Tesi na pr esent ada como t r abaj o f i nal de l os est udi os en l a car r er a de
Li cenci at ur a de I nf or mt i ca de l a Facul t ad de I ngeni er a de l a Uni ver si dad Naci onal de l a Pat agoni a San J uan Bosco
Aut or es: APU Mar i o Rubn Mansi l l a APU Eduar do Rodol f o Col ombr es
Tut or de Tesi na: I ng. Al ej andr o Rosal es
Trelew Abril 2009 VPNs de Acceso Remot o 1
Propuesta de Tesina Redes VPN de acceso Remot o
INTRODUCCIN Las r edes pr i vadas vi r t ual es o VPN ( Virtual Private Network) por sus si gl as en i ngl s, han sur gi do como al t er nat i va de baj o cost o a ser vi ci os cont r at ados, dedi cados de r ed de r ea ampl i a par a l as comuni caci ones de dat os, t ant o par a conect ar r edes di st ant es como usuar i os r emot os con l a r ed de l a or gani zaci n, ut i l i zando una i nf r aest r uct ur a de comuni caci n de dat os pbl i ca y compar t i da. Las t ecnol og as de r edes pr i vadas vi r t ual es han evol uci onado par a r epr esent ar ya no sol o una opci n econmi ca par a l as comuni caci ones si no t ambi n como una sol uci n compl ement ar i a par a l ogr ar ef i ci enci a, vel oci dad, segur i dad, conf i abi l i dad en ot r os ser vi ci os de r ed de r ea ampl i a. Adems se l a consi der a una her r ami ent a est r at gi ca que per mi t e i nt er conect ar en f or ma segur a r edes y equi pos ext er nos cuya admi ni st r aci n y cont r ol est n f uer a del al cance de l a or gani zaci n. Debi do a que se ut i l i za una i nf r aest r uct ur a compar t i da y pbl i ca par a l a i nt er conexi n, l a segur i dad de l os dat os que se t r ansmi t en es f undament al . En el cont ext o de una VPN est o se r esuel ve medi ant e un pr ot ocol o de t nel , es deci r un mecani smo que es capaz de encapsul ar paquet es de pr ot ocol os ar bi t r ar i os, medi ant e el agr egado de encabezados, ut i l i zando adems mecani smos par a pr eser var l a conf i denci al i dad e i nt egr i dad de l os dat os envi ados. En l a act ual i dad exi st e una gr an di ver si dad de t ecnol og as que i mpl ement an VPN, l o cual per mi t e cl asi f i car l as segn di st i nt os cr i t er i os, por ej empl o en f unci n de qui en pr ovee el ser vi ci o ( el usuar i o o un I SP) , segn en que capa del model o de r ef er enci a I SO/ OSI se est abl ece l a VPN ( VPN de capa 2, capa 3 o de t r anspor t e/ apl i caci n) o de acuer do a l a t opol og a de i nt er conexi n ut i l i zada ( VPN punt o a punt o o punt o mul t i punt o) . De acuer do a est e l t i mo cr i t er i o, se pueden apr eci ar en t r mi nos gener al es, dos escenar i os donde se apl i can l as VPNs, al i nt er conect ar dos si t i os, es deci r dos r edes y al comuni car dos hosts ent r e s , a est o se conoce como VPN si t i o a si t i o y VPN de acceso r emot o r espect i vament e. Las r edes pr i vadas vi r t ual es de acceso r emot o son el mecani smo i deal par a ext ender o acer car l os ser vi ci os de r ed l ocal , en f or ma compl et a o par ci al , a l os usuar i os i t i ner ant es y t el e t r abaj ador es. Est a ci r cunst anci a di st a de ser i deal si no se t i ene en cuent a, nuevament e, el aspect o segur i dad r espect o a val i dar a qui n se conect a y de acuer do a est o, que per mi sos y aut or i zaci ones posee. Est as pr ecauci ones deben r ef l ej ar l as pol t i cas de segur i dad de l a i nf or maci n def i ni das pr evi ament e por l a or gani zaci n.
VPNs de Acceso Remot o 2 OBJETIVOS GENERALES I nvest i gar l as car act er st i cas, component es, mecani smos de una VPN de acceso r emot o y como sol uci onan l a necesi dad de un i ngr eso segur o a l os r ecur sos i nf or mt i cos de l a or gani zaci n desde cual qui er si t i o.
Apl i car l os concept os de VPN de acceso r emot o a t r avs de una sol uci n que i mpl ement e un cl i ent e VPN por t t i l que evi t e l a i nst al aci n de pr ogr amas par a est a t ar ea.
OBJETIVOS PARTICULARES Det er mi nar l as car act er st i cas necesar i as par a que una sol uci n sea consi der ada una VPN. Det er mi nar l as vent aj as y desvent aj as de l a ut i l i zaci n de I PSec y SSL en l a i mpl ement aci n de VPNs de acceso r emot o. I nvest i gar di f er ent es enf oques par a l a cr eaci n de una di st r i buci n LI NUX espec f i ca par a el desar r ol l o de l a pr ct i ca. Eval uar al t er nat i vas de l enguaj es de pr ogr amaci n par a el desar r ol l o de apl i caci ones a ut i l i zar en l a pr ct i ca. Eval uar al t er nat i vas de software de vi r t ual i zaci n que sean por t abl es par a el desar r ol l o de l a pr ct i ca.
FUNDAMENTACIN En l a act ual i dad exi st e un i ncr ement o de l as conexi ones de banda ancha t ant o en punt os de acceso comer ci al es como en l os hogar es. Est e aument o se obser va t ambi n en l a capaci dad de ancho de banda of r eci do. Est a si t uaci n benef i ci a l a puest a en pr ct i ca de VPN de acceso r emot o. Una act i vi dad muy popul ar es el t el e t r abaj o, que per mi t e desde ot r a ubi caci n f si ca cont ar con l os r ecur sos de l a i nf or maci n que se poseen en l a of i ci na. Las or gani zaci ones o empr esas necesi t an de est as her r ami ent as par a poder adapt ar se al di nami smo de l os negoci os de hoy en d a. Est o gener a una pr obl emt i ca que combi na aspect os de segur i dad y f aci l i dad de uso. Se puede consi der ar est os dos aspect os ant agni cos. Mi ent r as ms segur i dad se qui er a apl i car menos di nmi co y t r anspar ent e se t or na el pr oceso o t ar ea r equer i da ( ut i l i zaci n de cer t i f i cados, cl aves de acceso, mecani smos de di st r i buci n de cl aves) . Tampoco se puede pr i or i zar l a f aci l i dad de uso sobr e l a segur i dad, por que se est ar a poni endo en r i esgo el r ecur so ms val i oso de una or gani zaci n que es l a i nf or maci n, l os si st emas que l a gener an y l os dat os que est os pr ocesan. En est e campo, al go que no es negoci abl e es l a segur i dad. Se t r at a, ent onces, de buscar una sol uci n que bal ancee segur i dad con f aci l i dad de uso. Es est e i nt ent o de equi l i br i o y l a i mpor t anci a de l a f l exi bi l i dad del acceso r emot o par a l os usuar i os de una r ed, que mot i van l a r eal i zaci n de est e t r abaj o. Par a est o se desar r ol l a un cl i ent e sobr e pl at af or ma LI NUX que se conect a con un ser vi dor VPN. El cl i ent e se ej ecut a en una mqui na vi r t ual l a cual r esi de en un di sposi t i vo USB ( pendrive) . La apl i caci n que vi r t ual i za el si st ema LI NUX se ej ecut a en l a pl at af or ma ms popul ar en l a act ual i dad. VPNs de Acceso Remot o 3 ORGANIZACIN DEL TRABAJO El si gui ent e t r abaj o se compone de cuat r o cap t ul os donde se desar r ol l ar n l os di ver sos t emas r el aci onados con l as r edes pr i vadas vi r t ual es ( VPNs) en gener al y aquel l os en par t i cul ar r ef er i dos a l as VPNs de acceso r emot o. Las r edes pr i vadas vi r t ual es r esul t a ser un t ema ampl i o que i nvol ucr a di ver sos concept os. Un desar r ol l o par t i cul ar de l a t eor a si n r ef er i r el cont ext o gener al r esul t a en un desar r ol l o ai sl ado que i mpi de l a compr esi n cor r ect a del t ema par t i cul ar . Por est a r azn se dedi c un par de cap t ul os a l as def i ni ci ones y t eor a gener al par a i nt r oduci r el t ema pr i nci pal el cual es suj et o de est e t r abaj o. El cap t ul o 1 r ef i er e a def i ni ci ones y t er mi nol og a ut i l i zada en l a t eor a de l as VPNs, adems pr esent a l as di ver sas cl asi f i caci ones, l os cr i t er i os que pr ovocan t al es di st i nci ones y l as apl i caci ones. En el cap t ul o 2 se desar r ol l an l as ar qui t ect ur as, l os pr ot ocol os y l as apl i caci ones de l as r edes pr i vadas vi r t ual es. Dent r o de l as ar qui t ect ur as se menci onan l as t ecnol og as i nvol ucr adas. En cuant o a l os pr ot ocol os VPN se dest acan I PSec, L2TP y SSL, l os cual es ser n r ef er i dos en el cap t ul o dedi cado a l as VPNs de acceso r emot o. El cap t ul o 3 est a dedi cado a l as VPNs de acceso r emot o. Su desar r ol l o pr esent a l os r equer i mi ent os de segur i dad y t odo l o concer ni ent e a l a ar qui t ect ur a de segur i dad, l os escenar i os de acceso r emot o exi st ent es, l os pr ot ocol os ms ut i l i zados y car act er st i cas de l as sol uci ones VPN de acceso r emot o. Fi nal ment e el cap t ul o 4 pr esent a el desar r ol l o del t r abaj o pr ct i co r eal i zado como apl i caci n y l as concl usi ones del mi smo. VPNs de Acceso Remot o 4 ndice
CAPTULO 1 INTRODUCCIN A LAS VPN ..........................................7 1.1 DEFINICIONES Y TERMINOLOGA ..............................................................................................8 1.1.1 Red Privada...............................................................................................................................8 1.1.2 Red Pblica ...............................................................................................................................9 1.1.3 Red Privada Virtual ..................................................................................................................9 1.1.4 Definicin de VPN..................................................................................................................10 1.1.5 Terminologa............................................................................................................................11 1.2 CLASIFICACIN .........................................................................................................................13 1.2.1 VPNs provistas por el cliente o por el proveedor............................................................13 1.2.2 VPNs Sitio a Sitio y de Acceso Remoto..............................................................................16 1.2.3 VPNs de capa 2 y capa 3....................................................................................................17 1.2.4 Integracin de las clasificaciones......................................................................................18 1.2.5 Confiables y Seguras.............................................................................................................20 1.2.6 Overlay y Peer ........................................................................................................................20 1.2.7 No Orientadas y orientadas a la conexin......................................................................23 1.2.8 VPN de capa de transporte/ aplicacin...........................................................................23 1.2.9 VPN multiservicio ....................................................................................................................24 1.3 APLICACIONES...........................................................................................................................24 1.3.1 Intranet /Intranet extendida ................................................................................................24 1.3.2 Extranets...................................................................................................................................25 1.3.3 Servicio VPN provisto por un proveedor...........................................................................25 CAPTULO 2 ARQUITECTURAS, CLASIFICACIN Y PROTOCOLOS .....................29 2.1 INTRODUCCIN A LAS ARQUITECTURAS DE VPN................................................................30 2.1.1 Componentes de una Red Privada Virtual ......................................................................31 2.1.2 Hardware.................................................................................................................................31 2.1.3 Seguridad de la infraestructura ..........................................................................................32 2.1.4 Infraestructura de soporte para el servicio del proveedor...........................................33 2.1.5 Redes Pblicas........................................................................................................................33 2.1.6 Tneles......................................................................................................................................34 2.2 ARQUITECTURAS.........................................................................................................................34 2.2.1 Basadas en software.............................................................................................................34 2.2.2 Basadas en la Implementacin..........................................................................................34 2.2.3 Basada en Seguridad ...........................................................................................................35 2.2.4 Iniciadas por el cliente..........................................................................................................37 2.2.5 Dirigidas....................................................................................................................................37 2.2.6 Basado en la capa................................................................................................................37 2.2.7 Basada en Clases...................................................................................................................38 2.2.8 Basada en Caja Negra.........................................................................................................39 2.2.9 Basada en Acceso Remoto.................................................................................................39 2.2.10 VPN mltiple servicios..........................................................................................................39 2.3 PROTOCOLOS DE TNEL...........................................................................................................41 2.3.1 Requerimientos de un Tnel.................................................................................................42 2.4 PROTOCOLOS DE TNEL CAPA 2...........................................................................................45 2.4.1 Point to Point Protocol (PPP) ................................................................................................45 VPNs de Acceso Remot o 5 2.4.2 Point to Point Tunneling Protocol (PPTP) ............................................................................46 2.4.3 Layer 2 Forwarding Protocolo (L2F)....................................................................................48 2.4.4 Layer 2 Tunneling Protocolo (L2TP) .....................................................................................48 2.5 PROTOCOLOS DE TNEL CAPA 3...........................................................................................51 2.5.1 IP Security Protocol (IPSec)...................................................................................................51 2.5.2 Generic Routing Encapsulation protocol (GRE)..............................................................59 2.5.3 Multiprotocol Label Switching (MPLS)................................................................................61 2.6 PROTOCOLOS DE TNEL CAPA 4...........................................................................................62 2.6.1 Secure Shell (SSH) ...................................................................................................................62 2.6.2 Secure Sockets Layer/ Transport Layer Security (SSL/ TLS) ...............................................64 2.7 TOPOLOGAS..............................................................................................................................64 2.7.1 Escenarios................................................................................................................................65 2.7.2 Topologa Punto a Punto......................................................................................................67 2.7.3 Topologa Punto a Multipunto.............................................................................................68 2.7.4 Topologa Estrella (Hub and Spokes) .................................................................................69 2.7.5 Topologa de Malla Completa o Parcial (Full or Partial Mesh).....................................70 CAPTULO 3 VPN DE ACCESO REMOTO ..........................................72 3.1 INTRODUCCIN.........................................................................................................................73 3.1.1 Requerimientos bsicos de seguridad ..............................................................................74 3.1.2 Configuracin de las polticas de seguridad...................................................................75 3.1.3 Auditora...................................................................................................................................75 3.2 ESCENARIOS................................................................................................................................76 3.2.1 Tele trabajadores/usuarios mviles operando dispositivos propios............................76 3.2.2 Acceso con un dispositivo propio a la red local desde una extranet.......................77 3.2.3 Acceso desde una extranet con un dispositivo propio de esta, a la red local.......77 3.2.4 Acceso de usuarios mviles desde dispositivos pblicos..............................................77 3.3 ARQUITECTURA DE SEGURIDAD..............................................................................................78 3.3.1 Gateway VPN y Firewall, seguridad en la frontera.........................................................79 3.3.2 Disponibilidad .........................................................................................................................84 3.3.3 Autenticacin, Autorizacin y Registro (AAA).................................................................86 3.3.4 Administracin y monitoreo.................................................................................................88 3.4 PROTOCOLOS............................................................................................................................89 3.4.1 SSH.............................................................................................................................................89 3.4.2 IPSec..........................................................................................................................................91 3.4.3 SSL/ TLS.......................................................................................................................................94 3.4.4 Comparativa de las tecnologas de acceso remoto....................................................94 3.5 SOLUCIONES VPNs DE ACCESO REMOTO ............................................................................99 3.5.1 IPSEC .......................................................................................................................................100 3.5.2 SSL/ TLS.....................................................................................................................................101 CAPTULO 4 TRABAJO PRCTICO .............................................102 4.1 INTRODUCCIN.......................................................................................................................103 4.2 ALCANCES................................................................................................................................104 4.3 FUNCIONAMIENTO ..................................................................................................................105 4.3.1 Perfiles de usuarios...............................................................................................................105 4.3.2 Esquema de validacin......................................................................................................105 4.3.3 Servicios..................................................................................................................................105 4.3.4 Gateway VPN.......................................................................................................................106 4.4 TECNOLOGAS DE LA SOLUCIN..........................................................................................106 VPNs de Acceso Remot o 6 4.4.1 Lenguajes de programacin.............................................................................................106 4.4.2 Entorno de virtualizacin....................................................................................................107 4.4.3 Distribucin LINUX.................................................................................................................107 4.4.4 Tecnologa VPN....................................................................................................................109 4.5 LA SOLUCIN ...........................................................................................................................109 4.5.1 Funcionamiento de la Mquina Virtual ..........................................................................109 4.5.2 Aplicacin de gestin de archivos..................................................................................112 4.6 CONCLUSIONES DEL TRABAJ O PRCTICO.........................................................................113 ANEXOS ....................................................................114 5.1 NDICES DE FIGURAS................................................................................................................115 5.2 REFERENCIAS BIBLIOGRFICAS.............................................................................................116
VPNs de Acceso Remot o 7
CAP TULO 1 I NTRODUCCI N A LAS VPN 1
VPNs de Acceso Remot o 8 1.1 DEFINICIONES Y TERMINOLOGA La i mpor t anci a de l a t ecnol og a de l as r edes de dat os par a l as comuni caci ones en l as or gani zaci ones ( empr esas, i nst i t uci ones guber nament al es, no guber nament al es) ha si do f undament al par a su desar r ol l o y cr eci mi ent o, t ant o en el aspect o econmi co y f unci onal , si endo una her r ami ent a est r at gi ca que br i nda sopor t e y per mi t e el desenvol vi mi ent o y t r ansf or maci n de di chas or gani zaci ones. Hoy en d a no se puede concebi r , a ni vel or gani zaci onal , al gn cambi o, f usi n u uni n si n consi der ar l as comuni caci ones y l as t ecnol og as de i nf or maci n que l e dan sopor t e. 1.1.1 Red Privada Las r edes de dat os i nt er conect aban, en un pr i nci pi o en f or ma l ocal , l as comput ador as per sonal es de una or gani zaci n, per mi t i endo compar t i r l a i nf or maci n, y el t r abaj o en gr upo de una f or ma ms gi l y ef i ci ent e. Si n embar go est o r equi r i consi der ar el aspect o de l a segur i dad, ya que si bi en se t r abaj aba en un mi smo mbi t o, es deci r dent r o de l a mi sma empr esa, no t odos l os usuar i os deb an acceder a l os dat os por i gual . Est e esquema f unci on par a pequeas or gani zaci ones, per o par a aquel l as cuya est r uct ur a i ncl u a si t i os geogr f i cament e al ej ados, sur gi l a necesi dad de i nt er conect ar t ambi n di chos l ugar es. La sol uci n vi no de l a mano de l os pr oveedor es de ser vi ci o de r ed de r ea ampl i a de dat os o WAN ( Wide Area Network) , a t r avs de l a cont r at aci n de enl aces dedi cados, l os cual es conect aban l as r edes di st ant es con l a r ed cent r al . Est a sol uci n i mpl i caba un cost o, que r esul t pr ohi bi t i vo par a l a mayor a, except o par a aquel l os que pod an abonar un cost o f i j o de cont r at aci n ms un val or que var i aba pr opor ci onal ment e a l a di st anci a exi st ent e ent r e l os si t i os a i nt er conect ar ( mi l e- age f ee) . En l a act ual i dad exi st en t ecnol og as WAN ( Frame Relay, ATM 1 ) donde el cost o est a en f unci n del caudal de dat os o ancho de banda compr omet i do del enl ace, que una or gani zaci n est a di spuest a a pagar , si n consi der ar ya l a di st anci a geogr f i ca. De est a f or ma se cont aba con una red privada o est r uct ur a de comuni caci n pr opi a, en el sent i do de que el cont r ol y l a admi ni st r aci n de l a r ed est aban baj o el domi ni o de l a or gani zaci n. Las pol t i cas de uso, l os ser vi ci os sumi ni st r ados, l os medi os act i vos y pasi vos de comuni caci n por donde f l u an l os dat os est aban baj o un cont r ol pr opi o. Si bi en l as comuni caci ones de r ea ampl i a er an sumi ni st r adas por un pr oveedor , est e se compr omet a a r espet ar l os r equer i mi ent os de l a or gani zaci n cl i ent e y adems l os dat os que at r avesaban su r ed, no i ban a est ar al al cance de ot r os cl i ent es.
