH (Authentication Header) y ESP (Encapsulating Security
Protocol), así como mediante un conjunto de protocolos necesarios para la gestión de
claves criptográficas, llamado IKE (Internet Key Exchange).
SSTP (Secure Socket Tunneling Protocol): es un nuevo tipo de VPN
desarrollado por Microsoft y que encapsula paquetes PPP sobre SSL. Utiliza el puerto
443 para atravesar firewalls y proxies. A través de SSL suministra cifrado,
autenticación y negociación de claves. En comparación con IPSec, SSTP es más fácil
de implementar.
Para la elección del protocolo VPN, se procedió a establecer un cuadro
comparativo entre las bondades de la VPN IPSec vs la VPN SSL. En la tabla 6, se
indica el resultado de la comparación entre ambos protocolos utilizados masivamente
para la conexión remota:
IPSec SSL
Método de Autenticación
PSK
RSA DSA Digital Signature
RSA Public Key
RSA Challenge Response
DSA Digital Signature
RSA/DSA Digital Signature
Configuración Difícil Sencillo
Pre Shared Key Si No
Problemas de Interoperabilidad Si No
Costo de Mantenimiento Alto Bajo
Modo de implementación Basado en Hardware
Basado en Software
Modo Túnel (Cliente VPN)
Modo web (HTTPS)
Capa del Modelo OSI Capa 3 Capa 6
Encryption DES, 3DES, AES-128, AES-192,
AES-256
AES-128, AES-256 bits, 3DES,
RC4(128 bits) y superior, Bajo - RC4(64
bits), DES y superior
Xauthtype Si No
Acceso a los recursos de la
Organización Sin restricciones
VPN-SSL modo web (limitado), también
permite realizar la conexión rápida vía
web hacia los siguientes servicios:
HTTP/HTTPS, FTP, RDP, VNC, SSH,
SMB/CIFS, Citrix.
VPN-SSL modo túnel (Ilimitado).
Tabla 3. Comparación VPN IPSec vs SSL
66
5.3 CONFIGURACIÓN DE VPN-SSL-LDAP
5.3.1 Configuración Servidor LDAP
El atributo sobre el cual se está haciendo la búsqueda en el directorio activo es:
sAMAccountName. Este atributo se identificó a través del software: Softerra LDAP
Browser 4.5 y el mismo está asociado al usuario de inicio de sesión de Windows, tal
como se muestra en la figura 48.
Figura 48. Atributo LDAP
Para el cumplimiento de los objetivos del trabajo de grado, se realizaron los
siguientes pasos, con el fin de que la VPN esté integrada con el protocolo LDAP.
- Creación de Servidor LDAP: En el dispositivo Fortigate 60D, se creó el LDAP
Server tal como se muestra en la figura 49. Para esta configuración es necesario
disponer de la dirección IP del directorio activo, el identificador del atributo que
se va a consultar y una cuenta con privilegios de administrador del dominio. Este
usuario con privilegios de administrador va a ubicar la información del
directorio activo.
67
Figura 49. Creación del Servidor LDAP en el Fortigate
- Creación de Grupo de Usuarios: Para la creación del Grupo de Usuarios, se
debe ingresar en el menú del Fortigate: User Group y posteriormente
seleccionar: Create New, tal como se muestra en la figura 50.
Figura 50. Creación de Grupo de Usuarios en el Fortigate
o Se debe colocar al grupo un nombre y posteriormente, seleccionar en el
Remote Groups: Create New, tal como se muestra en la figura 51.
Figura 51. Creación de Grupo de Usuarios VPN-SSL
68
o Al seleccionar en Remote Groups la opción: Create New, se debe ubicar el
servidor LDAP que se creó en el Fortinet para la implementación de la VPN-
SSL. Esta actividad permite asociar un grupo local con el Servidor LDAP
creado previamente, tal como se muestra en la figura 52.
Figura 52. Asociación de Grupo de Usuarios con Grupo LDAP
o Al seleccionar el grupo LDAP creado: My_LDAP, se despliega el árbol del
directorio activo y en la pestaña Groups se debe seleccionar el Grupo de
Seguridad asociado a la VPN-SSL, tal como se muestra en la figura 53.
Figura 53. Selección de Grupo de Seguridad: VPN-SSL
69
o Posteriormente el grupo de usuarios local: VPN-SSL, se asocia al grupo
remoto: My-LDAP, en el cual se indica el grupo de seguridad del directorio
activo que va a tener acceso a la VPN, tal como se muestra en la figura 54.
Figura 54. Grupo de Usuarios VPN-SSL
5.3.2 Configuración parámetros VPN SSL
Para realizar la implementación de la VPN-SSL, se debe realizar las siguientes
configuraciones en el dispositivo Fortigate 60D.
5.3.2.1 Configuración SSL-VPN Settings
En el menú SSL-VPN Settings, se deben definir las interfaces por las cuales se
va a permitir la conexión de acceso remoto. En el menú Server Certificate, se debe
asociar el certificado generado previamente a través del software OpenSSL.
Adicionalmente, la VPN permite configurar los DNS internos de la organización, tal
como se muestra en la figura 55.
70
Figura 55. SSL-VPN Settings
5.3.2.2 Creación Objeto de Firewall para VPN-SSL
El objeto de firewall: VPN SSL LDAP, se crea con el fin de permitir el rango de
direcciones IP: 10.100.20.1-10.100.20.10 en la política de firewall y en el portal SSL.
Este direccionamiento IP se le asigna dinámicamente a los usuarios que se conectan
vía VPN-SSL. En la figura 56, se muestra la configuración del objeto de firewall.
Figura 56. Objeto de Firewall en el Fortigate 60D
71
5.3.2.3 Creación de Portal VPN-SSL
En el Portal VPN-SSL, se debe definir hacia que segmentos de red los usuarios
tienen acceso a través de la VPN, así como también se debe especificar en qué modo
va a funcionar la VPN: modo web o modo túnel, tal como se muestra en la figura 57.
Figura 57. Portal SSL-VPN
En el menú: New Authentication/Portal Mapping ubicado en el SSL-VPN
Settings, se debe agregar el Grupo de LDAP: VPN-SSL y el Portal VPN-LDAP creado
previamente. Esta configuración permite asociar el grupo de usuarios VPN-SSL con el
portal VPN creado para dicho grupo. La configuración se muestra en la figura 58.
Figura 58. Autenticación y mapeo del Portal VPN
72
5.3.3 Política de Firewall VPN-SSL
Se debe configurar la política de firewall desde la interfaz virtualizada: ssl.root
correspondiente a la VPN-SSL hacia las direcciones IP en la LAN de la organización.
Esta política permite el acceso desde el rango de direcciones IP: 10.100.20.1-
10.100.20.10 hacia la VLAN de Servidores: 10.1.50.0/24, tal como se muestra en la
figura 59.
Figura 59. Configuración de la política de Firewall desde ssl.rootVLAN50
Esta política permite el acceso desde el rango de direcciones IP: 10.100.20.1-
10.100.20.10 hacia la VLAN de Datos: 10.1.51.0/24, tal como se muestra en la figura
60.
73
Figura 60. Configuración de la política de Firewall desde ssl.rootVLAN51
5.4 MANUAL DE CONEXIÓN VPN
Se debe ingresar al URL que permite la conexión VPN de la empresa, por
ejemplo: www.vpn-empresa.com. Al ingresar en el URL en el navegador web, se
solicitará el usuario y la clave de inicio de sesión en el dominio de la organización, tal
como se muestra en la figura 61.
Figura 61. Solicitud de credenciales inicio de sesión VPN modo web.
El usuario al conectarse a la VPN, ingresa con las credenciales de inicio de sesión
en Windows, tal como se muestra en la figura 62.
74
Figura 62. Inicio de sesión VPN modo web.
A través de la conexión VPN modo web, se puede realizar la descarga del
Forticlient para: IOS, Android, Windows y Mac, tal como se muestra en la figura 63.
Figura 63. Descarga en modo web del Forticlient.
Para la descarga del Forticlient, se debe seleccionar el sistema operativo en el
cual se va a instalar el aplicativo y seleccionar la opción: Guardar archivo, como se
muestra en la figura 64.
Figura 64. Descarga de Forticlient para Windows.
La conexión VPN-SSL modo web, también permite realizar la conexión rápida
vía web hacia los siguientes servicios: HTTP/HTTPS, FTP, RDP, VNC, SSH,
SMB/CIFS, Citrix, tal como se muestra en las figuras 65 y 66.
75
Figura 65. Conexión rápida VPN-SSL modo web.
