4. vpn y ipsec
Transcript of 4. vpn y ipsec
Pág. 1
Redes Privadas Virtuales, VPN
Pág. 2
Índice
Virtual Private Networks (VPNs)
¿Qué es una VPN?
Tipos de Enlaces
¿Para que sirve?
Aspectos Técnicos
Alternativas a las VPN’s
Ventajas e Inconvenientes
Pág. 3
¿Qué es una VPN?
Red privada y segura sobre red pública y no segura.Proporciona un túnel IP cifrado y/o encapsulado a través de Internet.Utiliza encapsulado permitido en la red pública, transportando paquetes de la red privada. Para ello utilizan el encapsulamiento IP-IP. El direccionamiento es independiente del de la red pública.A menudo conllevan un requerimiento de seguridad (encriptación con IPSec).
Pág. 4
Tipos de Enlaces (I)
Enlace Cliente - Red:• El cliente se conecta remotamente a
una LAN. • Se usa PPP para establecer una
conexión entre el cliente y la LAN.LocalISP
LocalISP
Pág. 5
Tipos de Enlaces (II)
Enlace Red – Red:• Se encapsula el tráfico de una red local.• Nos ahorramos el paso PPP ( las tramas se
encapsulan directamente).
Internet
Pág. 6
¿Para que sirven?
Se pueden hacer servir como una Extranet.
Es más segura que una Extranet.
Permitiría conectar diferentes delegaciones de una empresa, simulando una red local de una manera transparente y económica.
Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.
Pág. 7
Aspectos Técnicos
Nivel 2 (OSI)• PPTP, L2F, L2TP
Nivel 3 (OSI)• IPSec
Pág. 8
Aspectos Técnicos
PPTP (Point-to-Point Tunneling Protocol):• Protocolo desarrollado por Microsoft y normalizado por la IETF
(Internet Engineering Task Force, RFC 2637)• Permite el tráfico seguro de datos desde un cliente remoto a un
servidor corporativo privado.• PPTP soporta multiples protocolos de red (IP, IPX, NetBEUI,…).• Muy usado en entornos Microsoft.
Pág. 9
Aspectos Técnicos
L2F (Layer 2 Forwarding):• Protocolo desarrollado por Cisco Systems. • Precursor del L2TP.• Ofrece metodos de autentificación de usuarios remotos• Carece de cifrado de datos
Pág. 10
Aspectos Técnicos
L2TP (Layer 2 Tunneling Protocol):
• Estándar aprobado por la IETF (RFC 2661)• Mejora combinada de PPTP y L2F.• No posee cifrado o autentificación por paquete (ha de
combinarse con otro protocolo, como el IPSec).
• Combinado con IPSec ofrece la integridad de datos y confidencialidad exigidos para una solución VPN.
• Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI, …)
Pág. 11
Aspectos Técnicos
• Tunneling:
1. Añade una cabecera IP adicional (cabecera del protocolo de transporte ) al paquete original para que éste pueda circular a través de Internet hasta el router de la empresa corporativa donde es eliminada.
2. El router que permite accesos vía tunel a una red privada se
denomina servidor de túneles.
Pág. 12
Aspectos Técnicos
IPSec :
• Proporciona servicios de seguridad a nivel 3.
• Permite seleccionar protocolos de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar estos servicios.
• Servicios de seguridad que proporciona:
1. Control de acceso
2. Integridad
3. Autentificación del origen de los datos
4. Confidencilidad
• Es estándar dentro de IPv6 y ha sido adaptado para IPv4.
Pág. 13
Aspectos Técnicos
• Protocolos de Seguridad:
1. AH (Authentication Header): Protocolo de autenticación que usa una firma hash para integridad y autenticidad del emisor.
Datagrama IPv4:
1. ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado que usa mecanismos criptográficos para proporcionar integridad, autenticación del origen y confidencialidad.