1 Asynchr onous Tr ansf er Mode VPNs de Acceso Remot o 9 1.1.2 Red Pblica Uno de l os event os mas i mpor t ant es que acompa al desar r ol l o de l as r edes en l as or gani zaci ones, f ue l a r pi da evol uci n de l a mayor de l as r edes I P exi st ent es, Internet. Est a se def i ne como un si st ema cooper at i vo de i nt er conexi n de r edes que sumi ni st r a un ser vi ci o de comuni caci n uni ver sal . De est a maner a sat i sf ace l a necesi dad de l os usuar i os de comuni car dos punt os cual esqui er a, t ambi n denomi nados si st emas o nodos f i nal es, pudi endo acceder a r ecur sos ms al l de l os di sponi bl es en un ni co si st ema y ubi cados f uer a de l os l mi t es de l a r ed l ocal . Los dat os at r avi esan r edes i nt er medi as hast a l l egar a su dest i no, en una oper aci n no or i ent ada a l a conexi n, medi ant e el uso de equi pos especi al es denomi nados routers, t ambi n conoci dos como si st emas o nodos i nt er medi os. La nat ur al eza no or i ent ada a l a conexi n de Internet, si gni f i ca que no hay una r ut a pr eest abl eci da o ci r cui t o vi r t ual dedi cado ent r e l os si st emas que se comuni can, t ampoco ni vel es de ser vi ci o, pr i or i zaci n o separ aci n de t r f i co que puedan apl i car se a l os dat os que se t r ansmi t en. La f unci n de l os routers es i nt er conect ar al menos dos r edes, t r ansf i r i endo paquet es desde una r ed a ot r a. Est as per t enecen a di ver sas or gani zaci ones y pr oveedor es. Est o convi er t e a Internet en una red pblica, en el sent i do de que son muchos l os que par t i ci pan en su conf or maci n y l os medi os de t r ansmi si n son compar t i dos. Depender de qui en ut i l i ce l a i nf r aest r uct ur a de Internet par a comuni car dos si st emas f i nal es, t omar l as medi das de segur i dad apr opi adas par a asegur ar l a conf i denci al i dad, aut ent i ci dad, i nt egr i dad y no r epudi o de l os dat os t r ansmi t i dos. 1.1.3 Red Privada Virtual El f unci onami ent o de al gunas or gani zaci ones, det er mi nar on l a necesi dad de per mi t i r el acceso a l a r ed pr opi a a usuar i os que se encont r aban geogr f i cament e f uer a de l os l mi t es de st a. st os r equer an despl azar se con f r ecuenci a y en al gn moment o acceder a sus ar chi vos en l a r ed l ocal , r evi sar su cor r eo el ect r ni co o ut i l i zar un si st ema de i nf or maci n. En un pr i nci pi o se ut i l i zar on ser vi ci os de acceso r emot o medi ant e l a i mpl ement aci n de ser vi dor es par a t al f i n o RAS ( Remote Access Server) , el uso de l neas di scadas par a l a conexi n y pools de modems par a at ender l as l l amadas. Toda est a i nf r aest r uct ur a er a cost eada por l a or gani zaci n l a cual er a r esponsabl e de su admi ni st r aci n y mant eni mi ent o. Si bi en se sol uci onaba el pr obl ema de acceso a l a r ed l ocal , se l ogr aba a un cost o econmi cament e al t o. Ot r a necesi dad f ue l a de encont r ar una al t er nat i va ms econmi ca de i nt er conect ar di ver sas r edes ent r e s y ya no sol ament e l as de una mi sma or gani zaci n, si no r edes de di f er ent es or gani zaci ones. Razones de pol t i ca est r at gi ca j ust i f i caban est e desaf o, ya sea a ni vel empr esar i al , uni ver si t ar i o o guber nament al . Ambos r equer i mi ent os t uvi er on su sol uci n a par t i r de l a i dea de ut i l i zar Internet, t eni endo en cuent a su al cance gl obal y su capaci dad de ent r ega de dat os a casi cual qui er si st ema f i nal a un baj o cost o. Dado que se ut i l i za Internet par a t r ansmi t i r dat os, no hay gar ant a de que est os no puedan ser capt ados por t er cer os. Tambi n es cl ar o que l os si st emas f i nal es que se comuni can est n expuest os. VPNs de Acceso Remot o 10 En l a act ual i dad no sol o se consi der a a Internet como medi o donde una or gani zaci n puede i mpl ement ar una VPN. Los pr oveedor es de ser vi ci os de comuni caci ones o SP ( Service Provider) of r ecen ser vi ci os de VPN de acuer do a l as necesi dades del cl i ent e a t r avs de su r ed backbone. Un SP puede admi ni st r ar ml t i pl es VPNs per t eneci ent es a var i os cl i ent es oper ando a t r avs de su backbone. 1.1.4 Definicin de VPN Es habi t ual encont r ar var i as def i ni ci ones sobr e VPN, aunque st as no di f i er en en esenci a. Al gunas de el l as pueden ser : Una VPN es una red privada construida dentro de una infraestructura de red pblica, como la red Internet 2
La idea bsica de una VPN es muy simple. Una corporacin podra tener un nmero de oficinas (o grupos de ellas) en diferentes lugares, y en cada uno de estos tener su propia red local. Muchas corporaciones han aumentado la cantidad de empleados que deben trabajar en forma remota, ya sea desde sus hogares o en forma itinerante. Interconectar estas redes y lugares mediante una red compartida (no privada) crea una VPN 3
Una red privada virtual basada en Internet utiliza la infraestructura abierta y distribuida de Internet para transmitir datos entre sitios corporativos 4
Una red privada virtual es una red privada de datos que utiliza una infraestructura de telecomunicacin pblica, manteniendo la privacidad mediante protocolos de tnel y procedimientos seguros. ....El propsito principal de una VPN es dar a la compaa la misma capacidad que otorgan los enlaces dedicados contratados pero a un costo menor, utilizando medios de comunicacin pblicos. 5
Se puede def i ni r a una VPN de maner a ms f or mal . Est a def i ni ci n apar ece publ i cada en el ar t cul o What Is a VPN? Part 1 escr i t o por Ferguson y Houston par a l a publ i caci n mensual The Internet Protocol Journal de Cisco System en Mar zo de 2001: Una VPN es un ambiente de comunicaciones en el cual existe un control de acceso, para permitir la conexin entre sistemas pares nicamente dentro de una comunidad de inters definida, y est creado considerando alguna forma de particin de un medio de comunicacin subyacente, donde este brinda servicios a la red de una forma no exclusiva. De acuer do a est as def i ni ci ones se puede deci r que una r ed pr i vada vi r t ual es una r ed, que comuni ca dos o ms di sposi t i vos f i nal es ( est os a su vez pueden i nt er conect ar una r ed compl et a) que pueden est ar ubi cados geogr f i cament e di st ant es y r epr esent an una comuni dad de i nt er s. Par a est o se ut i l i za como medi o de t r ansmi si n una est r uct ur a compar t i da comn a var i os usuar i os. st a puede ser Internet o l a r ed pr i nci pal o backbone de un pr oveedor de ser vi ci os de comuni caci ones.
2 What Is a VPN? Part I by Ferguson -Houston - The Internet Protocol J ournal Marzo 2001 Cisco System 3 VPN Technologies a Comparison by Finlayson-Harrison-Sugarman Data Connection Limited Febrero 2003 4 Virtual PrivateNetworks (VPNs) Web ProForumTutorials - IEC 5 VPN Technologies: Definitions and Requirements by VPN Consortium Marzo 2006 VPNs de Acceso Remot o 11 Se di ce pr i vada por que l os di sposi t i vos que no par t i ci pan en est a comuni caci n no t i enen acceso al cont eni do de l a mi sma y de hecho no son consci ent es de su est abl eci mi ent o. El acceso a est a r ed y su admi ni st r aci n est r est r i ngi do sol o a un nmer o l i mi t ado de di sposi t i vos. La pr i vaci dad se apl i ca t ambi n al espaci o de di r ecci onami ent o y esquema de enr ut ami ent o ut i l i zado en una VPN, en el sent i do de que est n separ ados o di f i er en de aquel l os i nst r ument ados en al guna ot r a r ed pr i vada exi st ent e o en l a i nf r aest r uct ur a de r ed subyacent e por donde ocur r e l a comuni caci n. El concept o de vi r t ual , por def i ni ci n es l a r epr esent aci n de un obj et o no exi st ent e medi ant e l a ej ecuci n de f unci ones que si mul an su exi st enci a. En el cont ext o de una VPN, si gni f i ca que est a l t i ma r epr esent a una r ed de comuni caci ones, que no t i ene una cont r apar t e f si ca r eal . Est e concept o f undament a l a nat ur al eza di scr et a o de separ aci n, de una r ed l gi ca pr i vada f unci onando sobr e una i nf r aest r uct ur a de comuni caci ones compar t i da y r eal . El aspect o de pr i vaci dad, def i ni do en el pr r af o ant er i or , est en f unci n de l a vi r t ual i zaci n. 1.1.5 Terminologa La l i t er at ur a r el aci onada con r edes pr i vadas vi r t ual es est a pl agada de acr ni mos, si gl as, t r mi nos muy espec f i cos que t or nan di f ci l l a i nt er pr et aci n de cual qui er l ect ur a r el aci onada con el t ema. Est a secci n def i ne l os pr i nci pal es el ement os que componen un escenar i o VPN. Sitio: ubi caci n geogr f i ca con uno o ms usuar i os o uno o ms ser vi dor es o una combi naci n de ser vi dor es y usuar i os. El usuar i o r ef i er e al host o est aci n de t r abaj o. Servidor VPN: software o firmware VPN el cual se ej ecut a en un di sposi t i vo. Ti ene l a f unci n de est abl ecer un t nel con un cl i ent e VPN. Pr evi ament e ver i f i ca l a i dent i dad del cl i ent e par a aut or i zar su acceso y det er mi nar l os per mi sos de est e par a acceder a l os r ecur sos l ocal es. El di sposi t i vo donde se ej ecut a el ser vi dor VPN puede ser un host, router o switch. Est e equi po comuni ca l a r ed l ocal con l a r ed pbl i ca. Ot r as acepci ones pueden ser : gateway VPN, ser vi dor de t nel es. Cliente VPN: software o firmware VPN ej ecut ndose en un di sposi t i vo, cuya f unci n es est abl ecer un t nel con un ser vi dor VPN. Pr evi ament e, debe pr esent ar l as cr edenci al es cor r ect as al ser vi dor . Ot r a acepci n puede ser cl i ent e de t nel . Tnel: Enl ace l gi co ent r e el ser vi dor y cl i ent e VPN, cr eado por un pr ot ocol o de t nel . Por est e canal se env an l os dat os que han si do encapsul ados y qui zs encr i pt ados por el pr ot ocol o. Es posi bl e t r ansmi t i r dat os si n encr i pt ar por un t nel . Un t nel puede est abl ecer se en di f er ent es capas del model o I SO/ OSI de pr ot ocol os de comuni caci ones. Extremos de un tnel: di sposi t i vos que gest i onan l a cr eaci n, el est abl eci mi ent o y l a f i nal i zaci n de un t nel medi ant e l a ej ecuci n de software o firmware dedi cado par a t al f i n, por l o t ant o se encar gan t ambi n del pr ocesami ent o r el aci onado con l a des/ encapsul aci n, des/ encr i pt aci n y t r ansmi si n de l os paquet es r eci bi dos. VPNs de Acceso Remot o 12 NAS (Network Access Server): ser vi dor de acceso de r ed, un di sposi t i vo que r epr esent a una i nt er f ase ent r e un medi o de acceso como l a r ed de t el ef on a y una r ed de conmut aci n de paquet es, como el backbone de un pr oveedor o Internet. En una VPN est e di sposi t i vo per mi t e que un usuar i o ut i l i zando un acceso t el ef ni co acceda a su r ed medi ant e un t nel cr eado por el NAS haci a el ser vi dor de acceso r emot o de l a r ed dest i no. Tnel voluntario (Voluntary Tunnel): Tnel cr eado y conf i gur ado a par t i r de l a sol i ci t ud de un cl i ent e VPN. Est a cl ase de t nel es comn en l as VPN de acceso r emot o, donde uno de l os ext r emos es una comput ador a per sonal o notebook de un usuar i o hogar eo o mvi l . Tnel obligatorio (Compulsory Tunnel): Tnel asoci ado con l as VPN de acceso r emot o. Su cr eaci n y conf i gur aci n est a car go de un di sposi t i vo denomi nado ser vi dor de acceso de r ed o NAS. st e se ubi ca ent r e l a PC del usuar i o y el ser vi dor VPN. En el NAS se ubi ca el ext r emo del t nel donde f unci ona el cl i ent e VPN. Es posi bl e que ml t i pl es usuar i os conect ados al ser vi dor de acceso de r ed, compar t an el t nel en f or ma concur r ent e. En gener al el NAS es pr opi edad y es admi ni st r ado por un pr oveedor de ser vi ci os. Ver ms det al l es en el cap t ul o 2Pr ot ocol os de t nel capa 2. Dispositivo de borde: Es el di sposi t i vo ubi cado en l a f r ont er a ent r e l a r ed l ocal y l a r ed pbl i ca. CE: Di sposi t i vo de bor de del cl i ent e ( Customer Edge Device) . Es el equi po per t eneci ent e a un cl i ent e de un ser vi ci o de comuni caci ones que se si t a en el bor de de l a r ed pr i vada l ocal y conect a con l a r ed del pr oveedor del ser vi ci o a t r avs de un PE. Un CE puede ser un router o switch. C: Di sposi t i vo que per t enece al cl i ent e y que se ubi ca dent r o de l a r ed del mi smo. Est os no t i ene conect i vi dad di r ect a con l a r ed del Pr oveedor ni par t i ci pan de l a VPN. Pueden ser routers o switchs. PE: Di sposi t i vo de bor de del pr oveedor ( Provider Edge Device) . Est e es pr opi edad del pr oveedor de ser vi ci o de comuni caci ones. Se conect a di r ect ament e a l a r ed del cl i ent e a t r avs del CE. Un PE puede ser un router, switch o un di sposi t i vo que combi ne ambas f unci ones. P: Di sposi t i vos que componen el ncl eo de l a r ed del Pr oveedor . No t i enen conect i vi dad di r ect a con l a r ed del cl i ent e ni par t i ci pan de l as VPN. Est os son equi pos como routers y switches.