Figura 66. Protocolos permitidos en la conexión rápida VPN-SSL modo web.
A continuación se indica los pasos para realizar la instalación del Forticlient.
- En el menú Forticlient Setup Wizard, aceptar los términos de la licencia y seleccionar
el botón siguiente, como se muestra en la figura 67.
Figura 67. Aceptar términos de licencia Forticlient.
76
- En el menú Forticlient Setup Wizard, seleccionar la opción VPN Only, como se
muestra en la figura 68.
Figura 68. Selección de Componente VPN Only en el Forticlient.
- En el menú Forticlient Setup Wizard, seleccionar la carpeta de instalación del software
Forticlient, como se muestra en la figura 69.
Figura 69. Carpeta de instalación Software Forticlient.
- En el menú Forticlient Setup Wizard, seleccionar la opción Install para iniciar
la instalación del Forticlient, como se muestra en la figura 70.
77
Figura 70. Inicio de instalación de cliente VPN.
- En el menú Forticlient Setup Wizard, seleccionar la opción Finish para finalizar
con la instalación del Forticlient, como se muestra en la figura 71.
Figura 71. Culminación de la instalación de cliente VPN.
- El usuario VPN debe iniciar el aplicativo Forticlient, deberá indicar el nombre
de la conexión y colocar en el Remote Gateway la dirección IP del dispositivo
que recibirá la conexión VPN, luego debe seleccionar la opción: Apply y
posteriormente Close, tal como se muestra en la figura 72.
78
Figura 72. Configuración de nueva conexión VPN SSL.
- Para establecer la conexión VPN-SSL, se deberá colocar el usuario de inicio de sesión
de Windows en el dominio y la clave asociada a este usuario, posteriormente
seleccionar la opción: Connect, tal como se muestra en la figura 73.
Figura 73. Inicio de sesión usuario LDAP a través de la VPN SSL.
5.5 PRUEBAS Y RESULTADOS CONEXIÓN VPN
Luego de la implementación de la VPN-SSL-LDAP, se realizaron las pruebas de
conectividad de la VPN y la misma resultó exitosa, tal como se muestra en la figura
74.
79
Figura 74. Log de conexión VPN-SSL-LDAP en el dispositivo Fortigate 60D.
Adicionalmente, se verificó el reporte de auditoría generado por el Fortianalyzer.
En la figura 75, se muestra un extracto del reporte de la conexión VPN-SSL-LDAP.
Figura 75. Extracto reporte VPN-SSL-LDAP en el dispositivo Fortianalyzer.
80
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1 CONCLUSIONES
Luego de culminar el proyecto de grado, se puede concluir que los objetivos
planteados se alcanzaron exitosamente. La implementación de la VPN-SSL integrada
con LDAP en la Organización, permitió ofrecer movilidad, garantiza la integridad,
confidencialidad y seguridad de los datos, reducir los costos en la implementación, y
lo más importante, permitir a los usuarios y consultores externos conectarse desde
cualquier ubicación geográfica de forma segura ante cualquier evento que se pueda
presentar en el país. Con la implementación, se garantiza la continuidad del negocio
siempre y cuando el usuario posea acceso a Internet sin la necesidad de estar
físicamente en las instalaciones de la organización.
La VPN-SSL implementada posee dos métodos de conexión: vía web (HTTPS)
o utilizando un cliente VPN (Forticlient). El presente trabajo de grado describe ambos
métodos de conexión y depende del usuario escoger cuál método va a utilizar para
realizar la conexión de la VPN-SSL.
Uno de los puntos más importantes en la implementación de la solución, es la
integración de la VPN-SSL con el protocolo LDAP. Al utilizar el protocolo LDAP en
la VPN-SSL, se garantiza el uso de las credenciales de inicio de sesión de Windows a
los usuarios VPN, facilitando el manejo de una única clave para conexión a los recursos
de la organización, tanto localmente como remotamente.
81
En la organización, se implementó un software que se encarga de realizar la
auditoría de hardware y software, permitiéndole a la autora identificar rápidamente el
software de acceso remoto. Esto con la finalidad de dar cumplimiento a uno de los
objetivos planteados en el presente trabajo de grado. En la actualidad, existen muchos
fabricantes que manejan las configuraciones de VPN-SSL en sus dispositivos, así como
soluciones en software libre como por ejemplo OpenVPN, depende del administrador
de la organización que solución va a implementar, sí se debe adquirir un nuevo
hardware para disfrutar de estas bondades o si se va a realizar la adecuación de la
plataforma actual para implementar esta solución.
Se definió una política de acceso remoto a la red de la Organización, en la cual
se indica el uso apropiado de la conexión remota (VPN-SSL) hacia la red de la
organización, y aplica a todos los empleados y consultores externos que hagan uso de
esta forma de conexión.
Es importante mencionar que la arquitectura utilizada en la implementación,
permite la redundancia en la conectividad vía VPN-SSL, es decir los usuarios VPN’s
pueden conectarse a través de tres enlaces de internet hacia la red de la organización
garantizando así la continuidad del negocio. Adicionalmente, se puede obtener logs de
auditoría desde el equipo Fortianalyzer (Gestor de logs) permitiendo la identificación
del método de conexión, así como la hora de inicio de sesión y la culminación de la
conexión VPN-SSL.
Finalmente se desarrolló un manual de conexión a la VPN-SSL para los usuarios
de la organización, con el fin de indicar los pasos que se deben realizar para la conexión
de acceso remoto.
82
6.2 RECOMENDACIONES
Otorgar el acceso VPN-SSL a los usuarios claves de la Organización, ya que esto
garantiza la optimización de los recursos y la continuidad del negocio.
Generar el certificado en el Fortigate y posteriormente enviar el mismo a una
entidad certificadora.
Mantener el firmware actualizado del Fortigate para evitar posibles
vulnerabilidades o bugs asociados a la versión.
Renovar el licenciamiento del Firewall Fortigate, Windows, antivirus de la
organización.
Deshabilitar del directorio activo, los usuarios que egresen de la organización. El
deshabilitar este usuario influye directamente en el grupo de seguridad VPN-SSL, por
lo tanto, no tendrá acceso a través de la VPN.
Realizar auditorías de hardware y software trimestralmente.
Realizar la auditoría de las conexiones VPN a través del Fortianalyzer. La
frecuencia de la auditoría dependerá de la necesidad de la organización.
83
REFERENCIAS
Alshamsi, A., Saito T. (2005). A Technical Comparison of IPSec and SSL. Tokyo:
Tokyo University of Technology.
Álvarez H, Saránsig S. Transport Layer Security Protocol. Disponible desde Internet
en: http://www.cybsec.com/upload/espe_tls.pdf [con acceso el 28/04/2016].
Array Networks, Inc. SSL vs. IPSec. Disponible desde Internet en:
https://www.arraynetworks.com/ufiles/resources/WP-SPX-SSL-vs-IPSec-May-
2011-Rev-A.pdf [con acceso el 08/05/2016].
Barrios, M. (2006). Manual de Trabajos de Grado de Especialización y Maestría y Tesis
Doctorales. Caracas: FEDUPEL.
Bizangi. Atributos LDAP. Disponible desde Internet en:
http://help.bizagi.com/bpmsuite/es/index.html?atributos_ldap.htm [con acceso el
17/07/2016].
CCM. Protocolo LDAP. Disponible desde Internet en: <http://es.ccm.net/contents/269-
protocolo-ldap> [con acceso el 10/07/2016].
CISCO (2008). Cómo funcionan las redes privadas virtuales (VPN) [Documento en
línea].Disponible:http://www.cisco.com/cisco/web/support/LA/7/74/74718_how_
vpn_works.pdf [con acceso el 12/06/2016].
CISCO (2010). Red privada virtual. Disponible desde Internet en:
<http://www.cisco.com/web/LA/soluciones/la/vpn/index.html> [con acceso el
02/08/2016].
Fortinet (2014). Virtual Private Networks (VPNs). Disponible desde Internet en:
http://docs.fortinet.com/uploaded/files/2056/inside-fortios-vpn-52.pdf [con acceso
el 07/05/2016].
84
Jazib , F y Qiang , H. (2008). Cisco. SSL Remote Access VPNs. Cisco Press.
Microsoft. Active Directory: LDAP Syntax Filters. Disponible desde Internet en:
http://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-
ldap-syntax-filters.aspx [con acceso el 17/02/2016].
Universidad Politécnica de Valencia. Disponible desde Internet en: http://www.upv.es/
[con acceso el 07/09/2016].
Vincenzo Mendillo. (2011). Comunicaciones Seguras con Red Privada Virtual (VPN).
