Virtual Private Network (VPN’s)

1. Miguel Ángel Sánchez Gómez Joan Delgado Alcalá Virtual Private Network (VPN’s)

2. Introducción • ¿Qué es una VPN? • Tipos de Enlaces • ¿Para que sirve? • Aspectos Técnicos • Firewalls • Alternativas a las VPN’s • Ventajas e Inconvenientes • Webgrafía

3. ¿Qué es una VPN? • Red privada y segura sobre red pública y no segura. • Proporciona un túnel ip encriptado y/o encapsulado a través de internet.

4. Tipos de Enlaces (I) • Enlace Cliente - Red: • El cliente se conecta remotamente a una LAN. • Se usa PPP para establecer una conexión entre el cliente y la LAN.

5. Tipos de Enlaces (II) • Enlace Red - Red: • Se encapsula el tráfico de una red local. • Nos ahorramos el paso PPP ( las tramas se encapsulan directamente).

6. ¿Para que sirven? • Se pueden hacer servir como una Extranet. • Es más segura que una Extranet. • Permitiría conectar diferentes delegaciones de una empresa, simulando una red local de una manera transparente y económica. • Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.

7. Aspectos Técnicos (I) • Nivel 2 (OSI) • PPTP, L2F, L2TP • Nivel 3 (OSI) • IPSec

8. Aspectos Técnicos (II) • PPTP (Point-to-Point Tunneling Protocol): • Protocolo desarrollado por Microsoft y normalizado por la IETF (Internet Engineering Task Force, RFC 2637) • Permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado. • PPTP soporta multiples protocolos de red (IP, IPX, NetBEUI, … ). • Tiene una mala reputación en seguridad. • Muy usado en entornos Microsoft.

9. Aspectos Técnicos (III) • L2F (Layer 2 Forwarding): • Protocolo desarrollado por Cisco Systems. • Precursor del L2TP. • Ofrece metodos de autentificación de usuarios remotos • Carece de cifrado de datos

10. Aspectos Técnicos (IV) • L2TP (Layer 2 Tunneling Protocol): • Estándar aprobado por la IETF (RFC 2661) • Mejora combinada de PPTP y L2F. • No posee cifrado o autentificación por paquete (ha de combinarse con otro protocolo, como el IPSec). • Combinado con IPSec ofrece la integridad de datos y confidencialidad exigidos para una solución VPN. • Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI, …)

11. Aspectos Técnicos (V) • Tunneling: • Añade una cabecera IP adicional (cabecera del protocolo de transporte ) al paquete original para que éste pueda circular a través de Internet hasta el router de la empresa corporativa donde es eliminada. • El router que permite accesos vía tunel a una red privada se denomina servidor de túneles.

12. Aspectos Técnicos (VI) • IPSec : • Proporciona servicios de seguridad a nivel 3. • Permite seleccionar protocolos de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar estos servicios. • Servicios de seguridad que proporciona: • Control de acceso • Integridad • Autentificación del origen de los datos • Confidencilidad • Es estándar dentro de IPv6 y ha sido adaptado para IPv4.

13. Cabecera AH Datos Cabecera Datos encriptados Aspectos Técnicos (VII) • Protocolos de Seguridad: • AH (Authentication Header): Protocolo de autenticación que usa una firma hash para integridad y autenticidad del emisor. Datagrama IPv4: • ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado que usa mecanismos criptográficos para proporcionar integridad, autenticación del origen y confidencialidad. Datagrama IPv4:

14. Aspectos Técnicos (VIII) • Gestión de Claves: • IKE (Internet Key Exchange): Autentica a cada participante en una transacción IPSec. Negocia las normas de seguridad y gestiona el intercambio de claves de sesión. • Fase 1: Los nodos IPSec establecen un canal seguro para realizar el intercambio de informacion (SA). • Fase 2: Los nodos IPSec negocian por el canal establecido: * Algoritmo de cifrado * Algoritmo hash * Método de autenticación

15. Firewall • Como medida adicional de seguridad se recomienda utilizar firewall para garantizar que solo tendrán acceso a la LAN los clientes autorizados.

16. Alternativas a las VPN’s • RAS (Remote Acces System) • Sistemas de acceso remoto basado en llamadas conmutadas (RTC, RDSI). • Se produce una llamada del cliente al servidor de RAS. • El coste de esta llamada es el de una llamada conmutada entre los dos extremos de la comunicación. • Podremos tener tantas conexiones simultanias como dialers (modems) tengamos disponibles.

17. Alternativas a las VPN’s • Alquiler de linias dedicadas: • Son seguras ya que solo circulamos nosotros. • Alto coste económico • El ancho de banda del que queramos disponer va en proporción a lo que se esté dispuesto a pagar. • WAN : • Coste elevadisimo no asumible por la mayoria de empresas. • Ej: FDDI, ATM, ...

18. Ventajas e Inconvenientes (I) • Ventajas: • Ahorro en costes. • No se compromete la seguridad de la red empresarial. • El cliente remoto adquiere la condicion de miembro de la LAN ( permisos, directivas de seguridad). • El cliente tiene acceso a todos los recursos ofrecidos en la LAN (impresoras, correo electronico, base de datos, …). • Acceso desde cualquier punto del mundo (siempre y cuando se tenga acceso a internet).

19. Ventajas e Inconvenientes (II) • Inconvenientes: • No se garantiza disponibilidad ( NO Internet --> NO VPN). • No se garantiza el caudal. • Gestión de claves de acceso y autenticación delicada y laboriosa. • La fiabilidad es menor que en una linia dedicada • Mayor carga en el cliente VPN (encapsulación y encriptación) • Mayor complejidad en la configuración del cliente ( proxy, servidor de correo, … ) • Una VPN se considera segura pero no hay que olvidar que viajamos por Internet ( no seguro y expuestos a ataques).

20. Webgrafía • http://www.disc.ua.es/assignatures/rc/inginf/labvirtual/manualppto.html • http://www.canalsw.com/ayudas/glosario/glosario2.asp?id=805&ic=4 • http://www.uv.es/ciuv/cas/vpn/index.html • http://www.rediris.es/rediris/boletin/54-55/ponencia2.html • http://teleline.terra.es/personal/jralcala/web/redes/vpn/vpn1.htm • http://support.microsoft.com • http://www.w2000mag.com (Windows 2000 Magazine)