VPNs de Acceso Remot o 13
Figura 1-1 Componentes de una VPN 1.2 CLASIFICACIN Se pueden encont r ar var i as cl asi f i caci ones de l as VPN, l o cual puede gener ar ci er t a conf usi n. Est o se debe a que exi st en di ver sos t i pos de t ecnol og as y cl ases de r edes pr i vadas vi r t ual es, l o que per mi t e ms de un cr i t er i o de or gani zaci n. Las cl asi f i caci ones gener al es y ms habi t ual es son: De acuer do a qui en i mpl ement a y admi ni st r a el ser vi ci o: l a pr opi a or gani zaci n o un pr oveedor de ser vi ci os. Segn que comuni can: r edes ent r e s o usuar i os a l a r ed. Segn l a capa del model o de r ef er enci a de pi l a I SO/ OSI par a comuni caci ones donde se est abl ece l a VPN: capa 2, 3 y l as VPNs de capa de apl i caci n/ t r anspor t e que ut i l i zan el pr ot ocol o SSL/ TLS. Est as r epr esent an una cl ase par t i cul ar de VPN que se descr i ben apar t e. Ot r os cr i t er i os pueden ser : Segn si l os di sposi t i vos de bor de de un pr oveedor par t i ci pan o no en el enr ut ami ent o del t r f i co de dat os del cl i ent e: VPN peer to peer o VPN overlay. Segn si son or i ent adas o no a l a conexi n. Si son conf i abl es o segur as. 1.2.1 VPNs provistas por el cliente o por el proveedor Uno de l os pr i nci pal es cr i t er i os par a cl asi f i car l as VPN, def i ne qui en est a a car go de l a i mpl ement aci n y admi ni st r aci n de l a r ed pr i vada vi r t ual , ya sea el cl i ent e ( l a or gani zaci n) o el pr oveedor de ser vi ci os de comuni caci ones. Est o se r ef i er e a l a def i ni ci n de l as pol t i cas a cumpl i r con est a sol uci n, l os r equer i mi ent os par a l a i mpl ement aci n, l a adqui si ci n y conf i gur aci n de equi pami ent o, mant eni mi ent o, r esol uci n de pr obl emas y moni t or eo, especi f i caci n del espaci o de di r ecci onami ent o a ut i l i zar , esquema de enr ut ami ent o et c. VPNs de Acceso Remot o 14 VPNS provistas por el cliente (CE o CPE VPN) Tambi n denomi nadas VPNs del mbi t o del cl i ent e ( Customer Promises VPN) . Est as VPNs son def i ni das e i mpl ement adas por el cl i ent e de un ser vi ci o de comuni caci ones. Gener al ment e est e t i ene acceso al backbone de un pr oveedor o bi en posee un ser vi ci o de acceso a Internet. En est e cont ext o el cl i ent e puede t ener ms de un si t i o pr opi o, geogr f i cament e di st ant e que desea conect ar o bi en r equi er e hacer l o con ot r a r ed f uer a de su domi ni o, t ambi n r emot a. En est e t i po de VPN, el t nel se est abl ece, ni cament e, ent r e l os equi pos del cl i ent e. Est os r epr esent an l os ext r emos del o l os t nel es. Los equi pos del pr oveedor o PE, no par t i ci pan de l a VPN. Tampoco del esquema de di r ecci onami ent o que est a ut i l i za o del enr ut ami ent o necesar i o. Tr at an a l os paquet es o t r amas como pr oveni ent e de un cl i ent e del ser vi ci o, es deci r sol o l o r eenv an. En el caso de l a ut i l i zaci n de Internet, l os routers i nt er medi os t ambi n l o hacen con l os paquet es I P, si n t ener en cuent a el cont eni do encapsul ado por el t nel de l a VPN. La vent aj a de est a cl ase de VPN r adi ca en que el cl i ent e t i ene el cont r ol de l a segur i dad apl i cada a l os dat os que t r ansmi t e. Par a el pr oveedor sus di sposi t i vos de bor de no r equi er en ni nguna conf i gur aci n especi al par a el t r at ami ent o de l os paquet es de l as VPN, adems no sur gen pr obl emas de escal abi l i dad al moment o de aument ar l a cant i dad de VPNs o l os si t i os a i nt er conect ar medi ant e est as ya que, como se menci on ant er i or ment e, est os equi pos no par t i ci pan en est e escenar i o vi r t ual . Como desvent aj a, el cl i ent e debe hacer se car go bsi cament e de t odo. Est o puede i mpl i car un gr an cost o, t ant o en l a compr a de equi pami ent o, como en l a pr epar aci n de per sonal par a l a conf i gur aci n y el mant eni mi ent o de l a VPN. Est a sol uci n pr esent a pr obl emas de escal abi l i dad par a el cl i ent e cuando exi st en var i os si t i os par a i nt er conect ar . Los t i pos de VPN pr ovi st as por el cl i ent e son: VPN I PSec ( IP Security) VPN GRE ( Generic Routing Encapsulation) VPN SSL/ TLS ( Secure Sockets Layer/Transport Layer Security)
Figura 1-2 VPN Provista por el Cliente VPNs de Acceso Remot o 15 VPNs provistas por el Proveedor (PPVPN) En est a cl ase de VPN el pr oveedor de ser vi ci o se encar ga de su i mpl ement aci n. Los equi pos de bor de o PE par t i ci pan act i vament e de l a r ed vi r t ual como as t ambi n, per o en menor gr ado, l os di sposi t i vos de bor de del cl i ent e. Est o si gni f i ca que l os PE r eal i zan l a mayor par t e del pr ocesami ent o espec f i co de l a VPN, per mi t i endo que l os equi pos CE puedan ser routers o switches est ndar si n necesi dad de compr ar equi pami ent o especi al . El pr oveedor es r esponsabl e de l a admi ni st r aci n de l a VPN, l i ber ando al cl i ent e de est as t ar eas. Est o r esul t a, par a est e l t i mo, en un menor cost o de i mpl ement aci n r espect o de un empr endi mi ent o pr opi o. Act ual ment e l os pr oveedor es of r ecen un ser vi ci o de VPN mej or ado, donde suman adems de l a conect i vi dad, acuer dos de ni vel de ser vi ci o, cal i dad y di f er enci aci n de ser vi ci o, segur i dad, i ngeni er a de t r f i co et c. Est o r edunda en un pr oduct o con val or agr egado que benef i ci a a ambas par t es. Las sol uci ones VPN de est a cl ase, pueden oper ar en l a r ed de un ni co pr oveedor , ent r e un conj unt o de pr oveedor es de ser vi ci o y sobr e Internet. En est e l t i mo caso se asume que l os routers de ncl eo de Internet, no mant endr n i nf or maci n r ef er i da a l a VPN, si n consi der ar si se ut i l i zan pr ot ocol os de enr ut ami ent o par a di st r i bui r o no di cha i nf or maci n. Exi st en cuat r o escenar i os donde pueden despl egar se est as VPN 6 : nico Proveedor, nico Sistema Autnomo o AS (Autonomous System): escenar i o ms si mpl e, el ser vi ci o se br i nda a t r avs del AS de un ni co pr oveedor . nico Proveedor, mltiples AS: un pr oveedor admi ni st r a var i os AS ( adqui si ci n de var i as r edes) . Est e escenar i o i mpl i ca l a di st r i buci n con r est r i cci ones de l a i nf or maci n de enr ut ami ent o ent r e l os di ver sos Si st emas Aut nomos. Multi Proveedor: es el caso ms compl ej o, debi do a que es necesar i o negoci ar r el aci ones de conf i anza ent r e l os backbones de l os di ver sos pr oveedor es par a cumpl i r con l as medi das de segur i dad y ni vel es de ser vi ci o acor dados par a l a VPN de un cl i ent e. En est e caso el ser vi ci o se denomi na VPN i nt er - AS o nt er pr oveedor . Proveedor de Proveedores (Carrier's Carrier): est e es un caso especi al del pr i mer escenar i o, except o que l os cl i ent es son pr oveedor es de ser vi ci os de comuni caci ones que cont r at an el ser vi ci o de VPN a un pr oveedor pr i nci pal , par a of r ecer l o a su vez a sus pr opi os cl i ent es. Los t i pos de VPN pr ovi st as por el Pr oveedor son: VPN VPWS ( Virtual Private Wire Service) VPN VPLS ( Virtual Private Lan Service) VPN I PLS ( IP only Private Lan Service) VPN basada en routers vi r t ual es VPN I PSec VPN MPLS ( Multiprotocol Label Switching)
6 RFC 3809 Generic Requirements for Provider Provisioned VPN VPNs de Acceso Remot o 16 1.2.2 VPNs Sitio a Sitio y de Acceso Remoto Ot r a f or ma gener al de di st i ngui r l as VPN es en f unci n de si conect an r edes ent r e s o usuar i os a una r ed. Una VPN si t i o a si t i o ( site-to- site VPN) conect a dos o ms r edes ent r e s que est n geogr f i cament e di sper sas, est as pueden per t enecer a una o var i as or gani zaci ones. Si l as r edes per t enecen a una mi sma or gani zaci n, est a cl ase de VPN se denomi na intranet. Si l as r edes per t enecen a var i as or gani zaci ones se conoce como extranet. La i nt enci n en est e l t i mo caso es comuni car or gani zaci ones di f er ent es que per si guen un obj et i vo comn y r equi er en compar t i r i nf or maci n t i l par a el conj unt o. El ser vi ci o de VPN ent r e si t i os deber a ser i ndependi ent e del al cance geogr f i co de l a i mpl ement aci n.
Figura 1-3 VPN Sitio a Sitio Las VPN de Acceso Remot o o RAVPN ( Remote Access VPN) , t ambi n denomi nadas VPN de acceso, per mi t en a l os usuar i os mvi l es o i t i ner ant es y a l os usuar i os hogar eos de una or gani zaci n o t el e t r abaj ador es, acceder en f or ma r emot a a l a r ed. Est a cl ase de VPN puede est abl ecer un t nel en modo vol unt ar i o u obl i gat or i o.
Figura 1-4 VPN de Acceso Remoto VPNs de Acceso Remot o 17 Las t ecnol og as y pr ot ocol os asoci ados a est a cl asi f i caci n son: VPNs si t i o a si t i o: I PSec GRE At oM ( Any Transport over MPLS) L2TPv3 ( Layer 2 Tunneling Protocol version 3) I EEE 802. 1Q MPLS LSP ( MPLS Label Switched Path)
VPNs de acceso r emot o: L2F ( Layer 2 Forwarding) PPTP ( Point to Point Tunneling Protocol) L2TPv2/ v3 I PSec SSL/ TLS Al gunos de est os ser n descr i pt os ms adel ant e en el cap t ul o 2 dedi cado a pr ot ocol os VPN. 1.2.3 VPNs de capa 2 y capa 3 El cr i t er i o de est a cl asi f i caci n se basa en l as capas, del model o de r ef er enci a I SO/ OSI de pr ot ocol o de comuni caci ones, por donde se est abl ece el t nel de l a VPN. Est a cl asi f i caci n sur ge a par t i r de l a var i edad de t ecnol og as exi st ent es que se ut i l i zan par a i mpl ement ar l a VPN. Est a di st i nci n t i ene sent i do cuando se l a apr eci a en el cont ext o de l as cl asi f i caci ones ant er i or es. Las VPN de capa 2 per mi t en l a conect i vi dad a ni vel de l a capa de enl ace de dat os y puede ser est abl eci da ent r e switches, routers o hosts. La comuni caci n est a basada en el di r ecci onami ent o de capa 2 y el r eenv o del t r f i co est a basado r espect o del enl ace ent r ant e y l a i nf or maci n de encabezados de di cha capa, t al es como di r ecci ones MAC ( Media Access Control) o DLCI ( Frame Relay Data Link Connection Identifier) . Las VPN de capa 3 i nt er conect an hosts o routers, l a comuni caci n se basa en el di r ecci onami ent o a ni vel de capa de r ed. El r eenv o del t r f i co se l l eva a cabo t eni endo en cuent a el enl ace ent r ant e y l as di r ecci ones del encabezado I P. VPNs de Acceso Remot o 18 1.2.4 Integracin de las clasificaciones Las cl asi f i caci ones ant er i or es se pueden i nt egr ar par a t ener una per spect i va ms pr ct i ca y oper at i va de l as VPN. Est a i nt egr aci n muest r a l as VPN pr ovi st a por el cl i ent e o pr oveedor como el cr i t er i o de cl asi f i caci n ms gener al , dent r o de l a cual se pueden di f er enci ar l as VPN si t i o a si t i o y r emot a. Fi nal ment e se consi der an segn l as t ecnol og as VPN de capa 2 y 3. El si gui ent e esquema muest r a est a r el aci n:
Figura 1-5 Clasificacin de las VPN
VPN Sitio a Sitio Provistas por el Proveedor de Capa 2 (L2VPN) Est as VPN pueden ser est abl eci das ent r e switches, routers y hosts, per mi t i endo l a conect i vi dad a ni vel de capa de enl ace ent r e si t i os separ ados. Tant o el di r ecci onami ent o como el r eenv o del t r f i co de l a VPN se l l evan a cabo en f unci n del enl ace ent r ant e y de l a i nf or maci n del encabezado de capa 2. Dent r o de l as L2VPN se pueden di st i ngui r dos cat egor as: VPNs basadas en circuitos Punto a Punto (P2P): conoci das t ambi n como VPWS ( Virtual Private Wire Service) . Se i mpl ement an usando MPLS o ci r cui t os emul ados ( pseudowires) L2TPv3. VPNs Multipunto a Multipunto (M2M): en est a cat egor a ent r an l as VPN VPLS ( Virtual Private LAN Service) e I PLS ( IP-Only LAN Service) . VPN VPWS La r ed del pr oveedor puede consi der ar se como una emul aci n de un conj unt o de enl aces punt o a punt o o pseudowires ent r e l os si t i os del cl i ent e. Es t i l en escenar i os donde el cl i ent e ya posee ci r cui t os vi r t ual es ATM o Frame Relay que i nt er conect an sus r edes. En l ugar de que el t r f i co del cl i ent e at r avi ese el backbone hast a su dest i no en su f or mat o nat i vo de capa 2, st e es encapsul ado y enr ut ado sobr e l a i nf r aest r uct ur a I P del Pr oveedor . El cl i ent e mant i ene l as conexi ones de capa 2 al backbone. Los routers CE deben sel ecci onar el ci r cui t o vi r t ual a usar par a envi ar el t r f i co al si t i o dest i no. VPNs de Acceso Remot o 19 Est e esquema per mi t e el r eempl azo de r edes con t opol og as est r el l a que r equi er en l a i nt er conexi n de r edes sat l i t es haci a una r ed cent r al , per mi t i endo al t er nat i vas de r ut as haci a un dest i no. Unas de l as t ecnol og as habi t ual es, en el ncl eo de l a r ed del pr oveedor , par a est a cl ase de VPN es MPLS j unt o a ext ensi ones conoci das como PWE3 ( Pseudowire Emulation Edge to Edge) . Un enf oque ms escal abl e, r espect o de l a admi ni st r aci n del ser vi ci o, ut i l i za BGP ( Border Gateway Protocol) como pr ot ocol o de seal i zaci n y aut o det ecci n. En est e caso, l os di sposi t i vos PE usan BGP mul t i pr ot ocol o par a anunci ar l os di sposi t i vos CE y VPN que cont r ol an, j unt o con l as et i quet as MPLS ut i l i zadas par a encami nar el t r f i co. De est a f or ma, cuando l os ot r os CE r eci ben est a i nf or maci n, saben como est abl ecer l os pseudowires. VPN VPLS En est e caso l a r ed LAN ethernet de cada si t i o del cl i ent e se ext i ende hast a el bor de de l a r ed backbone del pr oveedor . Luego, una vez aqu , se emul a l a f unci n de un bridge o switch par a conect ar t odas l as LANs del cl i ent e. De est a f or ma se emul a, en l a r ed del pr oveedor , una ni ca LAN ethernet. Est a sol uci n pr ovee un ser vi ci o punt o a mul t i punt o donde l os routers CE env an t odo el t r f i co, dest i nados a l os ot r os si t i os, di r ect ament e al router PE. Est e ser vi ci o se basa en l a ut i l i zaci n de pseudowires, combi nados en una t opol og a de mal l a compl et a ( full mesh) de i nt er conexi ones ent r e l os di sposi t i vos PE que par t i ci pan en una VPN det er mi nada. st os l l evan a cabo el apr endi zaj e de l as di r ecci ones MAC, de l a mi sma f or ma que un switch ethernet par a r eenvi ar l as t r amas desde un CE a ot r o. As , un CE puede r eenvi ar t r f i co en una f or ma punt o a mul t i punt o a ot r os CE. Exi st e un pr obl ema de escal abi l i dad con est e ser vi ci o, y t i ene que ver con el i ncr ement o de si t i os del cl i ent e. Es necesar i o mant ener en l os PE un gr an nmer o de di r ecci ones MAC par a el r eenv o de t r amas por si t i o de cl i ent e. VPN IPLS Si se r equi er e i nt er cambi ar t r f i co I P excl usi vament e y l os di sposi t i vos CE son routers I P, ent onces es posi bl e el ser vi ci o I P sobr e LAN. Si bi en se t r ansmi t en dat agr amas I P, el mecani smo de r eenv o se basa en i nf or maci n de encabezado de capa 2. Dado que el si gui ent e sal t o o hop par a cada dat agr ama I P es ot r o CE, l as ni cas di r ecci ones MAC que un PE debe apr ender , cuando r eenv a l as t r amas de capa 2, son aquel l as de l os routers CE. Est o es una vent aj a r espect o del ser vi ci o VPLS por el r educi do nmer o de di r ecci ones MAC a pr eser var por si t i o de cl i ent e. VPN Sitio a Sitio Provistas por el Proveedor de Capa 3 (L3VPN) Est a cl ase de VPN se basa en t ecnol og as ms est abl es que l as empl eadas en l as L2VPN, debi do al est udi o y desar r ol l o de l as mi smas. Est o l e per mi t e al pr oveedor de ser vi ci o t ener mayor segur i dad al moment o de i mpl ement ar una u ot r a sol uci n. VPNs de Acceso Remot o 20 Se pueden di vi di r a su vez en: VPN basadas en PE: Los di sposi t i vos PE par t i ci pan en el enr ut ami ent o y r eenv o del t r f i co del cl i ent e basado en el espaci o de di r ecci ones de l a r ed del cl i ent e. En est e caso l os CE no par t i ci pan de l a VPN. El t r f i co del cl i ent e se r eenv a ent r e l os PE a t r avs de t nel es MPLS LSP, I PSec, L2TPv3 o GRE. VPN basadas en CE: En est e caso l os t nel es son cr eados ent r e l os equi pos CE, mi ent r as l os PE no par t i ci pan en l a VPN, sol o r eenv an el t r f i co del cl i ent e. Se ut i l i za I PSec o GRE par a est abl ecer l os t nel es. 1.2.5 Confiables y Seguras Est a es una cl asi f i caci n donde se t i ene en cuent a si es o no necesar i a l a encr i pt aci n y aut ent i caci n de l os dat os a t r ansf er i r ent r e l os nodos de l a VPN. Los pr oveedor es que no ut i l i zan encr i pt aci n par a l os dat os de sus cl i ent es debi do a que ut i l i zan ci r cui t os vi r t ual es de capa 2 se pueden def i ni r como VPN Confiables. Podemos menci onar l as r edes FRAME RELAY, ATM y MPLS. En cambi o en l as VPN Seguras el t r f i co de dat os es aut ent i cado y encr i pt ado sobr e el backbone del pr oveedor del ser vi ci o. Ut i l i zan l os pr ot ocol os I PSEC, SSL, L2TP asegur ado medi ant e I PSEC, PPTP asegur ado con MPPE ( Microsoft Point-to-Point Encryption) . 1.2.6 Overlay y Peer Las VPN overlay se dan ent r e di sposi t i vos CE, l os di sposi t i vos PE no par t i ci pan en el enr ut ami ent o de l os cl i ent es de l a r ed, si no que r eenv an t r f i co de cl i ent es basados en di r ecci onami ent o gl obal ment e ni co, por l o t ant o no t i ene conoci mi ent o del di r ecci onami ent o ut i l i zado por el cl i ent e. Los t nel es son conf i gur ados ent r e di sposi t i vos CE usando pr ot ocol os como I PSec y GRE. Cabe obser var que el model o overlay t i ene ser i os pr obl emas de escal abi l i dad debi do a que si se cuent a con muchos nodos de egr eso el nmer o de adyacenci as se i ncr ement a en di r ect a pr opor ci n con el nmer o de nodos.