Caracas. Universidad Central de Venezuela, Facultad de Ingeniería. Escuela de
Ingeniería Eléctrica.
Vincenzo Mendillo. (2016). Red Privada Virtual (VPN) con SSL, OPENVPN y SSH.
Universidad Central de Venezuela, Facultad de Ingeniería. Escuela de Ingeniería
Eléctrica
85
ANEXOS
ANEXO A
TECNOLOGÍAS DE ACCESO REMOTO
Actualmente las organizaciones están constantemente bajo presión, con el fin de
reducir los costos mediante el uso de su infraestructura de red mediante la utilización
de la última tecnología. Con el crecimiento de Internet y con la atención en la
globalización, las organizaciones deben proporcionar a sus empleados acceso a los
recursos de la organización bajo el siguiente esquema 7x24.
El incremento en el número de trabajadores móviles y teletrabajadores, es un
factor importante en el crecimiento exponencial de las tecnologías de acceso remoto.
Dentro de las tecnologías que se utilizan para el acceso remoto se encuentran las
siguientes:
- IPsec.
- VPN SSL.
86
- L2TP.
- L2TP sobre IPsec.
- PPTP.
IPsec
IPsec es la tecnología VPN más ampliamente utilizada. Debido a que proporciona
protección a nivel IP (capa 3). Puede ser implementada para proteger las
comunicaciones entre un par de Firewall (equipos de seguridad perimetral), entre un
Firewall y un ordenador (a través del uso de un cliente VPN). Actualmente, ofrece las
características de seguridad que se requieren en las infraestructuras empresariales y de
proveedores de servicios.
IPsec fue diseñado para proporcionar integridad de los datos, asegurando que los
paquetes no sean modificados durante la transmisión, la autenticación de paquetes se
asegura de que los paquetes provienen de una fuente válida y el cifrado de datos para
garantizar la confidencialidad del contenido.
Internet Key Exchange (IKE) utiliza el marco proporcionado por el Internet
Security Association and Key Management Protocol (ISAKMP).
El propósito de IKE, tal como se define en el RFC 2409, "El Internet Key
Exchange ", es negociar diferentes asociaciones de seguridad (SA) mediante el uso de
los protocolos de gestión de claves disponibles.
87
ISAKMP negocia la utilización de dos fases. En la Fase 1, ISAKMP crea un canal
de comunicación seguro y auténtico entre los peers (Firewalls). Mediante el uso de este
canal bidireccional, el peer VPN puede estar de acuerdo sobre como la negociación
remota debería ser manejada enviando mensajes protegidos el uno al otro.
La negociación de la fase 2, crea dos canales unidireccionales que se utilizan para
asegurar y autenticar los paquetes de datos actuales.
La solución de acceso remoto IPsec introduce dos conjuntos adicionales de
negociaciones para tratar con éxito un túnel IPsec. Estas negociaciones, también
conocidas como Fase 1.5, incluyen autenticación (AUTH-X) y el modo de
configuración (mode config), esto se encarga de proporcionar mejoras de seguridad.
Durante X-AUTH al cliente VPN se le pedirá que especifique las credenciales de
usuario para la autenticación. Después de una autenticación exitosa, el gateway IPsec
entrega un número de parámetro de configuración y las políticas de seguridad a la
conexión del usuario final en el modo de configuración. En la figura 76, se muestra las
fases del protocolo IPSec.
Figura 76. Fases del Protocolo IPSec.
Fuente: Cisco 2008
88
La solución de acceso remoto vía VPN IPsec se encuentra actualmente basada
en: software y hardware.
Cliente VPN basado en software
La solución de acceso remoto IPsec basada en software, requiere la instalación
de un cliente VPN en las estaciones de trabajo. El cliente VPN, se ejecuta en una
variedad de sistemas operativos como: Windows, Solaris, Linux y Mac OS X.
Cliente VPN basado en hardware
Implementan la misma funcionalidad VPN IPsec, utilizando los dispositivos de
hardware dedicados.
VPN SSL
VPN SSL (Secure Socket Layer), es una tecnología de acceso remoto emergente
que proporciona conectividad segura a los recursos corporativos internos a través de
un navegador web o un cliente dedicado. Se encuentra entre las capas de transporte y
aplicación del modelo OSI. El protocolo SSL fue desarrollado por Netscape para
promover los sitios de comercio electrónico que requieren encriptación de datos y
autenticación de usuarios. Con la banca en línea, por ejemplo, la sesión de usuario se
establece mediante el uso de este protocolo. A pesar de que SSL fue originalmente
diseñado para proporcionar un acceso web seguro, las organizaciones están
aprovechando cada vez más este protocolo para proporcionar un acceso seguro a las
aplicaciones de uso común, tales como: Simple Mail Transfer Protocol (SMTP), Post
Office Protocol version (POP3) y el Internet Message Access Protocol (IMAP). La
mayor fuerza de SSL VPN viene del hecho de que SSL es un protocolo maduro y se
encuentra disponible en todos los navegadores web. Se puede personalizar la solución
89
VPN SSL, para satisfacer cualquier requisito de negocio. Esto incluye no sólo
proporciona acceso a los recursos corporativos sin cargar un cliente VPN, sino también
proporcionar los datos de forma confidencial durante el uso de un método rentable y
flexible.
SSL VPN ofrece la ventaja de que es independiente de la plataforma. El uso de
cualquier navegador que soporte SSL permite acceder a los recursos sin tener que
preocuparse por el sistema operativo. En segundo lugar, el usuario VPN no tendrá que
utilizar un cliente VPN para establecer la conexión.
Una diferencia importante entre VPN SSL y otras tecnologías de acceso remoto
está, en la implementación de las sesiones de usuario. Con las tecnologías de acceso
remoto, el cliente VPN inicia una conexión directa a los dispositivos de seguridad
perimetral que residen en la red protegida. Sin embargo, en el modo sin cliente de VPN
SSL, el gateway VPN SSL actúa como un proxy entre el usuario VPN y los recursos
internos. Como se muestra en la figura 77, si un usuario quiere acceder al sitio web
interno, por ejemplo intranet.securemeinc.com, la sesión de VPN SSL se termina en el
Gateway, posteriormente el Gateway inicia una nueva sesión al servidor interno en
nombre del cliente.
Figura 77. Gateway SSL VPN y Conexión Proxy
Fuente: Cisco 2008
90
Modos de operación VPN SSL
Cuando un cliente remoto se conecta al firewall, éste autentica al usuario
basándose en el nombre de usuario, la contraseña y el dominio de autenticación. Un
inicio de sesión correcto, determina los permisos de acceso de los usuarios remotos de
acuerdo a grupo de usuarios al cual pertenecen. La configuración de grupos de usuarios
especifica sí la conexión funcionará en modo de sólo web o el modo de túnel.
Modo Web
El modo Web proporciona a los usuarios remotos una forma rápida y eficiente
para acceder a las aplicaciones de servidor desde cualquier cliente equipado con un
navegador web.
En el modo web, el firewall actúa como un camino seguro de HTTP/HTTPS y
autentica a los usuarios remotos como miembros de un grupo de usuarios. Después de
una autenticación exitosa, este dispositivo redirige el navegador web a la página
principal y el usuario puede acceder a las aplicaciones de servidor, detrás del
dispositivo de seguridad perimetral.
Cuando el firewall proporciona servicios en modo web, una conexión segura
entre el cliente remoto y este dispositivo, se establece a través de la seguridad SSL
VPN en el firewall y la seguridad SSL en el navegador web. Una vez establecida la
conexión, el firewall proporciona acceso a los servicios seleccionados y los recursos
de red a través de un portal web.
La configuración del firewall implica la selección de la configuración del portal
Web asociando la configuración de grupos de usuarios. Estos ajustes de
91
configuraciones, son para determinar a qué aplicaciones se pueden acceder. El cifrado
SSL se utiliza para garantizar la confidencialidad del tráfico.
Modo Túnel
El modo túnel ofrece a los usuarios remotos la libertad de conectarse a la red
interna mediante los medios tradicionales de acceso basado en web desde equipos
portátiles, así como centros comerciales, hoteles y cafés Internet. El cliente VPN SSL
encripta todo el tráfico desde el equipo cliente remoto y lo envía al dispositivo de
seguridad perimetral a través del enlace HTTPS entre el navegador web y el firewall.
Otra opción es la división de túnel, lo que asegura que sólo el tráfico para la red privada
se envía a través de la VPN SSL. El tráfico de Internet se envía a través de la ruta
habitual sin cifrar. Esto conserva el ancho de banda y alivia los cuellos de botella.