Datagrama IPv4:
Cabecera AH Datos
Cabecera Datos encriptados
Pág. 14
Aspectos Técnicos - Autentificación + Integridad
2B 2A AH Contenido de datosINTEGRIDAD
INTERNETINTERNET
WEB
Empresa EmpresaRouter
Firewall 1A
Router 1B
Delegación 0B
Cliente 2B Servidor Web 2A
1B 1A AH 0B 0A Contenido de datos
INTEGRIDAD
Modo transporte
Modo tunel
Pág. 15
Aspectos Técnicos
- Autentificación + Privacidad ESP• Modo Transporte.
• Modo Túnel.
2B 2A ESP Contenido de datos
ENCRIPTACIÓN
1B 1A ESP 0B 0A Contenido de datos
Serv.0A
INTERNETINTERNET
WEB
Empresa EmpresaRouter 1A
Firewall
Router 1B
Delegacion 0B
Cliente 2B Servidor Web 2A
ENCRIPTACIÓN
Pág. 16
Aspectos Técnicos
• Gestión de Claves:
1. IKE (Internet Key Exchange): Autentica a cada participante en una
transacción IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesión.
– Fase 1: Los nodos IPSec establecen un canal seguro
para realizar el intercambio de informacion (SA).
– Fase 2: Los nodos IPSec negocian por el canal
establecido:
* Algoritmo de cifrado
* Algoritmo hash
* Método de autenticación
Pág. 17
Alternativas a las VPN’s RAS (Remote Acces System)
• Sistemas de acceso remoto basado en llamadas conmutadas (RTC, RDSI).
• Se produce una llamada del cliente al servidor de RAS.
• El coste de esta llamada es el de una llamada conmutada entre los dos extremos de la comunicación.
• Podremos tener tantas conexiones simultaneas como dialers (modems) tengamos disponibles.
Alquiler de líneas dedicadas:
• Son seguras ya que solo circulamos nosotros.
• Alto coste económico
• El ancho de banda del que queramos disponer va en proporción a lo que se esté dispuesto a pagar.
WAN :
• Coste elevadísimo no asumible por la mayoría de empresas.
• Ejemplo: FDDI, ATM, ...
Pág. 18
Ventajas• Ahorro en costes.• No se compromete la seguridad de la red empresarial.• El cliente remoto adquiere la condicion de miembro de la LAN ( permisos, directivas de
seguridad).• El cliente tiene acceso a todos los recursos ofrecidos en la LAN (impresoras, correo electronico,
base de datos, …).• Acceso desde cualquier punto del mundo (siempre y cuando se tenga acceso a internet).
• No se garantiza disponibilidad ( NO Internet NO VPN).• No se garantiza el caudal.• Gestión de claves de acceso y autenticación delicada y laboriosa.• La fiabilidad es menor que en una línea dedicada• Mayor carga en el cliente VPN (encapsulación y encriptación)• Mayor complejidad en la configuración del cliente (proxy, servidor de correo, … )• Una VPN se considera segura pero no hay que olvidar que viajamos por Internet ( no
seguro y expuestos a ataques).
Inconvenientes
Pág. 19
Conexión VPN a través de Windows 2000 Server
Pág. 20
Objetivo:Configurar el acceso remoto a la red local a través de una VPN sobre Internet, autenticando al usuario en el Directorio Activo de manera transparente al igual que si lo realizara desde la red local interna.
Equípos necesarios:Servidor Windows 2000 Servidor Windows 2000 con DAWindows XP SP2
Software utilizado:• Configuración de la herramienta “Acceso Telefónico a Redes” • Servicio de “Enrutamiento y Acceso Remoto” (RRAS)• Servicio de “Autenticación en Internet” IAS (Servidor Radius
W2000).”