VPNs de Acceso Remot o 21
Figura 1-6 Adyacencias del Ruteo Pueden ser i mpl ement adas a ni vel de capa f si ca usando l neas t el ef ni cas ( dialup) , a ni vel de capa 2 ut i l i zando Frame Relay, X- 25 y ATM, o a ni vel de capa 3 ut i l i zando t nel es I P o GRE. Con el f i n de cl ar i f i car veamos un ej empl o, l a Fi gur a 1- 6, muest r a un esquema en el que f i gur an t r es si t i os. Un si t i o se conect a a t r avs de l os ci r cui t os vi r t ual es VC #1 Y VC #2 con ot r os dos si t i os. Si suponemos que el si t i o pr i nci pal es Londr es y l os ot r os son Par i s y Zur i ch podr amos ver que l a per cepci n que poseen l os routers CE es l a que gr af i ca l a Fi gur a 1- 7
VPNs de Acceso Remot o 22
Figura 1-7 Infraestructura del proveedor
Si son r eempl azados l os di sposi t i vo PE por routers y est os par t i ci pan en el enr ut ami ent o ent onces es una VPN t i po Peer. Los routers t i enen que poseer conoci mi ent o del di r ecci onami ent o que ut i l i za el cl i ent e. Est o es necesar i o debi do a que l as r ut as se i nt er cambi an ent r e di sposi t i vos CE y l os di sposi t i vos PE. Est as VPN son pr ovi st as por un pr oveedor de ser vi ci os.
Figura 1-8 VPNs tipo Peer
VPNs de Acceso Remot o 23 En l a Fi gur a 1- 8 podemos obser var que al r eempl azar l os switches por routers se convi er t e en una VPN t i po Peer. 1.2.7 No Orientadas y orientadas a la conexin Son or i ent adas o no or i ent adas a l a conexi n dependi endo si el pr oveedor pr ovee o no ci r cui t os vi r t ual es dedi cados. Or i ent ada a l a conexi n: Son en l as que pr ovee el pr oveedor un ci r cui t o vi r t ual dedi cado. Por ej empl o FRAME RELAY y ATM. No or i ent adas a l a conexi n: Son l as que no poseen un ci r cui t o vi r t ual . Por ej empl o l as VPN basadas en I P. 1.2.8 VPNs de capa de transporte/aplicacin El pr ot ocol o SSH ( Secure Shell) desar r ol l ado por Communications Security Ltd., per mi t e acceder a ot r o di sposi t i vo a t r avs de una r ed i nsegur a, ej ecut ar comandos a una mqui na r emot a y mover ar chi vos de una comput ador a a ot r a. Ut i l i zando encr i pt aci n sobr e canal es i nsegur os pr ovee una f uer t e aut ent i caci n y encr i pt aci n. Exi st en dos ver si ones i ncompat i bl es ent r e s . Son dos pr ot ocol os t ot al ment e di f er ent es que usan di st i nt o ci f r ado.
SSH v1 SSH v2 Autenticacin de sistemas Ll aves de ser vi dor y cl i ent e Ll aves de host Autenticacin Ll aves Cer t i f i cados
SSH2 es una compl et a r eescr i t ur a del pr ot ocol o que l o hace mas segur o y ut i l i za una i mpl ement aci n de r ed t ot al ment e di st i nt a que SSH1. Debi do a l a di f er ent e i mpl ement aci n ambos pr ot ocol os son i ncompat i bl es. Por ej empl o se l o ut i l i za par a asegur ar un t nel PPP. El pr i nci pi o de f unci onami ent o es el mi smo que el de SSL di f er enci ndose en l a capa en l a que act an y el mt odo de aut ent i caci n.
SSH SSL Capa en la que trabaja Apl i caci n Tr anspor t e Autenticacin Ll aves Cer t i f i cados
Tambi n es posi bl e est abl ecer t nel es en l a capa de apl i caci n. Par a est o se ut i l i za un browser del l ado del cl i ent e, por l o que no es necesar i o i nst al ar ni ngn pr ogr ama. La conexi n se r eal i za a un si t i o web segur o medi ant e el pr ot ocol o HTTPS ( Hypertext Transfer Protocol Secure) . Adems, exi st en ot r os pr oduct os l os cual es of r ecen una combi naci n de gr an f l exi bi l i dad, segur i dad y que i nt ent an l ogr ar una conf i gur aci n que no r equi er a mucho conoci mi ent o. La segur i dad es l ogr ada medi ant e ci f r ado del t r f i co usando el pr ot ocol o SSL/ TLS.
VPNs de Acceso Remot o 24 1.2.9 VPN multiservicio Tr abaj an sobr e MPLS, cuyo sel l o di st i nt i vo es l a cal i dad de ser vi ci o o QoS ( Quality of Service) . El obj et i vo de est as VPN es i nt egr ar di f er ent es apl i caci ones en una sol a conexi n: voz, dat os, mul t i medi a, et c. 1.3 APLICACIONES Las VPN se ut i l i zan en si t uaci ones donde es necesar i o est abl ecer una comuni caci n en f or ma segur a ut i l i zando un medi o o i nf r aest r uct ur a compar t i da de t r ansmi si n. Adems de comuni car r edes pr opi as de l a or gani zaci n, usuar i os mvi l es, t el e t r abaj ador es et c. t ambi n es posi bl e comuni car di st i nt as or gani zaci ones ent r e s . Est a al t er nat i va sur ge a par t i r de l a necesi dad de est abl ecer l azos de negoci os, o l a concr eci n de i nt er eses comunes. La ext r anet r ef l ej a di chos i nt er eses medi ant e l a i nt er conexi n de l as r edes de dat os de l as di st i nt as or gani zaci ones. En r eal i dad sol o compar t en l os r ecur sos necesar i os par a cumpl i r con l os obj et i vos comunes, por l o que el acceso es par ci al y cont r ol ado. Fi nal ment e l as VPN se pueden consi der ar como un negoci o con val or agr egado en l a f or ma de un ser vi ci o. El hecho de que hoy en d a l as or gani zaci ones dependan f uer t ement e de l as t ecnol og as de i nf or maci n par a su desenvol vi mi ent o y que sus necesi dades sean di f er ent es, pl ant ea un mer cado donde l as sol uci ones de comuni caci ones de dat os son casi a l a medi da del cl i ent e. No exi st e una ni ca sol uci n par a t odos l os t i pos de or gani zaci ones. Es por est o que l os pr oveedor es de ser vi ci os han sumado a su of er t a de sol uci ones empr esar i al es, el ser vi ci o de VPN, donde una buena r el aci n cost o- benef i ci o par a el cl i ent e es posi bl e. 1.3.1 Intranet /Intranet extendida Una i nt r anet en pr i nci pi o no se r ef i er e a esquemas o t opol og as de r edes, si no a un conj unt o de cont eni dos y r ecur sos de i nf or maci n que son accedi dos y compar t i dos en f or ma pr i vada y segur a ent r e mi embr os de una mi sma or gani zaci n, con el obj et i vo de pr oveer l a l gi ca de negoci o par a l as apl i caci ones de l a or gani zaci n. Es un medi o, adems, par a l a di f usi n de i nf or maci n i nt er na, per mi t i endo que l os empl eados est n al t ant o de l o que sucede en su mbi t o l abor al de una maner a ef i ci ent e. Una car act er st i ca f undament al de l as i nt r anet s, es el hecho que su f unci onami ent o se basa en t ecnol og as que i mpl ement an est ndar es abi er t os, t ant o en l os pr ot ocol os de comuni caci n como en aquel l os pr ot ocol os a ni vel de apl i caci n. Es deci r , ut i l i zan l a t ecnol og a de Internet. En par t i cul ar el uso de l a sui t e TCP/ I P par a l a comuni caci n y a ni vel de apl i caci n l os pr ot ocol os: HTTP, FTP, SMTP, POP3, LDAP, et c. La cl ase de apl i caci ones que se pueden encont r ar en una i nt r anet van desde el ser vi ci o de cor r eo el ect r ni co, hast a si st emas de i nf or maci n basados en web, si st emas de mensaj er a i nst ant nea y col abor at i vos, si st emas de vi deoconf er enci a y comuni caci ones de voz medi ant e I P ( VoI P) . El acceso y mani pul aci n de l a i nf or maci n, medi ant e est os si st emas se encuent r a r est r i ngi do, por l o t ant o t ambi n exi st en si st emas que per mi t en aut ent i car y aut or i zar a l os di f er ent es usuar i os de l a or gani zaci n. VPNs de Acceso Remot o 25 Una VPN si r ve par a expandi r el al cance de una i nt r anet . La pr i vaci dad que apor t a una r ed pr i vada vi r t ual br i nda l a segur i dad par a acer car l a i nt r anet a l os di f er ent es si t i os o r edes de dat os que i nt egr an l a or gani zaci n l ogr ando su i nt er conexi n a t r avs de Internet y/ o l as r edes backbone de l os pr oveedor es de ser vi ci o. La i nt r anet deber a est ar di sponi bl e par a aquel l os usuar i os de l a or gani zaci n cuyo r ol r equi er e movi l i dad y est ar f uer a de l os l mi t es de l a mi sma, por l o t ant o f uer a de l a r ed de dat os. Es necesar i o que est os usuar i os mvi l es est n conect ados par a acceder a aquel l os r ecur sos o dat os que l a i nt r anet pone a di sposi ci n. Las r edes di st ant es pr opi as que pueden i nt er conect ar se y l os usuar i os mvi l es que pueden t ener acceso se denomi nan, en su t ot al i dad, una i nt r anet ext endi da. 1.3.2 Extranets Una ext r anet es un conj unt o de i nt r anet s de or gani zaci ones di f er ent es que se i nt er conect an ent r e s par a cumpl i r con obj et i vos comunes. Est a r el aci n est a bi en def i ni da y es est abl eci da baj o un est r i ct o cont r ol del acceso. Se puede def i ni r t ambi n como l a i nt er secci n de un gr upo de i nt r anet s de var i as empr esas, l o cual i ndi ca que sol o se compar t e una por ci n de l a i nt r anet haci a el r est o de l a ext r anet . Por ot r o l ado Internet es el medi o comn que r esuel ve pr obl emas de i ncompat i bi l i dad ent r e si st emas de empr esas muy di f er ent es. Es deci r , of r ece una i nt er f az comn que per mi t e una i nt er acci n di f ci l de l ogr ar con ot r as t ecnol og as. Por l o t ant o, como en el caso de l as i nt r anet s, adopt an l as t ecnol og as basadas en est ndar es abi er t os pr opi as de Internet par a l ogr ar comuni caci n dent r o de l a ext r anet . Una ext r anet puede t ener un i mpact o not abl e en l as r el aci ones e i nt er r el aci ones con l as dems empr esas que l a i nt egr an. De hecho puede modi f i car not abl ement e l a posi ci n de l a or gani zaci n f r ent e a sus cl i ent es y compet i dor es. Por est a r azn l a deci si n de su i mpl ement aci n debe r esponder a f i nes est r at gi cos, por l o cual deber ser t omada por l a al t a ger enci a de l a or gani zaci n. Las VPNs son l a f or ma ms ef ect i va de i mpl ement ar l as ext r anet s, ya que pueden hacer uso de Internet par a l ogr ar l a i nt er conexi n de l os di f er ent es si t i os. Nuevament e l os punt os ms i mpor t ant es a consi der ar son l a segur i dad en cuant o al acceso sol o de l os usuar i os aut or i zados medi ant e mecani smos de aut ent i caci n, como t ambi n el t r anspor t e a t r avs de l a encapsul aci n y encr i pt ado de l os dat os. Como se ha vi st o en est e cap t ul o, exi st en di ver sos pr ot ocol os de t nel ut i l i zados en VPNs, l os cual es se apl i can obvi ament e en l as ext r anet s. Al gunos de el l os como I PSec, encapsul an l os paquet es or i gi nal es y encr i pt an l a i nf or maci n sensi bl e, ot r os como PPTP y L2TP se val en de I PSec par a br i ndar l a conf i denci al i dad. 1.3.3 Servicio VPN provisto por un proveedor Las cor por aci ones y or gani zaci ones dependen cada vez ms de l as t el ecomuni caci ones y r edes de dat os. Es muy i mpor t ant e l a i nt er conexi n de r edes pr opi as en di f er ent es si t i os. Est a necesi dad f ue r esuel t a por pr oveedor es de ser vi ci os de t el ecomuni caci ones, pr i nci pal ment e a t r avs de conexi ones Frame Relay, ATM y ms r eci ent ement e medi ant e ethernet y t nel es basados en I P. VPNs de Acceso Remot o 26 Est as or gani zaci ones, r equi er en con ms f r ecuenci a, ser vi ci os de conect i vi dad sobr e uno o ms backbones, i ncl uso a t r avs de Internet, per o que est e ser vi ci o i ncl uya cont r at os de ni vel de ser vi ci o ( Ser vi ce Level Agr eement ) , cal i dad de ser vi ci o ( QoS) , y ot r os par met r os que per mi t an una comuni caci n segur a, est abl e, con al t o gr ado de di sponi bi l i dad, con un umbr al de ancho de banda, con pr i or i zaci n de t r f i co, et c. Est as car act er st i cas son di f ci l es de l ogr ar cuando l a comuni caci n ent r e si t i os debe at r avesar r edes de di f er ent es pr oveedor es ms l a Internet, es deci r un ent or no compar t i do y de nat ur al eza no or i ent ada a l a conexi n. Las VPN per mi t en una comuni caci n segur a y pr i vada medi ant e l a encapsul aci n y encr i pt aci n. Es deci r , a sl an el t r f i co de dat os pr i vados de una or gani zaci n del r est o con el cual pueda compar t i r un canal de comuni caci n. Act ual ment e l a r el aci n cost o- benef i ci o en l a i mpl ement aci n de est e mecani smo ha det er mi nado l a conveni enci a de l a cont r at aci n del ser vi ci o a pr oveedor es, en l ugar de l a puest a en f unci onami ent o y cont r ol por par t e de l a pr opi a or gani zaci n. Par a poder di f er enci ar y ai sl ar l os t r f i cos per t eneci ent es a var i os cl i ent es, el pr oveedor ut i l i za conexi ones de capa 2 ( VPNs t r adi ci onal es) o t nel es de capa 2 o 3. Par a el caso de conexi ones a t r avs de Internet, l as VPN se han basado en I PSec par a br i ndar l a mayor segur i dad. El concept o de ser vi ci o VPN pr ovi st o por el pr oveedor debe sopor t ar l os t i pos t r adi ci onal es de VPN, adems debe f unci onar con l as cl ases de pr oveedor def i ni dos en el cap t ul o 1, adems de Internet: ni co pr oveedor , conj unt o de pr oveedor es y pr oveedor de pr oveedor es. Exi st en r equer i mi ent os gener al es par a est a cl ase de VPNs, un anl i si s det al l ado se expr esa en l a RFC 3809 7 . Est os r equer i mi ent os pueden cl asi f i car se en: Requerimientos del servicio: at r i but os del ser vi ci o que el cl i ent e puede obser var o medi r , por ej empl o: di sponi bi l i dad y est abi l i dad, gar ant as de segur i dad, ser vi ci o de t r amas o dat agr amas. Requerimientos del proveedor: car act er st i cas que el pr oveedor eval a par a det er mi nar l a vi abi l i dad en t r mi nos de l a r el aci n cost o- ef ect i vi dad del ser vi ci o, por ej empl o escal abi l i dad y gr ado de admi ni st r aci n Requerimientos de Ingeniera: car act er st i cas de i mpl ement aci n que per mi t en cumpl i r con l os r equer i mi ent os del pr oveedor y del ser vi ci o. Est os a su vez pueden cl asi f i car se en: Requerimientos en el plano de reenvo: asoci ados a l os mecani smos de r eenv o de dat os. Requerimientos en el plano de control: asoci ados al mecani smo de di st r i buci n de l a i nf or maci n de enr ut ami ent o. Requer i mi ent os r el aci onados a l a uni f or mi dad de l os mecani smos en est a cl ase de VPN r espect o de ot r os esquemas y en gener al con l a f or ma de oper aci n de Internet.