En el modo de túnel, los clientes remotos se conectan al firewall y la página de
inicio de sesión del portal web utilizando Microsoft Internet Explorer, Firefox,
Chrome, Mac OS o Linux. El firewall actúa como una camino seguro de HTTP/HTTPS
y autentica a los usuarios remotos como miembros de un grupo de usuarios. Después
de una autenticación exitosa, el firewall redirige el navegador web a la página principal
del web dictado por la configuración de autenticación de grupos de usuarios. Si el
usuario no tiene instalado el cliente de VPN SSL, se les pedirá a descargar el cliente
VPN SSL (un plugin ActiveX o Java) e instalarlo mediante los controles
proporcionados a través del portal web. El modo de túnel VPN SSL también puede
iniciarse desde una aplicación independiente en Windows, Mac OS y Linux.
Cuando el usuario inicia una conexión VPN con el firewall a través del cliente
VPN SSL, este dispositivo establece un túnel con el cliente y le asigna al cliente una
dirección IP virtual a partir de un rango de direcciones reservadas. El cliente utiliza la
dirección IP asignada como su dirección de origen para la duración de la conexión.
92
Después de que se ha establecido el túnel, el usuario puede acceder a la red detrás del
firewall.
La configuración del firewall para establecer un túnel con los clientes remotos,
implica habilitar la función a través de las opciones de configuración de VPN SSL y la
selección de la configuración del portal web adecuado para el acceso en modo túnel en
la configuración de grupos de usuarios. Los perfiles de políticas de seguridad y de
protección configuradas en el firewall, aseguran que el tráfico entrante se filtra y se
procesa de forma segura. En la figura 78, se puede observar los modos de operación de
la VPN SSL.
Figura 78. Modos de operación VPN SSL.
Fuente: Fortinet 2015
L2TP
Layer 2 Tunneling Protocol (L2TP), se encuentra documentado en el RFC 2661.
Combina las características de la capa 2 (L2F) de Cisco Systems y PPTP de Microsoft
documentado en el RFC 3931, se hicieron mejoras en la versión 3 para agregar
características de seguridad y una mejor encapsulación que cumplan con los requisitos
de la industria emergente. Es un paquete de datos dentro de Protocolo Point-to-Point
(PPP) y utiliza el puerto registrado User Datagram Protocol (UDP) 1701, tanto para la
negociación de túnel y la encapsulación de datos.
93
L2TP puede sustituir a las implementaciones de acceso remoto que actualmente
utilizan las tecnologías de PPTP y L2F. L2TP se suele implementar en dos modelos de
acceso remoto:
- Modelo túnel voluntario: Este modelo funciona de una manera similar a PPTP,
porque el túnel es iniciado por un cliente de L2TP habilitado y termina en un servidor
con L2TP habilitado. En consecuencia, se establece el túnel L2TP entre el cliente y el
servidor, y el proveedor de servicios de Internet (ISP) no tiene por qué tener L2TP
habilitado en su infraestructura. En la parte (a) de la figura 79, se ilustra este modelo.
- Túnel obligatorio modelo de llamada entrante: Este modelo funciona de una
manera similar a L2F, donde se establece una sesión PPP entre la estación de trabajo
final y la puerta de enlace del ISP. Sobre la base de la autenticación del usuario, la
sesión L2TP es iniciada por el concentrador de acceso ISP L2TP (LAC) al servidor de
red L2TP (LNS) que es propiedad de la organización. Por lo tanto, el usuario final ni
siquiera sabe que existe el túnel L2TP entre el ISP LAC y el LNS corporativos, como
se muestra en la parte (b) de la figura 79.
Figura 79. Modelos de implementación de L2TP
Fuente: Cisco 2008
94
La mayoría de las versiones más recientes de Microsoft Windows, incluyendo
Windows 7, 8 y 10, tienen soporte nativo para L2TP como un protocolo de acceso
remoto. L2TP puede utilizar un número de protocolos de autenticación para la
autenticación de usuario, tales como:
- Password Authentication Protocol (PAP).
- Challenge-Handshake Authentication Protocol (CHAP).
- Microsoft CHAP (MS-CHAP)
El soporte para tarjetas inteligentes también está disponible cuando se utiliza el
Protocolo de autenticación extensible (EAP). La confidencialidad de los datos, se
realiza a través de 40 bits o 128 bits mediante el uso de Microsoft Point-to-Point
(MPPE). Sin embargo, es muy recomendable añadir cifrado IPsec para
implementaciones de L2TP. De esta manera, IPsec puede proporcionar
confidencialidad, autenticación e integridad de los datos dentro de L2TP
encapsulación. La integración de IPsec con L2TP se conoce comúnmente como L2TP
sobre IPsec.
L2TP sobre IPsec
Las organizaciones que prefieren utilizar un cliente de acceso remoto en los
sistemas operativos Windows, pueden usar L2TP. Sin embargo, L2TP no proporciona
una fuerte confidencialidad de los datos. Por lo tanto, la mayoría de las
implementaciones de L2TP utilizan IPSec para proporcionar seguridad en los datos.
Esta metodología se conoce comúnmente como L2TP sobre IPsec y está documentada
en el RFC 3139.
95
En una implementación L2TP sobre IPsec, la estación de trabajo (cliente) y el
dispositivo gateway pasa por siete pasos, como se muestra en la figura 80.
Figura 80. Negociación L2TP sobre IPsec
Fuente: Cisco 2008
A continuación se describen los siete pasos en el proceso de negociación L2TP
sobre IPsec:
1. El usuario establece una sesión PPP con el router de acceso (proveedor de
servicios - ISP) y recibe una dirección IP pública dinámica. Este paso es opcional, si la
estación de trabajo ya tiene una dirección IP pública y puede enviar tráfico a Internet.
2. El usuario inicia el cliente L2TP que se encuentra configurado para utilizar
IPsec, con el fin de garantizar la seguridad de los datos.
3. La estación de trabajo del cliente, inicia una sesión y negocia un canal seguro
para el intercambio de claves (negociaciones de fase 1 de IKE).
4. Después de establecer con éxito la fase 1, el cliente establece dos canales
seguros para el cifrado de datos y autenticación (negociaciones de fase 2 de IKE). Los
96
canales de datos, están configurados para cifrar el tráfico L2TP que se envía hacia el
puerto UDP 1701.
5. Una vez establecida la negociación IPsec, el cliente inicia una sesión L2TP
dentro del protocolo IPsec.
6. Las credenciales de autenticación especificadas por el usuario se utilizan para
validar la sesión L2TP. Cualquier atributo L2TP o PPP, se negocia después de una
autenticación satisfactoria del usuario.
7. Después de que se estableció la sesión L2TP, la estación de trabajo de usuario
envía el tráfico de datos que se encapsula dentro de L2TP. Los paquetes L2TP están
codificadas por IPsec y luego enviados al otro extremo del túnel a través de Internet.
La figura 81, muestra un formato de paquetes L2TP sobre IPsec después de que
todos los encabezados y encapsulados se han añadido al paquete original.
Figura 81. Formato de paquete L2TP sobre IPsec
Fuente: Cisco 2008
97
PPTP
Point-to-Point Tunneling Protocol (PPTP), es un protocolo de red cliente-
servidor que permite a los usuarios remotos acceder a los recursos de red a través de
Internet. PPTP fue desarrollado por Microsoft y está documentado en el RFC 2637.
Según Microsoft “PPTP, es un protocolo de red que permite el tráfico seguro de
datos desde un cliente remoto a un servidor corporativo privado, estableciéndose así
una Red Privada Virtual (VPN) basada en TCP/IP. PPTP soporta múltiples protocolos
de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales
a través de otras redes públicas o privadas como líneas telefónicas, redes de área local
o extendida (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP”.
Con PPTP, el cliente utiliza el puerto TCP 1723 para iniciar la conexión a la
puerta de enlace PPTP. El gateway, solicita al usuario las credenciales de autenticación.
Después de la autenticación exitosa del usuario y la negociación de los parámetros:
compresión y cifrado, el cliente encapsula los paquetes de datos en GRE y los transmite
al gateway a través de una conexión insegura. El gateway, se encarga de descifrar los
paquetes y los coloca en la red privada. La figura 82, ilustra los canales de
comunicación y de transporte de PPTP.
Figura 82.Negociación conexión PPTP
Fuente: Cisco 2008
98
La confidencialidad de los datos se proporciona a través de la encriptación de 40
bits o 128 bits utilizando Microsoft Point-to-Point (MPPE), similar a L2TP.