Pág. 21
Definición de las dos máquinas virtuales a utilizar
Pág. 22
XP-SP2
W2K DAIAS Server
Red VMWARE (LAN)
192.168.100.0/24
Equipo principal
Vmnet1(Host Only)
Conexión Area local
10.0.100.2
10.0.100.1
192.168.100.3
192.168.100.5
Red VMWARE (WAN)
10.0.100.0/24
10.0.100.5
W2K RRAS
Esquema de conexión de equipos y Red
Pág. 23
a) Configuración del servidor Radius Interno
1. Configuración de la tarjeta de red.
Pág. 24
a) Configuración del servidor Radius Interno
2. Instalar el servicio RADIUS (IAS)
Pág. 25
a) Configuración del servidor Radius Interno
3. Configurar el servicio RADIUS (IAS)
Pág. 26
a) Configuración del servidor Radius Interno
3. Configurar el servicio RADIUS (IAS)
Pág. 27
b) Configuración del servidor RRAS
1. Configuración las tarjetas de red.
Tarjeta interna (LAN) Tarjeta externa (WAN)
Pág. 28
b) Configuración del servidor RRAS
2. Instalación del servicio RRAS.
Pág. 29
b) Configuración del servidor RRAS
2. Asignación del direccionamiento IP para clientes VPN.
Pág. 30
b) Configuración del servidor RRAS
2. Configurar autenticación Radius.
Pág. 31
b) Configuración del servidor RRAS
Pág. 32
c) Configuración del Acceso Remoto en el cliente XP (I)
Pág. 33
c) Configuración del Acceso Remoto en el cliente XP (II)
Pág. 34
c) Configuración del Acceso Remoto en el cliente XP (III)
Pág. 35
c) Conexión desde el cliente XP
Pág. 36
d) Registro de la conexión en el servidor RRAS
Pág. 37
Establecimiento de conexiones cifradas con IPSEC
Pág. 38
Objetivo:Configurar conexiones IPSEC para él establecimiento de un tunel cifrado entre dos equipos Windows tanto en modo transporte como en modo tunel
Equípos necesarios:2 Servidores Windows 2000 Windows XP SP2
Software utilizado:• Configuración de las directivas de seguridad IP en los equipos.• Software de monitorización de IPSEC• Sniffer de red (opcional)
Pág. 39
Definición de las imágenes VMware.
Pág. 40
XP-SP2W2K DARed VMWARE
192.168.100.0/24
Equipo principal
Vmnet1(Host Only)
Conexión Area local
192.168.100.3
192.168.100.2
Esquema de conexión de equipos y Red
192.168.100.5
Pág. 41
a) Configuración de las tarjetas de red de los equipos
* Tarjeta de red equipo Servidor * Tarjeta de red equipo XP
Pág. 42
a) Configuración IPSEC en el servidor
Pág. 43
a) Configuración IPSEC en el XP
Pág. 44
a) Monitorización de conexión IPSEC
IpsecMon en el equipo servidor
Consola Monitor Seguridad IP en XP
Pág. 45
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 46
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 47
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 48
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 49
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 50
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Pág. 51
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Asignar nueva directiva
Pág. 52
b) Definición de reglas IPSEC específicasDetalle Conexión Telnet desde el XP al Servidor
Monitor Seguridad IPSEC
Pág. 53
c) Conexión IPSEC en modo Tunel
Definición de las imagenes
Pág. 54
XP-SP2
W2k-Left
Equipo principal
Vmnet1(Host Only)
Conexión Area local
192.168.100.3
192.168.200.5
192.168.100.5
192.168.10.3
192.168.10.2192.168.200.2
Conexión IPSEC (modo Tunel)
W2k-Right
Pág. 55
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
Pág. 56
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
Pág. 57
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
Pág. 58
b) Configurar filtro de activación del tunel
Conexión IPSEC (modo Tunel)
Pág. 59
c) Crear la directiva IPSEC del tunel
Conexión IPSEC (modo Tunel)
Pág. 60
c) Crear la directiva IPSEC del tunel
1
2
3
4
Conexión IPSEC (modo Tunel)
Pág. 61
c) Crear la directiva IPSEC del tunel
1
2
3
4
Conexión IPSEC (modo Tunel)