7 RFC 3809 - Generic Requirements for Provider Provisioned Virtual PrivateNetworks VPNs de Acceso Remot o 27 Calidad de servicio (QoS) y Acuerdos de nivel de servicio (SLA) En gener al cal i dad de ser vi ci o se r ef i er e a l a habi l i dad de br i ndar ser vi ci os de r edes y comuni caci ones de acuer do a un conj unt o de par met r os especi f i cados un cont r at o de ni vel de ser vi ci o o SLA. La cal i dad est a car act er i zada por l a di sponi bi l i dad del ser vi ci o, t asa de demor a, de var i aci n de l a demor a ( jitter) , t asa de pr oceso de paquet es ( throughput) , de pr di da de paquet es. En par t i cul ar , y desde una per spect i va de r ecur so de r ed, cal i dad de ser vi ci o se r ef i er e a un conj unt o de her r ami ent as que per mi t en a un pr oveedor de ser vi ci o pr i or i zar t r f i co, cont r ol ar el ancho de banda y l a demor a en l a r ed. Exi st en dos maner as de l ogr ar l o en r edes I P, medi ant e Ser vi ci os I nt egr ados y a t r avs de Ser vi ci os Di f er enci ados 8
El mbi t o en el cual un ser vi ci o VPN cumpl e con cal i dad de ser vi ci o depender del pr oveedor de ser vi ci o. En l a mayor a de l os casos de VPN def i ni da en el si st ema aut nomo de un ni co pr oveedor es posi bl e cumpl i r con est e r equer i mi ent o. El sopor t e de QoS en ambi ent es de mul t i pr oveedor es o di ver sos si st emas aut nomos est ar en f unci n de l os acuer dos de cooper aci n ent r e l os i nvol ucr ados en l a pr ovi si n del ser vi ci o y de que t odos ut i l i cen l os mi smos mecani smos. Es deci r que l os di sposi t i vos CE y/ o PE ej ecut en al menos f or mat eo y apl i quen pol t i cas al t r f i co ( shaping y policing) . La necesi dad de apl i car cal i dad de ser vi ci o ocur r e pr i nci pal ment e en l a r ed de acceso al backbone del pr oveedor y no en el i nt er i or del mi smo, de hecho QoS sobr e l as conexi ones PE a PE no son un i nconveni ent e. En cuant o a l a cal i dad de ser vi ci o en el acceso, se pueden di st i ngui r dos enf oques: Desde el CE a t r avs de l a r ed de acceso al PE Desde el PE a t r avs de l a r ed de acceso al CE Los di sposi t i vos CE y PE deber an poder sopor t ar QoS si n i mpor t ar l a t ecnol og a de acceso ya sea de capa 2 o 3: ci r cui t os vi r t ual es ATM y Frame Relay, acceso basado en MPLS, DSL et c. Se pueden di st i ngui r dos model os de ser vi ci o par a QoS: Servicio de administracin del acceso: est e pr ovee QoS sobr e el acceso ent r e CE y l os puer t os del l ado de cl i ent e en el PE. No es r equer i do en el ncl eo del backbone. QoS borde a borde: br i nda QoS sobr e el backbone del pr oveedor , ya sea ent r e par es de di sposi t i vos CE o par es de PE, dependi endo de l os l mi t es del t nel . Un acuer do de ni vel de ser vi ci o SLA ( Service Level Agreement) es una document aci n donde se expr esan l os r esul t ados de una negoci aci n ent r e un cl i ent e y un pr oveedor de ser vi ci os. En est e document o se especi f i can l os ni vel es de di sponi bi l i dad, per f omance, ni vel de ser vi ci o, f or ma de oper aci n y ot r os at r i but os del ser vi ci o. A par t i r de un SLA se pueden det er mi nar obj et i vos de ni vel de ser vi ci o o SLO ( Service Level Objective) , consi der ando mt r i cas i ndi vi dual es con l os val or es deseados e i nf or maci n oper aci onal par a cont r ol ar el SLA. Est as se pueden i mpl ement ar se como pol t i cas.
8 RFC 1633 - Integrated Services; RFC 2475 - Differentiated Service VPNs de Acceso Remot o 28 Una especi f i caci n de ni vel de ser vi ci o o SLS ( Service Level Specification) engl oba a l as dos ant er i or es, es deci r especi f i ca un acuer do negoci ado y l as mt r i cas i ndi vi dual es y dat os oper aci onal es, par a gar ant i zar l a cal i dad de ser vi ci o del t r f i co de r ed par a ese cl i ent e. Una SLS puede def i ni r se sobr e l a base de l os si gui ent es obj et i vos y par met r os, l os cual es se pueden consi der ar sobr e l a base de conexi ones a l a r ed de acceso, VPNs o si t i os: Di sponi bi l i dad del si t i o, VPN o conexi n de acceso. Dur aci n de l os i nt er val os de no di sponi bi l i dad del ser vi ci o. Ti empo de act i vaci n del ser vi ci o. Ti empo de r espuest a par a l a r esol uci n de un pr obl ema. Ti empo de avi so de un i nconveni ent e. Li mi t es par a l a var i aci n del delay y jitter. El si st ema de admi ni st r aci n y moni t or eo del pr oveedor deber medi r y gener ar r epor t es r espect o si l as per f omance medi da cumpl e o no l os obj et i vos de l a SLS. Muchas veces el ni vel gar ant i zado par a l os par met r os de l os obj et i vos de ni vel de ser vi ci o, dependen del al cance de l a VPN, por ej empl o ci er t os ni vel es pueden ser gar ant i zados en el mbi t o de un sol o si st ema aut nomo, mi ent r as que ot r o, an ms est r i ct o, se puede cumpl i r en un domi ni o de un ni co pr oveedor per o con var i os si st emas aut nomos baj o su car go. En un escenar i o mul t i pr oveedor es ms di f ci l cumpl i r con aquel l os par met r os que r equi er an un al t o gr ado de cumpl i mi ent o, por ej empl o el r equer i mi ent o de QoS. VPNs de Acceso Remot o 29
CAP TULO 2 ARQUI TECTURAS, CLASI FI CACI N Y PROTOCOLOS 2 VPNs de Acceso Remot o 30 2.1 INTRODUCCIN A LAS ARQUITECTURAS DE VPN Las di st i nt as i nf r aest r uct ur as de r ed y l os di st i nt os r equer i mi ent os exi gen di ver sos t i pos de ar qui t ect ur a de r edes VPNs. Deber amos r eal i zar nos ci er t os cuest i onami ent os par a escoger cual es l a que mej or se adapt a a nuest r as necesi dades. Podr amos menci onar l os si gui ent es: Se posee con el per sonal cal i f i cado como par a i mpl ement ar l as t ecnol og as necesar i as o l as sol uci ones exi st ent es en el mer cado pr opor ci onadas por un pr oveedor pueden ser una mej or sol uci n? Cual es l a i nt er oper at i vi dad de l a ar qui t ect ur a con nuest r a i nf r aest r uct ur a de r ed act ual ? Es r equi si t o i ndi spensabl e comuni car nos con l os cl i ent es y/ o pr oveedor es? Ser f ci l ment e act ual i zabl e par a nuest r os f ut ur os r equer i mi ent os en cuant o a escal abi l i dad, segur i dad, f aci l i dad de act ual i zaci n y f l exi bi l i dad? Sopor t a conf er enci a en r ed y mul t i medi a? El equi po act ual sopor t ar a l a car ga nueva del pr ocesami ent o de l a VPN o t endr que adqui r i r har dwar e? Los ahor r os son el ni co pr opsi t o o qui er o i mpl ement ar ser vi ci os con val or agr egado? Cunt os usuar i os t endr an en l a act ual i dad y cual ser i a su cr eci mi ent o f ut ur o? Al contestar est as pr egunt as y al gunas que puedan sur gi r al cuest i onar se cul es son sus obj et i vos se podr empezar a l i mi t ar l as di st i nt as sol uci ones que podr i mpl ement ar y mant ener con el t r anscur so del paso del t i empo. VPNs de Acceso Remot o 31 2.1.1 Componentes de una Red Privada Virtual Los component es que f or man una Red Pr i vada Vi r t ual se pueden obser var en l a Fi gur a 2- 1
Figura 2-1 Componentes Una sol uci n de VPN se compone de var i os el ement os, l os cual es se det al l an a cont i nuaci n: 2.1.2 Hardware El har dwar e es muy var i ado, l o i nt egr an ser vi dor es, PC y notebooks, netbooks, routers, gateways y switches. Las f unci ones que t i enen asi gnadas el ser vi dor son: Esper ar por l os pedi dos de conexi n Negoci ar l as conexi ones, ent r e ot r os l a encr i pt aci n y aut ent i caci n. Aut ent i car y aut or i zar a l os cl i ent es VPN. Reci bi r dat os del cl i ent e y envi ar l e l os pedi dos por l . Tambi n puede act uar como VPN gateway o VPN router. El cl i ent e gener al ment e se ej ecut a en un equi po de un empl eado en su hogar ( t el e t r abaj o) , en una notebook, netbook o palmtops en al gn si t i o usando Internet o una r ed pbl i ca. Tambi n puede r eal i zar se t ar eas admi ni st r at i vas, en gener al son admi ni st r ador es r emot os que r eal i zan t ar eas de conf i gur aci n, moni t or eo y de gest i n. VPNs de Acceso Remot o 32 Par a t ener un mej or r endi mi ent o se r ecomi enda ut i l i zar har dwar e espec f i co como pueden ser routers que se encuent r an opt i mi zados par a l as t ar eas de VPN o se puede adi ci onar pl acas a routers exi st ent es par a dot ar l os con l a capaci dad f si ca y l os pr ot ocol os necesar i os par a l a encr i pt aci n y aut ent i caci n. 2.1.3 Seguridad de la infraestructura Const a de al gunos de l os si gui ent es el ement os: Firewall El firewall pr ot ege a l a i nt r anet de at aques ext er nos. En l a Fi gur a 2- 2 se puede obser var l a ubi caci n del f i r ewal l en una or gani zaci n con enl ace a Internet.
Figura 2-2 Firewall NAT Los di sposi t i vos que r eal i zan NAT ( Network Address Translation) per mi t en conect an di sposi t i vos a ot r a r ed si n dar a conocer l as ver dader as I P de l os equi pos. Est e mecani smo se basa en el r eempl azo de l a di r ecci n I P or i gen o dest i no r eal por ot r as di r ecci ones I P. Est o per mi t e economi zar di r ecci ones I P, al r eempl azar var i as di r ecci ones I P pr i vadas de or i gen por una ni ca di r ecci n I P pbl i ca asoci ada a l a conexi n a Internet. En l a act ual i dad est e mecani smo se encuent r a i mpl ement ado por def ect o en l os routers. Servidores de autenticacin Los ser vi dor es de aut ent i caci n of r ecen mecani smos de aut ent i caci n y aut or i zaci n par a aut ent i caci n r emot a. Est os pueden per t enecer a l a or gani zaci n o puede ser un ser vi ci o dado por el pr oveedor j unt o con el NAS. La Fi gur a 2- 3 descr i be est as dos opci ones en el mi smo gr af i co.
VPNs de Acceso Remot o 33
Figura 2-3 Servidores de Autenticacin Arquitectura AAA AAA ( Authentication Authorization Accounting) es un mecani smo de aut ent i caci n y aut or i zaci n, puede ser i mpl ement ado medi ant e l os pr ot ocol os RADI US ( Remote Authentication Dial-In User Server) o TACACS ( Terminal Access Controller Access Control System) con el obj et i vo de br i ndar un ni vel ms de segur i dad. Ti ene l a capaci dad de r econocer qui en accede a l a r ed, y saber a que r ecur sos puede acceder y puede moni t or ear qui en r eal i za que cosas en que l ugar . El mecani smo AAA f unci ona en conj unt o con el ser vi dor NAS que act a como proxy. Est e consul t a al ser vi dor RADI US/ TACACS y per mi t e o deni ega el acceso segn cor r esponda. 2.1.4 Infraestructura de soporte para el servicio del proveedor I ncl uye l os di sposi t i vos que componen el backbone y el backbone de Internet. El backbone del pr oveedor deber a ser capaz de dar sopor t e a di st i nt as t ecnol og as como Frame Relay, ATM, I P, I P Mul t i cast , Voice over I P y t ambi n pr ot ocol os de t nel . Ser a r ecomendabl e que sopor t e cal i dad de ser vi ci o. Par a que br i nde al t os ni vel es de segur i dad t endr a que sopor t ar I PSec y br i ndar ser vi ci o AAA. Ser a r ecomendabl e el sopor t e de pr ot ocol os de enr ut ami ent o como RI P ( Routing Information Protocol) , OSPF ( Open Shortest Path First) , EGP ( Exterior Gateway Protocol) y BGP ( Border Gateway Protocol) . 2.1.5 Redes Pblicas Las r edes pbl i cas que podemos menci onar son Internet y l a r ed t el ef ni ca di gi t al que per mi t e br i ndar el ser vi ci o de DSL ( Digital Suscriber Line), FRAME RELAY y ATM y l a anal gi ca que sopor t e vel oci dad de hast a 56Kbps.
VPNs de Acceso Remot o 34 2.1.6 Tneles Est os pueden est ar basados en pr ot ocol os como PPTP, L2TP, L2F e I PSec. En est e cap t ul o y en el si gui ent e se t r at ar n con ms det al l e est os pr ot ocol os. 2.2 ARQUITECTURAS Exi st en muchas f or mas de combi nar l os di st i nt os el ement os que componen una VPN. Est o or i gi na que exi st an di st i nt as ar qui t ect ur as que se cl asi f i can de l a si gui ent e maner a: 2.2.1 Basadas en software Es un pr ogr ama par a est abl ecer t nel es o ci f r ado a ot r o anf i t r i n. En el caso de no r esi di r en el firewall, se debe conf i gur ar est e par a que per mi t a l a comuni caci n haci a y desde el ext er i or al equi po en que r esi da el software. Est e software puede ser abi er t o ( Open Source) o pr opi et ar i o. La desvent aj a que posee el pr opi et ar i o es que el pr oveedor puede desapar ecer o ser adqui r i do por ot r a empr esa y se dej a de pr oduci r act ual i zaci ones de segur i dad o de agr egado de f unci onal i dad. El Open Source t i ene l a vent aj a de su cost o de adqui si ci n, per o puede ser necesar i o t ener per sonal capaci t ado o r eal i zar un cont r at o anual par a t ener sopor t e con al gn pr oveedor . 2.2.2 Basadas en la Implementacin Dependen de qui en es el r esponsabl e de l a i mpl ement aci n de l a VPN y su admi ni st r aci n. Exi st en dos cat egor as y una t er cer a que es una combi naci n de l as ot r as dos. Dependiente El pr oveedor del ser vi ci o es el r esponsabl e de pr oveer una sol uci n l l ave en mano. La pr i nci pal vent aj a es que l a or gani zaci n no debe cambi ar su i nf r aest r uct ur a y no necesi t a per sonal con conoci mi ent os en admi ni st r aci n de VPN par a su gest i n. La mayor desvent aj a sur ge en el mbi t o de l a segur i dad. Es r ecomendabl e que l a or gani zaci n use una i nf r aest r uct ur a AAA y firewall y est ar a car go de su admi ni st r aci n. Independiente En est a cat egor a t oda l a r esponsabi l i dad de l a i mpl ement aci n es de l a or gani zaci n. La encr i pt aci n, aut ent i caci n y aut or i zaci n est a dada por el ement os de l a pr opi a I nt r anet . El pr oveedor puede dar el ser vi ci o de Internet. Como desvent aj a se puede menci onar que se debe poseer per sonal capaci t ado en est as t ecnol og as
VPNs de Acceso Remot o 35 Hbrida Est a cat egor a es una combi naci n de l as cat egor as ant er i or ment e menci onadas. Una par t e de l a admi ni st r aci n es r eal i zada por l a or gani zaci n y ot r a por el pr oveedor . Una ar qui t ect ur a que se puede t ener en cuent a es l a que muest r a l a Fi gur a 2- 4 en l a que se puede obser var que exi st en var i os pr oveedor es de ser vi ci os. La vent aj a es que si exi st e pr obl emas con un pr oveedor se puede segui r conect ado a l os si t i os que sean admi ni st r ados por l os ot r os pr oveedor es. Pr ovee una mej or di sponi bi l i dad. Est e acer cami ent o t i ene l a desvent aj a de que es compl ej a l a admi ni st r aci n.