La funcionalidad PPTP, está disponible gratuitamente en la mayoría de las
versiones de los sistemas operativos Microsoft Windows. En consecuencia, es la
opción preferida para las organizaciones que no quieren instalar un cliente VPN de un
tercero. Sin embargo, PPTP no es una tecnología de acceso remoto ampliamente
desplegada debido a fallas de seguridad en su implementación del protocolo.
Las tecnologías de acceso remoto pueden ser seleccionadas en función de la
política de seguridad establecida por la empresa. En la tabla 1, se indica un resumen de
las distintas tecnologías de acceso remoto.
Funcionalidad PPTP IPsec L2TP L2TP sobre
IPsec
VPN SSL
Cliente VPN Compatible
con los
sistemas
operativos de
Windows
Requiere un
cliente de
terceros
Integrada en los
nuevos
sistemas
operativos de
Windows
Integrada en
los nuevos
sistemas
operativos de
Windows
El cliente VPN
es opcional
Encriptación MPPE DES, 3DES,
AES
MPPE DES, 3DES,
AES
DES, 3DES,
RC4-128,
RC4-40, AES
Despliegue Raramente
utilizado
Utilizado
ampliamente
Raramente
utilizado
Uso limitado Actualmente
en crecimiento
Tabla 4. Resumen de Tecnologías de acceso remoto.
99
ANEXO B
Bloques Criptográficos SSL VPNs
Una VPN lleva el tráfico privado a través de redes públicas. Una VPN segura
cumple las siguientes características básicas:
Autenticación: garantiza que la entidad VPN se comunique con la parte
interesada. La autenticación se puede aplicar a cualquier dispositivo de VPN o un
usuario de VPN. Por ejemplo, en una VPN de acceso remoto, el dispositivo VPN puede
autenticar el equipo del usuario para asegurarse de que este dispositivo posee
direccionamiento IP válido. El Firewall también puede autenticar al usuario final que
está utilizando ese equipo, con el fin de asignar adecuadamente los privilegios de
usuario en base a la información del usuario.
Confidencialidad: garantiza la privacidad de los datos mediante el cifrado de
los datos.
Integridad del mensaje: garantiza que el contenido de los datos no han sido
modificados durante la transmisión.
100
Hashing y Autenticación de Integridad del Mensaje
A continuación se describen el hash y su uso en la criptografía.
Hash
El hashing juega un papel importante en un sistema de seguridad, asegurando la
integridad del mensaje transmitido. Un algoritmo de hash, convierte un campo de texto
de longitud variable en una cadena de tamaño fijo. Los algoritmos hash utilizados en
un sistema de seguridad dispone de las siguientes dos propiedades:
- Mecanismo de hash una vía: Esto significa que cuando se obtiene la salida de
un hash, es difícil invertir la función hash para obtener el mensaje original.
- Salida libre de colisiones: Esto significa que para un algoritmo de hash es
computacionalmente imposible encontrar dos mensajes que tienen la misma salida
hash.
Debido a estas propiedades, un hash también se conoce como un mensaje o huella
digital. Se puede generar una pequeña salida de hash a partir de un documento de gran
tamaño y utilizar la salida de hash como la huella digital del documento. Esta huella
digital puede ser utilizada para asegurar que el mensaje no ha sido manipulado durante
su transmisión a través de un canal no seguro. Además, a partir de la huella digital es
imposible revelar el contenido del mensaje original.
Hasta ahora los algoritmos criptográficos de hash más utilizados han sido
algoritmo Message Digest 5 (MD5) y Secure Hash Algorithm 1 (SHA-1). Ambos han
sido considerados en un solo sentido y libre de colisiones. MD5 proporciona una salida
101
de 128 bits y SHA-1 proporciona una salida de 160 bits. Debido a su mayor tamaño,
SHA-1 se considera normalmente más seguro, pero computacionalmente más pesado
que MD5. Con el hardware y el software de aplicación en las redes de hoy en día, la
diferencia de rendimiento no suele ser una preocupación. Por lo tanto, SHA-1 es el
algoritmo de hash preferido para su uso en una implementación de VPN.
Código de autenticación de mensajes
Código de autenticación de mensaje (Message authentication code - MAC), es
una suma de comprobación criptográfica que se utiliza para asegurar la integridad del
mensaje durante la transmisión. Para generar un MAC se puede utilizar un algoritmo
de encriptación, como Data Encryption Standard (DES) o un algoritmo hash.
Hashing es generalmente mucho más rápido que los algoritmos de cifrado, por
lo que el MAC basado en hash (HMAC) es la forma más popular. HMAC es una
función de hash con clave.
Cifrado
Los algoritmos de cifrado se encargan de convertir el texto en plano en texto
cifrado. A diferencia del algoritmo de hash, los algoritmos de cifrado requieren claves
para el cifrado y el descifrado. Existen dos tipos principales de algoritmos de cifrado:
simétrico y asimétrico.
Cifrado simétrico
Utiliza la misma clave para el cifrado y el descifrado. También se conoce como
criptografía de clave secreta. Los algoritmos simétricos se utilizan normalmente para
102
cifrar el contenido de un mensaje. Existen dos tipos principales de algoritmos de cifrado
simétricos:
RC4
Diseñado por Ron Rivest en 1987 por RSA Security, RC4 es el cifrado de flujo
ampliamente utilizado. Debido a su velocidad y simplicidad, RC4 se ha desplegado en
muchas aplicaciones, tales como el protocolo SSL y el Protocolo de Wired Equivalent
Privacy (WEP), que se utilizan para proteger el tráfico de red inalámbrica.
Para SSL la mayoría de los navegadores web admiten el cifrado RC4 con dos
diferentes tamaños de clave: RC4-40bit y RC4-128bit. Los navegadores nuevos, han
comenzado a apoyar sistemas de cifrado más fuertes como AES.
DES y 3DES
Data Encryption Standard (DES), es un sistema de cifrado simétrico por bloques
de 64 bits, de los cuales 8 bits (un byte) se utilizan como control de paridad (para la
verificación de la integridad de la clave). La clave tiene una longitud "útil" de 56 bits,
es decir, realmente sólo se utilizan 56 bits en el algoritmo.
Este algoritmo no es lo suficientemente seguro, pues es vulnerable al ataque por
fuerza bruta, lográndose, por ejemplo, romper su seguridad en pocas horas. Para
mejorarlo se creó el algoritmo llamado Triple DES. El algoritmo se desarrolló a
petición del gobierno estadounidense el 27 de agosto de 1974. Fue IBM quien presentó
el DES, un algoritmo basado en Lucifer de Horst Feistel. DES está siendo reemplazado
por el AES.
3DES es el algoritmo que se encarga de hacer el triple cifrado de DES.
103
Advanced Encryption Standard (AES).
El estándar de cifrado avanzado AES (Advanced Encryption Standard), es uno
de los algoritmos más seguros y más utilizados hoy en día. Está clasificado por la
Agencia de Seguridad Nacional (National Security Agency - NSA) de los Estados
Unidos para la seguridad más alta de información secreta “Top Secret”. Su historia de
éxito comenzó en 1997, cuando el Instituto Nacional de Estándares y Tecnología
(National Institute of Standards and Technology - NIST) anunció la búsqueda de un
sucesor para el estándar de cifrado DES. Un algoritmo llamado "Rijndael",
desarrollado por los criptólogos belgas Joan Daemen y Vincent Rijmen, fue destacado
en seguridad, así como en el rendimiento y la flexibilidad.
Basado en esta estructura de bloque de AES, el cambio de un solo bit, ya sea en
la clave, o en los bloques de texto simple y plano, resulta en un bloque de texto
cifrado/encriptado completamente diferente., una clara ventaja sobre cifrados de flujo
tradicionales. La diferencia entre AES-128, AES-192 y AES-256, es la longitud de la
clave: 128, 192 o 256 bits, todos mejorados drásticamente en comparación con la clave
DES de 56 bits. AES ha sido añadido rápidamente en las implementaciones de
proveedores y desplegado en redes VPN. En la actualidad, muchos proveedores
también son compatibles con la aceleración de hardware AES.
Cifrado asimétrico
Utiliza diferentes claves para el cifrado y el descifrado. El cifrado asimétrico, es
también conocido como la criptografía de clave pública. Un sistema de encriptación
asimétrica consta de dos llaves computacionalmente asociadas. Una, conocida en el
dominio público, se llama la clave pública; la otra es conocida sólo por el propietario
del par de claves. Dependiendo del uso de los pares de claves públicas y privadas, los
algoritmos asimétricos se pueden utilizar para los propósitos de cifrado o de
104
autenticación. En la figura 83, se ilustra el uso de algoritmos asimétricos.
Consideremos el ejemplo de Alice y Bob, que quieren usar los algoritmos asimétricos
para comunicaciones seguras. Para los propósitos de cifrado, Alice debe cifrar el
mensaje con la clave pública de Bob y enviar el texto cifrado a Bob. Al recibir el texto
cifrado, Bob, que es el único propietario de la clave privada, puede descifrar el mensaje
con la clave privada. Para los propósitos de autenticación, Alice podría cifrar (o firmar)
el mensaje usando su propia clave privada. Otras personas como Bob pueden verificar
la autenticidad del mensaje utilizando la clave pública de Alice, que es la única clave
que coincide con la clave privada firmada.
Debido a que los algoritmos simétricos son mucho más rápidos que los
algoritmos asimétricos, la certificación digital o gestión de claves es comúnmente más
utilizada para el cifrado de los datos que los algoritmos asimétricos. Los ejemplos
populares de los algoritmos asimétricos son algoritmos Diffie-Hellman (DH) y Rivest,
Shamir y Adelman (RSA).
Figura 83. Aplicaciones de Algoritmos asimétricos
Fuente: Cisco 2008
105
Diffie-Hellman (DH)
Diffie-Hellman (DH) publicado en 1976, es un protocolo de intercambio de
claves que permite a los participantes en la comunicación llegar a un acuerdo sobre un
número secreto compartido. Diffie-Hellman se utiliza a menudo en el intercambio de
claves y durante la fase de establecimiento de un túnel VPN. A continuación se indican
los grupos DH:
- Grupo 1: módulo de 768 bits.
- Grupo 2: módulo de 1024 bits.
- Grupo 5: módulo de 1536 bits.
Téngase en cuenta que durante el proceso de intercambio de claves DH pública,
no se define ningún proceso de autenticación. DH es vulnerable a un ataque man-in-
the-middle, esto significa que un atacante puede interceptar el canal de comunicación,
suplantando la identidad de uno de los participantes en la comunicación con el objetivo
de llevar a cabo el intercambio DH. Un intercambio DH autenticado soluciona esta
vulnerabilidad.
RSA y DSA
RSA y DSA son los dos algoritmos de clave pública comúnmente utilizados en
aplicaciones de firma digital. RSA fue diseñado por Ron Rivest, Adi Shamir y Adelman
Len (RSA) en 1977. A diferencia del algoritmo de Diffie-Hellman, el algoritmo RSA
se basa en el hecho de que no existe manera eficiente para factorizar números muy
grandes. El tamaño de la clave común es de: 512 bits, 1024 bits y 2048 bits. En 1991,
el NIST propuso que el Algoritmo de firma digital (DSA), que se utiliza para
106
aplicaciones que requieren firmas digitales. Se estandarizó como el Digital Signature
Standard (DSS) por el estándar del gobierno federal de los Estados Unidos para las
firmas digitales.
Firmas Digitales y Certificación Digital
Autenticación e integridad, son propiedades importantes en las redes privadas
virtuales seguras. Estos incluyen autenticación de la entidad, autenticación del origen
de los datos, integridad y no repudio. Firmas y certificados digitales proporcionan un
sistema escalable de confianza.
Las firmas digitales
El concepto de Firma Digital según la Universidad Politécnica de Valencia: “es
un método criptográfico que asocia la identidad de una persona o de un equipo
informático al mensaje o documento. En función del tipo de firma, puede, además,
asegurar la integridad del documento o mensaje. La firma digital de un documento es
el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su
contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave
privada) al resultado de la operación anterior, generando la firma electrónica o digital”.
Infraestructura de clave pública
El concepto Infraestructura de clave pública (PKI) según Microsoft: “es un
sistema de certificados digitales, entidades de certificación (CA) y autoridades de
registro que comprueban y autentican la validez de cada entidad implicada en una
transacción electrónica mediante el uso de la criptografía de clave pública. Los
estándares para PKI siguen evolucionando al mismo tiempo que se están
implementando ampliamente como un elemento necesario del comercio electrónico”.
107
Una infraestructura de clave pública (PKI) consta de protocolos, estándares y
servicios que establecen y apoyan las aplicaciones de un sistema de este tipo confianza.
PKI permite a los usuarios autenticarse con otros utilizando certificados digitales que
son emitidos por entidades de certificación. Los siguientes son los componentes
básicos de un sistema PKI:
- X.509: Estándar de ITU-T para la PKI, que define los formatos para los
certificados de clave pública.
- Infraestructura de clave pública X.509 (PKIX): Un grupo de trabajo IETF que
define el uso de certificados digitales.
- Los estándares de criptografía de clave pública (PKCS): Se refiere a un grupo
de estándares de criptografía de clave pública desarrollado y publicado por
laboratorios RSA. PKCS es la base criptográfica de la PKI. Los estándares bien
conocidos incluyen los siguientes:
- PKCS 1 define el estándar de cifrado RSA.
- PKCS 7 define la sintaxis de mensajes criptográficos estándar, que especifica la
firma y el cifrado de un mensaje en una PKI.
- PKCS 10 define la solicitud de certificación, que especifica el formato de los
mensajes enviados a una autoridad de certificación para solicitar la certificación
de un par de claves.
108
Certificados digitales
El concepto de Certificado Digital según la Universidad Politécnica de Valencia:
“es el único medio que permite garantizar técnica y legalmente la identidad de una
persona en Internet. Se trata de un requisito indispensable para que las instituciones
puedan ofrecer servicios seguros a través de Internet. Además, el certificado digital
permite la firma electrónica de documentos. El receptor de un documento firmado
puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor
de la firma electrónica no podrá negar la autoría de esta firma”
El certificado digital permite cifrar las comunicaciones. Solamente el destinatario
de la información podrá acceder al contenido de la misma. Los certificados digitales,
son emitidos por una entidad llamada autoridad de certificación (CA), con el fin de
garantizar la confianza y la autenticidad del certificado. La Figura 84, muestra el
contenido de un certificado digital.
Figura 84. Certificado Digital X.509
Fuente: Cisco 2008
109
Los campos de implementación de VPN que se muestran en la Figura 84 son los
siguientes:
- Firma algoritmo ID: Especifica el algoritmo de firma (por ejemplo, RSA con
SHA-1 o DSS con SHA-1).
- Emisor (CA) Nombre X.500: La identidad del servidor de CA. Básicamente,
este campo especifica quién emitió este certificado.
- Período de validez: Especifica la duración de este certificado. Es una buena
práctica de seguridad para fijar un período de vida razonable para un certificado.
Durante el proceso de validación de la certificación, el gateway VPN
comprobará el período de validez para asegurarse de que el certificado recibido
es todavía válido.
- Nombre del Sujeto: Contiene la identidad del usuario con el formato de
directorio X.500. Por ejemplo, cn = vpnuser1, ou = departamento de marketing,
y o = Cisco Systems, Inc.
- Asunto Clave pública: Contiene la clave pública del usuario, que está unido a
la identidad del usuario.
- Extensión: Un marcador de posición para opciones útiles.
o SubAltName: El SubAltName puede ser usado para representar la identidad
de un usuario. El SubAltName puede ser e-mail de un usuario o FQDN (fully
qualified domain name).
110
o Lista de revocación de certificados (CRL) punto de distribución (CDP):
El CDP es un componente esencial de un sistema PKI porque hace que el
CRL sea escalable. El CRL contiene una lista de los números de serie de los
certificados revocados. Un certificado puede ser revocado por diversas
razones, tales como el fin de la operación y un compromiso de las claves
privadas. El CA es responsable de revocación de los certificados y el
mantenimiento de la CRL. CDP especifica la ubicación (normalmente un
Protocolo Ligero de Acceso a Directorios [LDAP]) donde se almacena la
CRL. Durante el proceso de validación de certificados, dispositivos VPN
recuperan las CRL desde el CDP y comprueban si el certificado recibido ha
sido revocado.
o CA de firma digital: Este campo, es el hash del contenido del certificado
digital que está firmado por el servidor de CA.
Certificación
La certificación, es el proceso de la autoridad de certificación (CA) en la emisión
de certificados digitales. CA, es la base de la confianza para todo el sistema de PKI y
es responsable de verificar la identidad de los usuarios, emisión de certificados,
revocación de los certificados, y la publicación de las CRL. La figura 85, ilustra la
certificación digital y el proceso de validación de certificados básica.