Figura 2-4 Basada en la Implementacin (Hibrida) 2.2.3 Basada en Seguridad Se podr an menci onar cuat r o cat egor as: Router a Router Fi r ewal l a f i r ewal l Tnel es baj o demanda Tnel es Mul t i pr ot ocol o baj o demanda Router a Router Tneles bajo demanda: El t nel es est abl eci do ent r e dos routers que se encuent r an en l a conexi n en el l ado del cl i ent e y en el l ado del ser vi dor . Puede sopor t ar ml t i pl es conexi ones si mul t neament e y per si st en hast a que l a l t i ma conexi n es t er mi nada. Los routers deben sopor t ar i nt er cambi o de cl aves y al gor i t mos de encr i pt aci n. La Fi gur a 2- 5 muest r a como se r el aci onan l os component es baj o est a ar qui t ect ur a. VPNs de Acceso Remot o 36
Figura 2-5 Tneles bajo demanda (Router a Router) Tneles multiprotocolo bajo demanda: Es si mi l ar a routers baj o demanda con l a par t i cul ar i dad que l os routers sopor t an var i os pr ot ocol os de t nel . Ti ene l a par t i cul ar i dad de que pueden t r ansf er i r dat os no- I P a t r avs de l a r ed pbl i ca. Sesiones encriptadas bajo demanda: Cada sesi n es encr i pt ada en f or ma i ndi vi dual . Ti ene un t nel di st i nt o par a cada pedi do ent r e l os routers como gr af i ca l a Fi gur a 2- 6. La desvent aj a es que est o gener a una gr an sobr ecar ga.
Figura 2-6 Sesiones encriptadas bajo demanda Firewall a Firewall Const a de t nel es baj o demanda y t nel es mul t i pr ot ocol o baj o demanda. A cont i nuaci n dar emos un br eve det al l e. Tneles bajo demanda Es si mi l ar a router a router con t nel baj o demanda, con l a par t i cul ar i dad que se r eempl azan l os routers por f i r ewal l s. Es ms segur o y per mi t e que se puedan i mpl ement ar audi t or i as mas compl ej as. VPNs de Acceso Remot o 37
Figura 2-7 Tneles bajo demanda (Firewall a Firewall) Tneles multiprotocolo bajo demanda Gener al ment e se ut i l i zan L2TP asegur ado con I PSec gr aci as a su car act er st i ca mul t i pr ot ocol o.
2.2.4 Iniciadas por el cliente Cliente a Firewall/Router Se negoci a l a sesi n ent r e el cl i ent e y el firewall/router. st e debe sopor t ar el pedi do del cl i ent e de i ni ci o de sesi n. El cl i ent e debe poder comuni car se con el si st ema oper at i vo cor r espondi ent e. Cliente a Server El ser vi dor VPN se encuent r a dent r o de l a i nt r anet cor por at i va, en vez de cumpl i r l as f unci ones de ser vi dor VPN y firewall/Router. Es ms segur o que el ant er i or por que el pr oveedor de ser vi ci os i gnor a l a exi st enci a del t nel . 2.2.5 Dirigidas Los dat os son encr i pt ados en el capa 5 del Model o OSI . Es deci r en l a capa de sesi n. El pr ot ocol o ms ut i l i zado en socks 5. Los t nel es son uni di r ecci onal es. El cont r ol de acceso puede ut i l i zar el i dent i f i cador del usuar i o, hor a, apl i caci n y hast a el cont eni do del paquet e. La capa de sesi n sopor t a una mayor var i edad de mecani smos de encr i pt aci n. La Fi gur a 2- 8 muest r a l a di st r i buci n de l os component es. 2.2.6 Basado en la capa Depende en que capa del model o OSI se encuent r a conf i gur ada l a Red Pr i vada Vi r t ual . Puede ser en l a capa de r ed o l a capa de enl ace. VPNs de Acceso Remot o 38
Figura 2-8 Dirigida Capa de Enlace Se pueden di vi di r en: Conexi n Frame Relay: La pr i nci pal vent aj a es que pr ovee el CI R ( Committed Information Rate) . Conexi ones vi r t ual es ATM. Mul t i Pr ot ocol o sobr e ATM ( MPOA) MPLS Capa de Red Est os model os ya f uer on expl i cados cuando se desar r ol l o el t ema de l a Cl asi f i caci n de VPNs en el cap t ul o ant er i or . Por l o t ant o sol o l as menci onar emos. Un t i po son l as Redes Pr i vadas t i po Peer y el ot r o son l as Redes Pr i vadas t i po Overlay. En est e ni vel se pueden usar l os pr ot ocol os de capa 2 PPTP y L2TP. Tambi n se puede ut i l i zar I PSec. 2.2.7 Basada en Clases Est as ar qui t ect ur as se basan en l a compl ej i dad de l a conf i gur aci n de l a VPN y del t amao. Exi st en 5 cl ases que van de l a 0 a l a 4. Fue pr opuest a por VPN Technol ogi es. En l a Tabl a 2- 1, podr emos obser var l as cl ases y sus car act er st i cas.
VPNs de Acceso Remot o 39 2.2.8 Basada en Caja Negra Consi st e en un di sposi t i vo que cont i ene software de ci f r ado que se ej ecut a en un equi po del cl i ent e. Se pr esupone que est os di sposi t i vos de har dwar e cr ean t nel es ms r pi dos baj o demanda y ej ecut an el pr oceso de ci f r ado con mayor r api dez. Of r ecen una admi ni st r aci n cent r al i zada. Es aconsej abl e que sopor t en l os pr ot ocol os par a est abl eci mi ent o de t nel es PPTP, L2TP e I PSec. En gener al est e di sposi t i vo se encuent r a det r s del firewall. 2.2.9 Basada en Acceso Remoto En est a ar qui t ect ur a exi st e un software que se ej ecut a en un equi po r emot o que qui er e est abl ecer una conexi n a t r avs de una r ed pbl i ca con un t nel ci f r ado al ser vi dor i nt er no de l a or gani zaci n o de una l nea de acceso t el ef ni ca haci a un ser vi dor de aut ent i caci n. El ser vi dor puede ser un router, un firewall, una caj a negr a o un ser vi dor de aut ent i caci n i ndependi ent e. 2.2.10 VPN mltiple servicios Son apl i caci ones mul t i ser vi ci os que son gener adas por pr oveedor es. Por ej empl o pueden dar el ser vi ci o de f i l t r ado de cont eni do web y l a r evi si n ant i vi r us. El pr i mer o se suel e aadi r a un firewall par a que pueda ut i l i zar r egl as par a el acceso basado en el cont eni do. VPNs de Acceso Remot o 40
Clase N Software Protocolos Utilizados Seguridad Acceso Caractersticas 0 Como m ni mo si st ema oper at i vo Wi ndows 95/ 98 PPTP Fi l t r ado de paquet es of r eci do por un Gateway, f i r ewal l o router DSL T1 No sopor t a si t i o a si t i o 1 I PSec DES I KE
Al gn mecani smo de Aut ent i caci n de Usuar i os 1 Gateway T1 T3 Sopor t a: 20 sucur sal es 250 usuar i os r emot os Sopor t a si t i o a si t i o y acceso r emot o Par a poder i mpl ement ar una ext r anet est a debe sopor t ar I PSec 2 Sof t de mar caci n y de acceso r emot o. I PSec 3DES I KE
Ut i l i za Token 5 VPN Gateway o 1 gateway que sopor t e 500 usuar i os concur r ent es AAA, RADI US, TACACS, NAT y f i r ewal l Sopor t a: 10 a 100 si t i os r emot os 500 usuar i os r emot os si t i o a si t i o y acceso r emot o 3 Sof t de mar caci n y de acceso r emot o X. 500 LDAP I PSec 3DES I KE
Token y smar t car ds 20 VPN Gateway o 1 gateway que sopor t e 1000 sesi ones si mul t aneas AAA, RADI US, TACACS, NAT y f i r ewal l Ser vi ci o de cer t i f i cados pr opi o Es necesar i o cal i dad de ser vi ci o en cuant o a r et ar do I SDN Xdsl T1 T3 Sopor t a: Ci ent os de si t i os r emot os y mi l es de usuar i os r emot os Ext r anet usuar i os r emot os y si t i o a si t i o Vi deoconf er enci a Ti ene l a desvent aj a que es compl ej a l a admi ni st r aci n, conf i gur aci n e i mpl ement aci n 4 Sof t de mar caci n y de acceso r emot o LDAP I PSec 3DES I KE
Token y smar t car ds 10 a 20 gateway o 1 que sopor t e 5000 conexi ones si mul t aneas AAA, RADI US, TACACS, NAT y f i r ewal l Ser vi ci o de cer t i f i cados pr opi o I SDN Xdl s T3 OC3 Sopor t a: Mi l es de si t i os r emot os 10000 usuar i os r emot os Ext r anet , si t i o a si t i o, usuar i os r emot os Comer ci o el ect r ni co Audi o y vi deo en t i empo r eal Posee l a desvent aj a que necesi t a pr of esi onal es al t ament e capaci t ados Tabla 2-1 VPNs basadas en Clases VPNs de Acceso Remot o 41 2.3 PROTOCOLOS DE TNEL Un pr ot ocol o de t nel es un mecani smo par a encapsul ar un PDU 9
denomi nado de car ga o nat i vo. Se agr ega un encabezado al PDU de car ga pr opi o del pr ot ocol o de t nel . Fi nal ment e est e nuevo PDU se debe ent r egar a su dest i no f i nal medi ant e un pr ot ocol o de t r anspor t e o env o, por l o que es necesar i o agr egar el encabezado cor r espondi ent e a est e l t i mo. Est a cl ase de pr ot ocol os se ut i l i zan par a el env o de dat os de un det er mi nado pr ot ocol o a t r avs de una r ed que sopor t a uno di f er ent e o i ncompat i bl e. Tambi n se usan cuando es necesar i o asegur ar l os dat os de car ga medi ant e al gn mt odo de encr i pt aci n. Ot r o uso ext endi do es r esol ver pr obl emas de espaci o de di r ecci ones par a l os dat os a t r ansmi t i r , por ej empl o cuando medi ant e el uso de un espaci o de di r ecci onami ent o pbl i co se env an paquet es con di r ecci ones pr i vadas.
Figura 2-9 Funcionamiento de un Tnel Un t nel es un medi o par a r eenvi ar dat os a t r avs de una r ed desde un nodo a ot r o, como si ambos est uvi er an conect ados en f or ma di r ect a. Luego de l os encapsul ami ent os, el PDU r esul t ant e es r eenvi ado por nodos i nt er medi os basados en l a i nf or maci n del encabezado ext er no si n t ener en cuent a el cont eni do or i gi nal del paquet e. La Fi gur a 2- 9, muest r a dos nodos A y B que se comuni can medi ant e el t nel ent r e l os nodos Wy Z. Est os l t i mos se denomi nan nodos de i ngr eso y de egr eso r espect i vament e. Los dat os or i gi nal es ent r e A y B son modi f i cados agr egndol es un encabezado que per mi t e r eenvi ar l os a t r avs del t nel . Los nodos i nt er medi os X e Y sol o par t i ci pan del pr oceso de t r anspor t e, per o no t i enen acceso a l a i nf or maci n or i gi nal pr opi a de l a comuni caci n ent r e A y B. Cuando el paquet e l l ega al ext r emo f i nal o nodo de egr eso Z, del t nel , est e l e saca el encabezado ext er i or y r eenv a el paquet e al dest i no r eal , el nodo B. La ut i l i zaci n de t nel es per mi t e l a separ aci n del t r f i co de dat os de var i as VPNs y del t r f i co cor r espondi ent e a l a r ed del pr oveedor o de Internet. Est o si gni f i ca que el espaci o de di r ecci ones ut i l i zado por l os di sposi t i vos i nvol ucr ados en l a VPN f or ma par t e de l os dat os que se env an por l os t nel es si n modi f i caci n, an si se usa Internet par a su t r anspor t e.
9 Unidad de datos de protocolo VPNs de Acceso Remot o 42 2.3.1 Requerimientos de un Tnel Exi st en r equer i mi ent os deseabl es en l os mecani smos de t nel , per o no t odos l os pr ot ocol os exi st ent es cumpl en con t odos el l os. Est os son 10 : Mul t i pl exaci n Pr ot ocol o de seal i zaci n Segur i dad de l os dat os Tr anspor t e mul t i pr ot ocol o Secuenci aci n de t r amas Mant eni mi ent o Manej o de gr andes MTU Sobr ecar ga m ni ma Cont r ol de congest i n y f l uj o Manej o de t r f i co y Cal i dad de ser vi ci o ( QoS) Multiplexacin Est o per mi t e el ani dami ent o de t nel es, es deci r que puedan exi st i r ml t i pl es t nel es VPN ent r e dos ext r emos que han est abl eci do un ni co t nel pr i nci pal , est o i mpl i ca que cada ext r emo del mi smo puede sopor t ar var i os cl i ent es o VPNs. El t r f i co de cada uno se mant endr separ ado del ot r o a t r avs de l a exi st enci a de un campo de mul t i pl exi n en l os paquet es t r ansmi t i dos par a di st i ngui r l a per t enenci a a un det er mi nado t nel . Compar t i r un t nel de est a f or ma, di smi nuye l a demor a y el pr ocesami ent o asoci ado al est abl eci mi ent o del mi smo. Est a car act er st i ca r epr esent a una vent aj a ant e l os pr obl emas de escal abi l i dad par a un pr oveedor de ser vi ci os VPN ya que sol o t i ene que mant ener una est r uct ur a de t nel es de menor enver gadur a.
Figura 2-10 Multiplexacin de Tneles
10 RFC 2764 A framework for IP Based VPN VPNs de Acceso Remot o 43 Protocolo de sealizacin Pr evi o al est abl eci mi ent o de un t nel , se deben conf i gur ar una ser i e de par met r os que deben ser acor dados por l os ext r emos par t i ci pant es, por ej empl o l a di r ecci n de l os ext r emos, el ni vel de segur i dad r equer i do, et c. Fi nal ment e el t nel se puede est abl ecer . Todo est o es posi bl e por v a manual o en f or ma di nmi ca medi ant e el uso de un pr ot ocol o de seal i zaci n. La ut i l i zaci n de un pr ot ocol o de seal i zaci n, f aci l i t a l a t ar ea de admi ni st r aci n del t nel , t ant o su cr eaci n, di st r i buci n y manej o de par met r os o at r i but os asoci ados al mi smo, mas an cuando l a VPN a l a cual per t enece el o l os t nel es abar ca ms de un domi ni o admi ni st r at i vo. En est e caso si mpl i f i ca l a coor di naci n de l a admi ni st r aci n. Tambi n per mi t e que l os t nel es puedan ser cr eados baj o demanda, cuando l os nodos que l os const i t uyen son mvi l es o r equi er en est ar i nt er conect ados en f or ma t r ansi t or i a. Es i mpor t ant e que el pr ot ocol o per mi t a el t r anspor t e de un i dent i f i cador VPN par a asoci ar est a con el t nel r esul t ant e. El r ol de est e pr ot ocol o deber a ser negoci ar l os at r i but os del t nel y no t r anspor t ar i nf or maci n acer ca de como ut i l i zar el mi smo. Seguridad de los datos Un pr ot ocol o de t nel debe sopor t ar mecani smos que per mi t an var i os ni vel es de segur i dad. Est o si gni f i ca i ncl ui r mt odos de encr i pt aci n y aut ent i caci n de di ver sas f or t al ezas. La segur i dad de l os dat os de l a VPN en gener al no depende ni cament e de l as capaci dades r equer i das del t nel r eci n menci onadas. Es i mpor t ant e consi der ar ot r os mecani smos, como por ej empl o el manej o de var i as i nst anci as vi r t ual es de t abl as de enr ut ami ent o y r eenv o. Cada par ( enr ut ami ent o y r eenv o) est ar n asoci adas a una VPN. Un mi smo di sposi t i vo en el ext r emo de un t nel , podr manej ar var i as i nst anci as por l o t ant o var i as VPNs. Est o evi t a el enr ut ami ent o por er r or del t r f i co de una VPN haci a ot r a, asegur ando de est a maner a l a separ aci n de l os f l uj os de dat os. Ot r a medi da de segur i dad puede ser l a aut ent i caci n de l os ext r emos del t nel medi ant e el uso del pr ot ocol o de seal i zaci n pr evi o a su cr eaci n. Transporte Multiprotocolo Muchas apl i caci ones de VPN r equi er en l a t r ansmi si n de t r f i co mul t i pr ot ocol o, por l o t ant o el pr ot ocol o de t nel deber a sopor t ar su t r anspor t e. Debe exi st i r al guna f or ma de i dent i f i car el t i po de pr ot ocol o que est a si endo envi ado por el t nel . No t odos l os pr ot ocol os de t nel sopor t an est a car act er st i ca, par a est os exi st en ext ensi ones que l o posi bi l i t an. Ot r os poseen campos espec f i cos par a est a seal i zaci n. Secuenciacin de Tramas La secuenci aci n podr a ser necesar i a par a una oper aci n ext r emo a ext r emo ef i ci ent e de al gn pr ot ocol o de t nel o apl i caci n en par t i cul ar . Par a est o es necesar i o un campo de secuenci a en el di seo del pr ot ocol o, par a gar ant i zar l a ent r ega en or den de l os paquet es.
VPNs de Acceso Remot o 44 Mantenimiento Est e r equer i mi ent o i mpl i ca que l os ext r emos moni t or een el est ado del t nel par a det er mi nar si se pi er de o no l a conect i vi dad y t omar l as medi das adecuadas en caso de cor t e o f al l a de l a mi sma. Las f or mas de r eal i zar est e moni t or eo pueden ser dos: a t r avs del pr ot ocol o en si , ej ecut ando un chequeo en banda en f or ma per i di ca y en caso de pr di da de conexi n i ndi car expl ci t ament e el pr obl ema. La ot r a f or ma es medi ant e mecani smos f uer a de banda, por ej empl o el uso de pr ot ocol os de enr ut ami ent o apl i cados a una mal l a de t nel es ( RI P, OSPF) , l o cual per mi t e det ect ar cual qui er f al l a en f or ma aut omt i ca. Ot r a her r ami ent a es el uso del pr ot ocol o I CMP a t r avs de mensaj es de sol i ci t ud de eco par a moni t or ear el est ado del t nel . Manejo de Grandes MTU Teni endo en cuent a l os di sposi t i vos i nt er medi os que r eenv an el t r f i co del t nel , es posi bl e que al guno de el l os manej e un val or de Mxi ma Uni dad de Tr ansf er enci a o MTU menor al val or manej ado desde el ext r emo de i ngr eso al t nel . En est e caso, es necesar i a al guna cl ase de f r agment aci n. Est o t r aer a i nconveni ent es de per f omance en el nodo donde sucede l a f r agment aci n, di smi nuyendo l a ef i caci a gener al . Par a evi t ar est e i nconveni ent e, el pr ot ocol o de t nel puede i ncor por ar capaci dad de segment aci n y ensambl ado haci endo uso del nmer o de secuenci a y al guna cl ase de mar cador de f i n de mensaj e. Sobrecarga Mnima Es i mpor t ant e est e aspect o y ms cuando se t r anspor t a t r f i co de dat os sensi bl e a l a demor a o al def asaj e t empor al , como l o es el t r f i co de voz y vi deo. Lo que se per si gue con est e r equer i mi ent o es evi t ar el pr ocesami ent o i nnecesar i o en l os di sposi t i vos que est abl ecen el t nel . Los mecani smos de ci f r ado y encr i pt aci n i mponen una sobr ecar ga. Por l o t ant o se deber a mi ni mi zar l a sobr ecar ga u overhead t omando en cuent a l a necesi dad de apl i car segur i dad a l os dat os. En gener al el obj et i vo deber a ser mi ni mi zar el over head al r ededor de l a necesi dad de segur i dad del t r f i co de dat os. Cuando se i mpl ement an l as VPN dial-up, o de acceso r emot o di scado, medi ant e el uso de t nel es vol unt ar i os, exi st e l a posi bi l i dad de sobr ecar ga si gni f i cant e si se ut i l i zan enl aces de poco ancho de banda. Control de Congestin y Flujo Exi st en pr ot ocol os de t nel , como L2TP, que i ncor por an pr ocedi mi ent os par a el cont r ol de f l uj o y congest i n. Est os f uer on pensados par a mej or ar l a per f omance de l a t r ansmi si n cuando se ut i l i zaban r edes que pod an gener ar pr di das de paquet es con l a compr esi n PPP. Ot r a r azn er a cr ear un buf f er al moment o de ut i l i zar l neas con menor capaci dad de t r ansf er enci a. Fi nal ment e est os esquemas se apl i car on a l os canal es de cont r ol en l ugar de apl i car l os al t r f i co de dat os. En gener al no est cl ar o si es conveni ent e i ncor por ar est as car act er st i cas en el di seo de l os pr ot ocol os de t nel , en gr an medi da por el hecho de l a pr edomi nanci a del t r f i co TCP y el hecho de que TCP posee sus pr opi os y ef i ci ent es mecani smos ext r emos a ext r emo de cont r ol de f l uj o y congest i n. VPNs de Acceso Remot o 45 Manejo de Trfico y QoS Los usuar i os de un ser vi ci o de VPN, podr an desear car act er st i cas de Cal i dad de Ser vi ci o como sucede con l os dems ser vi ci os WAN. Par a el caso de l as VPN, l ogr ar apl i car QoS va a depender de l as car act er st i cas de manej o de t r f i co que puedan ef ect uar l os nodos i nvol ucr ados en l a VPN y de l a r ed de acceso o backbone donde se i mpl ement e. 2.4 PROTOCOLOS DE TNEL CAPA 2 Los t nel es mas usual es son l os i mpl ement ados en l a capa 2 o capa enl ace del model o OSI . Ent r e el l os podemos menci onar Point to Point Tunneling Protocol ( PPTP) , Layer 2 Forwarding ( L2F) y Layer 2 Tunneling Protocol ( L2TP) . Los pr ot ocol os de est a capa se basan en ot r o pr ot ocol o denomi nado Point to Point Protocol ( PPP) , por l o que comenzar emos expl i cando est e pr ot ocol o. 2.4.1 Point to Point Protocol (PPP) Es un pr ot ocol o par a encapsul ar que per mi t e t r ansmi t i r a t r avs de una l nea ser i e. Est e r equi er e una conexi n full-duplex y puede ser si ncr ni co o asi ncr ni co. Puede encapsul ar I P o no I P a t r avs de l neas ser i es. Las f unci ones que r eal i za son admi ni st r ar l as di r ecci ones I P del t r af i co no I P. Conf i gur a y r eal i za l as pr uebas necesar i as par a est abl ecer el enl ace, encapsul a l os dat agr amas y r eal i za l a det ecci n de er r or es dur ant e l a t r ansmi si n. Tambi n r eal i za l a mul t i pl exaci n de l os pr ot ocol os de capa 2 y r enegoci a par met r os como l a compr esi n de l os dat os t r ansmi t i dos. Par a r eal i zar est as f unci ones se basa en LCP ( Link Control Protocol) par a est abl ecer , conf i gur ar y pr obar l as conexi ones punt o a punt o y NCP ( Network Control Protocol) par a est abl ecer y conf i gur ar var i os pr ot ocol os de l a capa de r ed y par a det ect ar er r or es dur ant e l a t r ansmi si n. Funciones de LCP 11
Real i za l as si gui ent es f unci ones: Ayuda a est abl ecer el enl ace PPP. Conf i gur a y est abl ece el enl ace par a sat i sf acer l os r equer i mi ent os de comuni caci n de l as par t es. Real i za l as t ar eas necesar i as par a mant ener el enl ace. Da por f i nal i zado el enl ace cuando se t er mi na el i nt er cambi o de dat os ent r e l as par t es.
11 RFC 1661- The Point-to-Point Protocol (PPP) VPNs de Acceso Remot o 46 2.4.2 Point to Point Tunneling Protocol (PPTP) El pr ot ocol o punt o a punt o ( PPTP) se cr e par a per mi t i r a usuar i os r emot os conect ar se a su pr oveedor y est abl ecer un t nel al ser vi dor de l a or gani zaci n. Per mi t e r eal i zar una conexi n por mar caci n y sopor t a pr ot ocol os que no sean I P. PPTP es una ext ensi n de PPP y por l o t ant o no sopor t a ml t i pl es conexi ones. PPTP es el encar gado de est abl ecer y t er mi nar l as conexi ones f si cas ent r e l as par t es, aut ent i car l os cl i ent es PPTP, encr i pt ar dat agr amas de pr ot ocol os no I P e I P par a cr ear dat agr amas PPP y asegur ar el i nt er cambi o de i nf or maci n ent r e l as par t es. Est o se puede obser var en l a Fi gur a 2- 11.
Figura 2-11 Funciones del Protocolo PPP en PPTP En l a f i gur a podemos ver l os el ement os i nvol ucr ados en una t r ansacci n PPTP. Exi st e un cl i ent e, el cual es el que i ni ci a l a t r ansacci n a t r avs de una conexi n r eal i zada con un modem a t r avs de una mar caci n. Si el NAS del pr oveedor acept a l a comuni caci n ent onces se puede est abl ecer el t nel con el di sposi t i vo VPN a t r avs de l a r ed pbl i ca. En l a Fi gur a 2- 12 podemos obser var l a r el aci n ent r e PPP y PPTP. VPNs de Acceso Remot o 47
Figura 2-12 Componentes en una conexin PPTP El di sposi t i vo NAS debe poder sopor t ar ml t i pl es cl i ent es concur r ent ement e y di st i nt os t i pos de cl i ent e, como por ej empl o cl i ent e WI NDOWS, LI NUX, Appl e, et c. Si se r eal i za dent r o de una r ed l ocal no es necesar i o el di sposi t i vo NAS. El ser vi dor PPTP debe t ener capaci dad de enr ut ami ent o. PPTP ut i l i za el puer t o 1723. Par a det ect ar l a pr di da l a conexi n r eal i za una t r ansmi si n per i di ca de echo ent r e el cl i ent e y el ser vi dor ut i l i zando l a conexi n TCP est abl eci da. Br evement e r esumi r emos como es el pr oceso de t r ansmi si n l os dat os basndonos en l a Fi gur a 2- 13.
Figura 2-13 Encapsulamiento PPTP
Se encapsul a y se encr i pt a l os dat os en un dat agr ama PPP Se encapsul a dent r o de un paquet e GRE Se encapsul a de un paquet e I P. El encabezami ent o cont i ene l a di r ecci n I P de cl i ent e PPTP y l a del ser vi dor dest i no. La capa de enl ace suma un encabezami ent o y una col a, el cual vi aj a a t r avs del t nel est abl eci do. Est o es encapsul ado dent r o del pr ot ocol o de t r ansmi si n que puede ser por ej empl o ethernet o un pr ot ocol o de WAN. El ser vi dor ext r ae en or den i nver so y t er mi na desencr i pt ando l os dat os.
VPNs de Acceso Remot o 48 Par a r eal i zar l a encr i pt aci n y compr esi n se ut i l i za l os ser vi ci os br i ndados por PPP. En cuant o a l a aut ent i caci n se ut i l i za MS- CHAP ( Mi cr osof t Challenge-Handshake Authentication Protocol) o PAP ( Password Authenticaction Protocol) . PPTP per mi t e r eal i zar un f i l t r ado en el ser vi dor acept ando sol ament e l os cl i ent es que f uer on apr obados par a acceder a l a r ed. 2.4.3 Layer 2 Forwarding Protocolo (L2F) 12
Es un pr ot ocol o desar r ol l ado por Ci sco en el ao 1996. El obj et i vo er a per mi t i r que pr ot ocol os no I P pudi er an ut i l i zar se sobr e Internet. El usuar i o hace una conexi n PPP al pr oveedor de mar caci n y se conect an a sus or gani zaci ones a t r avs de L2F.
Figura 2-14 Componentes en el Protocolo L2F L2F pr ovee l a encr i pt aci n de dat os y l a aut ent i caci n ut i l i zando CHAP, EAP ( Extensible Authentication Protocol) y SPAP ( Shiva Password Authentication Protocol) . Tambi n puede empl ear RADI US y TACACS como ser vi ci os adi ci onal es. Como desvent aj as se puede menci onar que est a sol uci n r equi er e un mant eni mi ent o cost oso y son dependi ent es del pr oveedor que debe i mpl ement ar L2F. No pr ovee cont r ol de f l uj o, l o que r esul t a en r et r ansmi si n de t r f i co y pr ovoca una comuni caci n ms l ent a. Es ms l ent o que PPTP debi do al pr oceso de aut ent i caci n y encr i pt aci n. 2.4.4 Layer 2 Tunneling Protocolo (L2TP) 13
En 1998 l as compa as que desar r ol l ar on PPTP y Ci sco que t r abaj con L2F acor dar on una nueva especi f i caci n par a el est abl eci mi ent o de t nel es de ni vel 2 ( L2TP) . Por l o t ant o L2TP combi na PPTP y L2F en una sol a nor ma. I PSec se puede ut i l i zar con L2TP par a poder br i ndar una mayor segur i dad. Se r ecomi enda i mpl ement ar est a conf i gur aci n par a pr ot eger el t r af i co L2TP a t r avs de r edes I P y no I P.
12 RFC 2341 - Cisco Layer Two Forwarding (Protocol) "L2F" 13 RFC 2661 - Layer Two Tunneling Protocol "L2TP" VPNs de Acceso Remot o 49 Las vent aj as que t i ene es que sopor t a mul t i pr ot ocol os y t ecnol og as como por ej empl o I P, ATM, Frame Relay y PPP. No r equi er e i mpl ement aci n de software espec f i co como drivers o sopor t e en el si st ema oper at i vo. Per mi t e que cl i ent es con I P pr i vadas se comuni quen a t r avs de r edes pbl i cas con si t i os r emot os. Y por l t i mo se puede menci onar que l a aut or i zaci n y aut ent i caci n se r eal i zan en un gateway por l o t ant o el pr oveedor no necesi t a i mpl ement ar y mant ener una base de dat os de l os usuar i os r emot os y sus der echos de acceso. Es necesar i o def i ni r ant es, dos component es pr i nci pal es en el f unci onami ent o de L2TP: LAC ( L2TP Access Concentrator) y LNS ( L2TP Network Server) . Un LAC es un di sposi t i vo que es uno de l os ext r emos del t nel L2TP y si endo el LNS el ot r o ext r emo. De hecho un LAC se ubi ca ent r e un cl i ent e r emot o y el LNS r eenvi ando l os paquet es ent r e el l os. La conexi n ent r e el LAC y el si st ema r emot o es medi ant e un enl ace PPP. Un LNS es el ot r o ext r emo del t nel L2TP y r epr esent a l a t er mi naci n l gi ca de l a sesi n PPP que es envi ada por el t nel . Modos de tnel L2TP sopor t a l os modos de t nel obl i gat or i o y vol unt ar i o. En el modo obl i gat or i o Fi gur a 2- 15, el pr oveedor es el encar gado de est abl ecer ent r e el LAC y el LNS el t nel y de val i dar el usuar i o. Par a comuni car se con Internet es necesar i o pasar por gateway de l a i nt r anet cor por at i va, br i ndando una mayor segur i dad.
Figura 2-15 L2TP Tnel obligatorio En el t nel vol unt ar i o Fi gur a 2- 16, el usuar i o r emot o act a de LAC. El t nel es t r anspar ent e par a el pr oveedor como ocur r e con l os t nel es basados en PPTP. VPNs de Acceso Remot o 50 Ent r e l as vent aj as que podemos menci onar est a que es una sol uci n genr i ca, i ndependi ent e de l a pl at af or ma. Puede sopor t ar l a t r ansmi si n a t r avs de enl aces WAN no I P si n l a necesi dad de I P. No se r equi er e conf i gur aci n en el pr oveedor y en el cl i ent e. Per mi t e que l a aut ent i caci n sea r eal i zada por l a or gani zaci n y no por el pr oveedor . Pr ovee cont r ol de f l uj o. Es ms r pi da que L2F. Per mi t e que cl i ent es r emot os con I P pr i vada puedan conect ar se a su or gani zaci n a t r avs de r edes pbl i cas. Se puede ut i l i zar I PSec par a poder br i ndar una mayor segur i dad. Como desvent aj as podemos menci onar que es ms l ent o que PPTP o L2F cuando se ut i l i za I PSec par a aut ent i caci n de cada paquet e y es ms compl ej o de i mpl ement ar que PPTP.
Figura 2-16 L2TP Tnel voluntario Tabla 2-2 Comparativa protocolos Capa 2 Caracterstica PPTP L2F L2TP Sopor t a mul t i pr ot ocol o Si Si Si Sopor t a ml t i pl es conexi ones PPP por t nel No Si Si Sopor t a ml t i pl es conexi ones por t nel No Si Si Modos de Tnel Vol unt ar i o Vol unt ar i o y Obl i gat or i o Vol unt ar i o y Obl i gat or i o Pr ot ocol o de Ent r ega I P/ GRE I P/ UDP I P/ FR I P/ ATM I P/ UDP I P/ FR I P/ ATM Pr ot ocol o de Cont r ol TCP Puer t o 1723 UDP Puer t o 1701 UDP Puer t o 1701 Aut ent i caci n MS- CHAP PAP CHAP PAP SPAP RADI US TACACS CHAP PAP SPAP EAP I PSec TACACS Encr i pt aci n MPPE MPPE I PSec MPPE I PSec ECP VPNs de Acceso Remot o 51 2.5 PROTOCOLOS DE TNEL CAPA 3 En l a si gui ent e secci n se descr i bi r l os pr i nci pal es pr ot ocol os de t nel de capa 3, empezando con I PSec, GRE y f i nal ment e MPLS. Si bi en est e l t i mo no es en si un pr ot ocol o de capa 3, su f unci onami ent o est a muy l i gado al pr ot ocol o de r ed I P. 2.5.1 IP Security Protocol (IPSec) I PSec es una ext ensi n del pr ot ocol o I P que br i nda segur i dad a I P y a l os pr ot ocol os de capa super i or . Fue desar r ol l ado par a el nuevo est ndar de I P ver si n 6 ( I Pv6) y l uego adapt ado par a i mpl ement ar l o en l a ver si n 4 ( I Pv4) .
Figura 2-17 Paquete/Datagrama usando IPSec La Fi gur a 2- 17 muest r a un paquet e con l os encabezados de capa 2 que encapsul an un dat agr ama I P pr ocesado medi ant e I PSec. Se puede obser var el encabezami ent o I PSec post er i or al encabezado I P y un campo Dat os de Aut ent i caci n ( HMAC) como col a del dat agr ama. Como r esul t ado sur ge un nuevo dat agr ama I P con nuevos encabezados. I PSec ut i l i za dos pr ot ocol os di f er ent es par a asegur ar l a aut ent i ci dad, i nt egr i dad y conf i denci al i dad, est os son el pr ot ocol o de Aut ent i caci n de Encabezado AH ( Authentication Header) y el pr ot ocol o de Encapsul ado de Segur i dad de Dat os o ESP ( Encapsulated Security Payload) . I PSec puede pr ot eger t odo el dat agr ama I P o sol ament e l os pr ot ocol os de capa super i or medi ant e l os modos t nel y t r anspor t e. En el pr i mer caso el dat agr ama I P es encapsul ado en f or ma compl et a en ot r o. En el modo t r anspor t e sol o l os dat os del dat agr ama I P or i gi nal es pr ocesada por I PSec, i nser t ando el encabezado AH o ESP ent r e el encabezado I P y l os dat os. Par a asegur ar l a i nt egr i dad del dat agr ama I P, I PSec ut i l i za HMAC 14
( Hash Message Authentication Code) o Cdi go de aut ent i caci n de mensaj es basados en hash, medi ant e al gor i t mos como MD5 y SHA. Lo cal cul a basado en una cl ave secr et a y en el cont eni do del dat agr ama. El HMAC se i ncl uye en el encabezado I PSec. El r ecept or ver i f i ca est e HMAC si t i ene acceso a l a cl ave secr et a.