111
Figura 85. Certificación Digital
Fuente: Cisco 2008
Alice quiere transmitir confianza a Bob utilizando un certificado digital. En
primer lugar, Alice necesita inscribirse en el servidor de CA para obtener su certificado
de identidad. Alicia sigue estos pasos:
1. Alice primero solicita el certificado raíz, es decir, el certificado del servidor de CA.
2. El servidor de CA responde con el certificado raíz a Alice, debido a que esta es la
primera comunicación entre Alice y el servidor de la CA, ningún mecanismo está
predefinido para proteger esta comunicación. Entonces una autenticación fuera de
banda es requerida luego de que Alice obtiene el certificado de CA, para asegurarse
que no se produzca un ataque man-in-the-middle.
3. Alice genera una solicitud de certificado que contiene la información de identidad
de Alice y su clave pública. Alice firma la solicitud de certificado mediante la clave
pública de la CA, que se encuentra dentro del certificado de CA raíz.
112
4. El servidor de CA recibe la solicitud de certificado, verifica la identidad de Alice,
y genera un certificado digital para Alice basado en su identidad y su clave pública.
Este certificado de identidad está firmado por la CA, que proporciona otra
vinculación entre la identidad de Alice y la identidad de la entidad emisora.
5. El servidor de CA emite el certificado a Alice.
6. Al recibir su certificado de identidad, Alice presenta a Bob para transmitir
confianza.
7. Bob sigue el proceso de verificación de firma digital para validar el certificado de
Alice y posteriormente establece confianza con la clave pública de Alice. Como se
puede ver, por confiar en la CA (sus claves públicas y privadas), las personas que
intercambian información demuestran la confianza en la autenticidad de la otra
parte, mediante el proceso de certificación digital.
113
ANEXO C
SSL y TLS
El Secure Socket Layer (SSL), fue desarrollado originalmente en la década de
1990 por Netscape Communications para permitir que las comunicaciones se
produzcan de forma segura en el entorno de la World Wide Web (WWW), que tiene
capacidad para aplicaciones de comercio electrónico, tales como las compras en línea.
El objetivo del diseño era proporcionar confidencialidad, la integridad del mensaje, la
autenticación de la identidad (autenticación de servidor y autenticación de cliente
opcional), y la transparencia de la aplicación (SSL para permitir que se utilicen otros
protocolos de comunicación seguros, tales como correo y noticias).
Después de la versión inicial mostrada públicamente en 1994 (SSL v2), SSL se
hizo popular y un estándar de facto. Con los años, el protocolo ha sido objeto de varias
mejoras y estandarizaciones y todavía está en evolución soporte para nuevas
tecnologías y aplicaciones.
SSL v2, fue liberado por Netscape Communications en 1994 y desplegado en los
navegadores Netscape Navigator. En 1995, Netscape fortaleció los algoritmos de
cifrado de SSL con el lanzamiento de SSL v3. Se refirió a varios problemas de
seguridad en SSL v2 como:
114
- Ataques de descenso de nivel: SSL v2 permite a los atacantes a las selección
de los cifrados más débiles. La liberación de SSL v3, autentica los mensajes de
reconocimiento, de ese modo solucionando este problema.
- Ataques de truncamiento: SSL v2 depende de que la conexión TCP cierre para
indicar el fin de la transmisión. Esto le permite a los atacantes lanzar un ataque
de denegación de servicio mediante la creación de cierre de conexión TCP.
Añadiendo el mensaje de finalización de SSL v3 soluciona este problema.
- MAC débiles: En SSL v2, MAC se basa sólo en MD5.
En 1996, el Grupo de Trabajo en Ingeniería de Internet (IETF) estableció el
Transport Layer Security (TLS), grupo de trabajo con el fin de estandarizar los
protocolos SSL de diferentes proveedores, principalmente Netscape y Microsoft, que
desarrolló la tecnología de comunicaciones privadas (PCT) y el protocolo seguro de la
capa de transporte (STLP). Por último, el protocolo TLS estándar fue publicado como
RFC 2246 en 1999. En general, es similar a TLS SSL v3 con algunos cambios y
adiciones.
Dos nuevas variantes de TLS existen: TLS inalámbrica (WTLS) y de datagramas
de TLS (DTLS). WTLS está diseñado para soportar aplicaciones inalámbricas, y DTLS
está diseñado para trabajar sobre datagrama transportes como UDP.
Colocación capa OSI y protocolo TCP/IP
SSL es un protocolo independiente de la plataforma y aplicación, que se utiliza
para asegurar las aplicaciones basadas en TCP. Se encuentra en la parte superior de la
115
capa TCP, por debajo de la capa de aplicación, y actúa como enchufes conectados por
conexiones TCP. La Figura 86, muestra la colocación de SSL en la pila de protocolos.
Figura 86. SSL and TCP/IP
Fuente: Cisco 2008
SSL asume la entrega confiable de paquetes subyacente; así, siempre se ejecuta
sólo en la parte superior de TCP, no sobre UDP o directamente sobre IP. Para las
aplicaciones más populares en el conjunto TCP/IP, como HTTP y la Simple
transferencia de correo protocolo (SMTP), se han definido estándares con todos
detalles técnicos que se utilizarán para proteger las comunicaciones SSL. Los
siguientes son dos ejemplos bien conocidos:
- HTTP sobre SSL: El protocolo HTTPS es la versión segura del protocolo
HTTP, el sistema HTTPS utiliza un cifrado basado en SSL para crear un canal
cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador
utilizado por el cliente) más apropiado para el tráfico de información sensible
que el protocolo HTTP. Cabe mencionar que el uso del protocolo HTTPS no
impide que se pueda utilizar HTTP. Es aquí, cuando nuestro navegador nos
advertirá sobre la carga de elementos no seguros (HTTP), estando conectados a
un entorno seguro (HTTPS).Los protocolos HTTPS son utilizados por
navegadores como: Safari (navegador), Internet Explorer, Mozilla Firefox,
Opera, Chrome entre otros. Es utilizado principalmente por entidades bancarias,
tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos
personales o contraseñas. El protocolo HTTPS es una versión segura del
protocolo HTTP que implementa un canal de comunica
116
- El correo electrónico sobre SSL: Al igual que en HTTP sobre SSL, los
protocolos de correo electrónico como SMTP, Protocolo de oficina de correos 3
(POP3) y el Protocolo de acceso a mensajes de Internet (IMAP) pueden ser
apoyado por SSL.
El estándar para SMTP sobre TLS fue documentado en el RFC 2487. El estándar para
POP3 e IMAP sobre TLS fue documentado en el RFC 2595. En la tabla 5, se indican
los protocolos que trabajan sobre SSL:
Identificador Puerto TCP
https 443 HTTP sobre SSL
smtps 465 SMTP sobre SSL
nttps 563 NTTP sobre SSL
ldaps 646 LDAP sobre SSL
telnets 992 TELNET sobre SSL
imaps 993 IMAP sobre SSL
ircs 994 IRC sobre SSL
pop3s 995 POP3 sobre SSL
ftps-data 989 FTP-Datos sobre SSL
ftps-control 990 FTP-Control sobre SSL
ircs 994 IRC sobre SSL
pop3s 995 POP3 sobre SSL
ftps-data 989 FTP-Datos sobre SSL
ftps-control 990 FTP-Control sobre SSL
Tabla 5. Protocolos sobre SSL
Protocolo de Registro SSL y Protocolos de Handshake
Una conexión SSL se establece en dos fases principales. La fase de handshake
(fase 1) negocia algoritmos criptográficos, autentica al servidor y establece claves para
el cifrado de datos y MAC. La fase de transferencia de datos segura (fase 2), se
encuentra bajo la protección de una conexión SSL establecida.
117
SSL es un protocolo de capas. En la capa más baja es el protocolo registro SSL.
El protocolo de registro consiste en varios tipos de mensajes o protocolos que llevan a
cabo diferentes tareas. La Figura 87, muestra la estructura del protocolo SSL.
Figura 87. Estructura del Protocolo SSL/TSL
Fuente: Cisco 2008
La siguiente lista describe las funciones principales de cada protocolo definido
en SSL/TLS:
- Protocolo de Registro: es principalmente un protocolo de encapsulación.
Transmite varios protocolos de nivel superior y datos de aplicación. El protocolo
de registros realiza las tareas necesarias, tales como la fragmentación, la
compresión, la aplicación de MAC y cifrado y luego transmite los datos finales.
También lleva a cabo la acción inversa (descifrado), la verificación, la
descompresión, y re-ensamblado de los datos recibidos. El protocolo de registro,
consiste en cuatro protocolos de cliente de la capa superior: Protocolo de
Handshake, Protocolo de Alertas, Cambio de Protocolo de Especificación de
Cifrado y el Protocolo de Datos de Aplicación.
- Protocolos de Handshake: Responsable de establecer y reanudar las sesiones
SSL.
Existen tres sub-protocolos:
118
o Protocolo de Handshake: negocia los atributos de seguridad de una sesión
SSL.
o Protocolo de Alertas: es un protocolo de gestión interna que se utiliza para
transmitir mensajes de alerta entre los pares SSL. Los mensajes de alerta
contienen errores, las condiciones de excepción, tales como una mala MAC
o error de descifrado o notificación, tales como cierre de la sesión.
o Cambio de Protocolo de Especificación de Cifrado: utilizado para señalar
las transiciones en las estrategias de cifrado en los registros posteriores.
- Protocolo de datos de aplicación: se encarga de la transmisión de datos de la
aplicación de la capa superior.
Configuración de la conexión SSL
Protocolos de Handshake se utilizan para el cliente SSL y el servidor para
establecer la conexión. Las tareas principales de este proceso son las siguientes:
- Negociar capacidades de seguridad: Esta versión del protocolo maneja
paquetes de cifrado.
- Autenticación: El cliente autentica el servidor. Opcionalmente, el servidor
puede autenticar los clientes.
- El intercambio de claves: Dos partes intercambian claves o información que se
necesita para generar las claves maestras.
119
- Derivación de claves: Las dos partes se derivan del secreto maestro que luego
se utiliza para generar las claves que son utilizadas para el cifrado de datos y
MAC.
La Figura 88, muestra el flujo de mensajes y de una configuración típica para la
conexión SSL. Cada bloque tiene un par de mensajes de reconocimiento SSL con el
formato de <protocolo: tipo_mensaje> y cada uno representa una o más (si existe
fragmentación) trama (s) TCP enviada por el cliente o el servidor.
Figura 88. TLS Handshake
Fuente: Cisco 2008
120
ANEXO D
LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)
En 1988, la CCITT creó el estándar X.500, sobre servicios de directorio. En 1990
este estándar fue adoptado por la ISO, como ISO 9594, Data Communications Network
Directory, Recommendations X.500-X.521. X.500 organiza las entradas en el
directorio de manera jerárquica, capaz de almacenar gran cantidad de datos, con
grandes capacidades de búsqueda y fácilmente escalable. X.500 especifica que la
comunicación entre el cliente y el servidor de directorio debe emplear el Directory
Access Protocol (DAP). Pero DAP es un protocolo a nivel de aplicación, por lo que,
tanto el cliente como el servidor debían implementar completamente la torre de
protocolos OSI. LDAP (Lightweight Directory Access Protocol) surge como una
alternativa a DAP. Las claves del éxito de LDAP en comparación con DAP de X.500
son: LDAP utiliza TCP/IP en lugar de los protocolos OSI. TCP/IP requiere menos
recursos y está más disponible, especialmente en ordenadores de sobremesa.
El protocolo LDAP define el método para acceder a datos en el servidor a nivel
cliente pero no la manera en la que se almacena la información.
El protocolo LDAP actualmente se encuentra en su tercera versión y el IETF
(Grupo de Trabajo de Ingeniería de Internet) lo ha estandarizado. Por lo tanto, existe
una RFC para cada versión de LDAP que constituye un documento de referencia:
121
- RFC 1777 para LDAP v.2
- RFC 2251 para LDAP v.3
Asimismo, el protocolo LDAP (en versión 3) ofrece mecanismos de cifrado
(SSL, entre otros.) y autenticación para permitir el acceso seguro a la información
almacenada en la base.
Estructura de árbol de la información (DIT)
LDAP presenta la información bajo la forma de una estructura jerárquica de árbol
denominada DIT (Árbol de información de directorio), en la cual la información,
denominada entradas (o incluso DSE, Directory Service Entry), es representada por
bifurcaciones.
Una bifurcación ubicada en la raíz de una bifurcación se denomina entrada raíz.
Cada entrada en el directorio LDAP corresponde a un objeto abstracto o real (por
ejemplo, una persona, un objeto material, parámetros, etc.). En la figura 89, se muestra
la estructura de árbol de la información.
Figura 89. Estructura de árbol de la información
Fuente. http://es.ccm.net/contents/269-protocolo-ldap
122
Atributos de entrada
Cada entrada está compuesta por un conjunto de atributos (pares clave/valor) que
permite caracterizar el objeto que la entrada define. Existen dos tipos de atributos:
- Atributos normales: éstos son los atributos comunes (apellido, nombre, etc.) que
distinguen al objeto.
- Atributos operativos: éstos son atributos a los que sólo el servidor puede acceder
para manipular los datos del directorio (fechas de modificación, etc.).
Una entrada se indexa mediante un nombre completo (DN) que permite identificar
de manera única un elemento de la estructura de árbol. Un DN (Distinguished Name),
se constituye tomando el nombre del elemento denominado Nombre distintivo relativo
(RDN, es decir, la ruta de la entrada en relación con sus entradas superiores) y
agregándole el nombre entero de la entrada principal.
Se trata de utilizar una serie de pares clave/valor para poder localizar una entrada de
manera única. A continuación encontrará una serie de claves generalmente utilizadas:
- uid (id de usuario), ésta es una identificación única obligatoria;
- cn (nombre común), éste es el nombre de la persona;
- givenname, éste es el nombre de pila de la persona;
- sn (apellido), éste es el apellido de la persona.
- (organización), ésta es la compañía de la persona.
- u (unidad organizacional), éste es el departamento de la compañía para la que
trabaja la persona.
- mail, ésta es la dirección de correo electrónico de la persona (por supuesto).
123
- sAMAccountName, antiguo nombre de inicio de sesión de NT 4.0, debe ser único
en el dominio. Puede confundirse con CN. En la figura 90, se muestra los atributos
LDAP.
Figura 90. Atributos LDAP.
Fuente: http://www.computerperformance.co.uk/w2k3/utilities/adsi_edit.htm
La siguiente tabla 6, muestra cómo referenciar atributos en su servidor LDAP con
información que puede ser útil en sus usuarios finales.
Atributo LDAP Ejemplo
C
Se refiere al país o región.
Muy probablemente contendrá un código ISO de dos letras del país.
Ejemplo: c=DE
Cn CN=Guy Thomas. En realidad, este atributo LDAP está conformado por
givenName unido con SN.
Company Se refiere a la Compañía (o nombre de la organización).
Description Lo que se ve en el Directorio Activo de Usuarios y Computadores.
No se debe confundir con displayName en la hoja de propiedades de Usuarios.
displayName
displayName=Guy Thomas.
Si se crea un script en esta propiedad, asegúrese de entender cuál campo está
configurando.
DisplayName puede confundirse con CN o description.
Dc Se refiere al componente del dominio, ya sea un componente, una etiqueta o un
nombre de dominio DNS. Ejemplo: DC=cp, DC=com
DN - also distinguishedName DN es sencillamente el atributo LDAP más importante. CN=Jay Jamieson,
OU= Newport,DC=cp,DC=com
name (nombre) name = Guy Thomas. Exactamente el mismo que CN.
givenName Primer nombre.
124
objectClass
objectClass=User.
También usado para Computador (Computer), organizationalUnit, y hasta
container (contenedor). Contenedor de alto nivel importante.
objectCategory Define la categoría de esquema del directorio activo.
Por ejemplo, objectClass = Person
sAMAccountName
sAMAccountName = guyt.
Antiguo nombre de inicio de sesión de NT 4.0, debe ser único en el dominio.
Puede confundirse con CN.
Ou Define la unidad Organizacional.
Ejemplo: OU=Newport
physicalDeliveryOfficeName Oficina! en la hoja de propiedad general del usuario.
St Contiene el Estado o provincia.
Ejemplo: ST=California.
SN SN = Thomas. Esto será referido como apellido.
Street Contiene la dirección (primera linea).
Ejemplo: street=15 Main St.
userPrincipalName
userPrincipalName = [email protected] Casi siempre abreviado UPN, y luce
como una dirección de correo electrónica.
Muy útil para inicio de sesión especialmente en un gran bosque. Note que el
UPN debe ser único en el bosque.
telephone number Contiene números telefónicos.
Ejemplo: telephoneNumber=+1 234 567 8901
userAccountControl Usado para deshabilitar una cuenta. Un valor de 514 deshabilita la cuenta,
mientras 512 alista la cuenta para inicio de sesión.
Tabla 6. Referencia atributos en servidor LDAP.