14 RFC 2104 - HMAC: Keyed-Hashing for Message Authentication VPNs de Acceso Remot o 52 I PSec ut i l i za al gor i t mos de encr i pt aci n si mt r i cos est ndar de el evada f or t al eza como 3DES, AES o Blowfish par a asegur ar l a conf i denci al i dad del t r f i co t r anspor t ado. I PSec pr ot ege l a comuni caci n r espect o de at aques de denegaci n de ser vi ci o o at aques de r epet i ci n, medi ant e el mecani smo de vent ana desl i zant e. Los nmer os de secuenci a de l os paquet es deben est ar dent r o del r ango acept ado por l a vent ana, si no son descar t ados. Par a encapsul ar y desencapsul ar l os paquet es I PSec, l os ext r emos par t i ci pant es necesi t an un mecani smo par a mant ener i nf or maci n como cl aves secr et as, al gor i t mos, di r ecci ones I P ut i l i zadas en l a conexi n et c. Est os par met r os se guar dan en Asoci aci ones de Segur i dad o SA ( Security Association) . Est as a su vez se al macenan en una Base de Dat os o SAD. Cada SA def i ne l os si gui ent es par met r os: Di r ecci ones I P or i gen y dest i no del encabezado I PSec r esul t ant e ( di r ecci ones que coi nci den con l as de l os par es que est abl ecen l a comuni caci n segur a) . El pr ot ocol o I PSec a ut i l i zar ( AH o ESP) . Al gor i t mo y cl aves secr et as a ut i l i zar . SPI (Security Parameter Index) de l a SA. Es un nmer o de 32 bi t s que i dent i f i ca l a SA. Al gunas i mpl ement aci ones de bases de dat os de SA per mi t en, adems, al macenar est os par met r os: Modo I PSec ( t nel o t r anspor t e) . Tamao de l a vent ana desl i zant e. Ti empo de dur aci n de l a SA. Una SA r epr esent a una conexi n uni di r ecci onal . I PSec r equi er e que se def i nan dos SA par a una comuni caci n bi di r ecci onal o full duplex. Las asoci aci ones sol o det er mi nan como pr ot eger el t r f i co. Las Pol t i cas de Segur i dad o SP est abl ecen que t r f i co pr ot eger y cundo. Las SP se al macenan a su vez en una SPD o base de dat os de pol t i cas de segur i dad. Una SP def i ne l os si gui ent es par met r os: Di r ecci ones I P or i gen y dest i no de cada paquet e. En modo t r anspor t e est as di r ecci ones coi nci den con l as I P al macenadas en l a SA. En modo t nel est as podr an di f er i r . Puer t o y pr ot ocol o a pr ot eger . Al gunas i mpl ement aci ones de I PSec no per mi t en est os par met r os, en est os casos se asegur an t odos l os paquet es. La SA a ut i l i zar . La SPD di scr i mi na el t r f i co ent r ant e o sal i ent e, de f or ma t al que puede descar t ar el paquet e en t r nsi t o, i gnor ar l o o apl i car el ser vi ci o de segur i dad de acuer do a l a asoci aci n de segur i dad r el aci onada con esa ent r ada de l a SPD. La SPD debe ser consul t ada dur ant e el pr ocesami ent o de t odo el t r f i co, ent r ant e y sal i ent e. Por est a r azn est a cont endr ent r adas di f er ent es par a uno y ot r o. Adems cada i nt er f az de r ed que es pr ot egi da por I PSec t endr asoci ada sendas bases, de pol t i cas y de asoci aci ones, par a el t r f i co ent r ant e y sal i ent e. VPNs de Acceso Remot o 53 Cada i mpl ement aci n I PSec debe t ener una i nt er f ase admi ni st r at i va que per mi t a a un admi ni st r ador manej ar l a SPD. Dado que cada paquet e ent r ant e o sal i ent e es pr ocesado por I PSec y donde l a SPD especi f i ca l a acci n a ser t omada en cada caso, est a i nt er f az debe per mi t i r al admi ni st r ador est abl ecer el pr ocesami ent o de segur i dad que se apl i car a cada paquet e, medi ant e l a cr eaci n de ent r adas y l a def i ni ci n de l os f i l t r os sel ect or es, adems deber per mi t i r el or denami ent o de l as mi smas. Si l os val or es de un paquet e I P cor r esponden con l os sel ect or es de una ent r ada en l a SPD, ent onces se det er mi na que un paquet e I P est a r el aci onado con l a mi sma y est o di spar a un pr oceso I PSec. A cont i nuaci n se det er mi na si exi st e una Asoci aci n de Segur i dad ( SA) par a l a ent r ada de l a SPD. Si exi st e, ent onces est a i ndi car el pr ot ocol o de segur i dad a ut i l i zar , el modo, el al gor i t mo de aut ent i caci n de encr i pt aci n y l as cl aves a ut i l i zar . Cuando var i os nodos par t i ci pan de una VPN que ut i l i za I PSec par a cr ear l os t nel es, sur ge un i nconveni ent e al moment o de compar t i r i nf or maci n par a l a comuni caci n dent r o de l a VPN. Dur ant e l a cr eaci n de l as Asoci aci ones de Segur i dad, se deben di f undi r l as cl aves secr et as y l os al gor i t mos de encr i pt aci n a ut i l i zar . El i nt er cambi o de cl aves es un pr oceso cr t i co ya que en est a et apa an no hay un medi o segur o est abl eci do par a t r ansmi t i r est a i nf or maci n. Par a r esol ver est e pr obl ema se di se el pr ot ocol o de i nt er cambi o de cl aves o I KE ( Internet Key Exchange) . I KE aut ent i ca, en una pr i mer a f ase, a l os par es o nodos que par t i ci pan en l a VPN. En una segunda f ase se negoci an l as SA y se el i gen l as cl aves secr et as par a l a encr i pt aci n si mt r i ca medi ant e el al gor i t mo Diffie Hellman de i nt er cambi o de cl aves. Una vez compar t i dos en f or ma segur a l os dat os necesar i os, I KE se encar ga en f or ma per i di ca de r egener ar cl aves que pr ot egen l a conf i denci al i dad de l as cl aves par a encr i pt aci n si mt r i ca. Protocolo AH Est e pr ot ocol o se encar ga de aut ent i car l os dat agr amas asegur ando l a i nt egr i dad de l os dat os i ncl uyendo l a di r ecci n I P de or i gen, br i ndando adems pr ot ecci n cont r a at aques de r epet i ci n de dat agr amas ( replay attacks) . Par a est abl ecer l a i nt egr i dad de l os dat os cal cul a un cdi go de aut ent i caci n basado en hash o HMAC. Est e se r eal i za ut i l i zando una cl ave secr et a, l os dat os del dat agr ama y el encabezado I P or i gi nal . El val or r esul t ant e del pr ocedi mi ent o se col oca en el campo Dat os de Aut ent i caci n del encabezado AH.
Figura 2-18 Encabezado AH VPNs de Acceso Remot o 54 Los campos del encabezado AH son: Prximo Encabezamiento: i dent i f i ca el t i po de dat os de l a car ga t i l , es deci r el pr ot ocol o de capa super i or . Ut i l i za 1 byt e. Longitud del encabezamiento: i dent i f i ca el t amao del encabezado, ut i l i za 1 byt e. Reservado: ut i l i za 2 byt es. SPI: I dent i f i ca l a SA a ut i l i zar . Ut i l i za 4 byt es. Nmero de Secuencia: Pr evi ene l os at aques de r epet i ci n ( replay) en f or ma opci onal y adems si r ve par a mant ener una r ecepci n or denada de paquet es. Est e campo al macena un nmer o que se i ncr ement a en uno cuando un paquet e es envi ado en f or ma consecut i va a l a mi sma di r ecci n y con el mi smo SPI . Ut i l i za 4 byt es. Datos de Autenticacin: Compendi o ( Digest) cal cul ado medi ant e el HMAC, ut i l i zado por el r ecept or par a compar ar l o r eci bi do l uego de apl i car l a mi sma oper aci n al dat agr ama. AH puede usar se sol o o j unt o con ESP cuando se usa el modo t nel . Cuando se ut i l i za el modo t r anspor t e, el encabezado AH se col oca j ust o det r s del encabezado I P y ant es del encabezado ESP, en caso de f unci onar en conj unt o, u ot r o encabezado de pr ot ocol o de mayor ni vel como UDP o TCP. Ver Fi gur a 2- 19. Cuando se usa el modo t nel , se agr ega un nuevo encabezado I P y el encabezado de AH se i nser t a l uego de est e y ant es del encabezado I P del dat agr ama or i gi nal . Si bi en el pr oceso de aut ent i caci n abar ca est e nuevo encabezado I P, l a nor ma especi f i ca que no deber af ect ar aquel l os campos que puedan var i ar dur ant e el t r anspor t e, por ej empl o el campo de Ti empo de vi da o TTL ( Time To Life) , que es decr ement ado en uno cada vez que el dat agr ama at r avi esa un router. Ver Fi gur a 2- 19. El pr ot ocol o AH no es conveni ent e de ut i l i zar cuando se consi der a el uso de t r aducci n de di r ecci ones de r ed o NAT, debi do a que su pr ot ecci n de i nt egr i dad abar ca campos del encabezado I P como l a di r ecci n de or i gen. Es adecuado si l o ni co que se per si gue es asegur ar l a i nt egr i dad y aut ent i car el or i gen de l os dat os. VPNs de Acceso Remot o 55
Figura 2-19 Modos con protocolo AH Protocolo ESP Est e pr ot ocol o pr ovee pr i vaci dad o conf i denci al i dad a l os dat agr amas I P por medi o del encr i pt ado de l os dat os cor r espondi ent es. Adi ci onal ment e puede asegur ar l a i nt egr i dad medi ant e un HMAC pr opi o. ESP al t er a el dat agr ama I P or i gi nal en ms de un si t i o: agr ega un encabezado pr opi o, una col a ( CE en l a Fi gur a 2- 20) y si es necesar i o r el l ena el campo de dat os. La col a var a si adems de l a encr i pt aci n se usa aut ent i caci n ( DA en l a Fi gur a 2- 20) . En el modo t r anspor t e, de i gual maner a que AH, el encabezado de ESP se agr ega l uego del encabezado I P y ant es de ot r o encabezado de pr ot ocol o de mayor ni vel como UDP o TCP. En modo t nel el encabezado de ESP se i nser t a del ant e del encabezami ent o I P or i gi nal per o ant es del nuevo encabezado I P pr opi o de est e modo. Est o se muest r a en l a Fi gur a 2- 20, modo t nel . El pr oceso de encr i pt ado i ncl uye t odos l os campos post er i or es al encabezado ESP, per o no est e mi smo. La aut ent i caci n se apl i ca a l o encr i pt ado ms el encabezado ESP. El encabezado I P ext er no no se aut ent i ca, es deci r , el encabezado I P or i gi nal en el modo t r anspor t e o el nuevo encabezami ent o I P del modo t nel . VPNs de Acceso Remot o 56
Figura 2-20 Modos en ESP
Figura 2-21 Encabezado y Cola ESP De acuer do a l a Fi gur a 2- 21 l os campos del encabezado ESP son: SPI: Est e i ndi ca que SA ut i l i zar par a desencapsul ar el paquet e ESP, i gual a AH. Ut i l i za 4 byt es. Nmero de Secuencia: i gual que en AH. Campo de datos IP (payload) VPNs de Acceso Remot o 57 Vector de Inicializacin: ut i l i zado en el pr oceso de encr i pt aci n si est e r equi er e dat os de si ncr oni zaci n. Est e vect or si r ve par a que dos paquet es con l a mi sma car ga r esul t en en dos car gas encr i pt adas di f er ent es. Los al gor i t mos de encr i pt aci n si mt r i ca son vul ner abl es a at aques de f r ecuenci a si no se ut i l i zar an l os vect or es de i ni ci al i zaci n. Encabezado TCP Datos Cola ESP Relleno (Padding): Se usa en caso que el al gor i t mo de encr i pt ado r equi er a que el t ext o a encr i pt ar sea ml t i pl o de ci er t a cant i dad de byt es ( ci f r ado en bl oques) . Tambi n es necesar i o par a l ogr ar un ml t i pl o i mpar de 16 bi t s del encabezami ent o hast a ese punt o, de maner a que l os campos r est ant es, de 8 bi t s cada uno, l ogr en que l a l ongi t ud t ot al , del encabezado, sea un nmer o ml t i pl o par de 16 bi t s. Longitud del relleno (Padding Length): i dent i f i ca el campo ant er i or . Siguiente Encabezado (Next Header): i ndi ca el t i po de dat os de l a car ga t i l . En I pv4 i dent i f i ca el pr ot ocol o de capa super i or . Ut i l i za 1 byt e. Datos de autenticacin: Es opci onal y sol o apar ece si se ut i l i za ESP con aut ent i caci n. Su l ongi t ud var a segn el al gor i t mo de Hash empl eado: 16 byt es si es MD5 o 20 byt es si es SHA. ESP puede ut i l i zar se sol ament e con encr i pt aci n o i ncl uyendo adems aut ent i caci n. Ot r a al t er nat i va es con encr i pt ado nul o, o sea si n encr i pt aci n per o con aut ent i caci n. ESP puede combi nar se con AH. Si bi en ESP puede aut ent i car , no abar ca al encabezami ent o I P ext er no, es deci r no l o pr ot ege de cual qui er al t er aci n en aquel l os campos que no deber an cambi ar . Por ej empl o, l o ant er i or podr a der i var en l a f r agment aci n del dat agr ama si se al t er ar a el campo cor r espondi ent e. Est a oper aci n podr a per mi t i r l a i nser ci n de dat agr amas de at aque. Protocolo IKE Tambi n conoci do como I SAKMP/ Oakley ( Internet Security Association and Key Management Protocol) , est e pr ot ocol o r esuel ve el pr obl ema ms i mpor t ant e r el aci onado con l as comuni caci ones segur as: l a aut ent i caci n de l os par es, el i nt er cambi o de cl aves si mt r i cas, cr eaci n de l as SA y act ual i zaci n l a Base de Dat os que l as cont i ene. I KE se i mpl ement a medi ant e un demoni o en el espaci o de usuar i o. Ut i l i za el puer t o UDP 500. Su f unci onami ent o se puede di vi di r en dos et apas o f ases. En l a pr i mer a f ase I KE est abl ece una Asoci aci n de Segur i dad I SAKMP ( I SAKMP SA) . En l a segunda, est a SA es ut i l i zada par a negoci ar y est abl ecer l as SA pr opi as de l a comuni caci n I PSec ( I PSec SA) . VPNs de Acceso Remot o 58 La aut ent i caci n de l a pr i mer a f ase puede est ar basada en cl aves pr ecompar t i das ( PSK) , cl aves RSA y Cer t i f i cados X. 509. En est a et apa se pueden ut i l i zar dos modos par a l a aut ent i caci n y est abl eci mi ent o de l a I SAKMP SA: modo pr i nci pal o modo agr esi vo. Est e l t i mo ut i l i za l a mi t ad de l os mensaj es par a l ogr ar l o per o no br i nda l a pr ot ecci n de l a i dent i dad de l os hosts i nt er veni ent es. Est o puede per mi t i r un at aque del t i po hombr e del medi o. En l a segunda f ase el pr ot ocol o i nt er cambi a pr opuest as de SA y l as negoci a en base a l a I SAKMP SA, l a cual br i nda l a aut ent i caci n y pr ot ege l a oper aci n de at aques del t i po menci onado ant er i or ment e. Las SA negoci adas f i nal ment e son al menos dos, una par a cada di r ecci n de l a comuni caci n. Rendimiento La ut i l i zaci n de I PSec en l as comuni caci ones r equi er e capaci dad de pr ocesami ent o. En par t i cul ar con ESP est a necesi dad se evi denci a en l a encr i pt aci n y desencr i pt aci n de l os paquet es, consi der ando l a compl ej i dad de l os al gor i t mos empl eados y en l a aut ent i caci n de su encabezado, el agr egado de est e y de l a col a al dat agr ama or i gi nal . I ncl usi ve con AH el pr oceso de cal cul ar un compendi o en un ext r emo y l a post er i or ver i f i caci n en el ot r o, son t ar eas mucho ms compl ej as que el enr ut ami ent o o l a t r aducci n de di r ecci ones. Las pr i nci pal es l i mi t aci ones no se or i gi nan en Internet, debi do a que por nat ur al eza es un ambi ent e het er ogneo donde el t r anspor t e y ent r ega de l as t r amas i mpl i ca una oper aci n con el mej or esf uer zo y no asegur a conf i abi l i dad ni al t a vel oci dad. De t odas f or mas ut i l i zando compr esi n pr evi a a l a encr i pt aci n puede mej or ar el r endi mi ent o. Es el di sposi t i vo o gateway de segur i dad donde se ej ecut a I PSec, qui en es sensi bl e a l i mi t aci ones que af ect an l a per f omance. Es i mpor t ant e que un gateway manej e un ancho de banda mayor al de l a r ed a l a cual se conect a, caso cont r ar i o deber descar t ar paquet es pr ovocando i nt er r upci ones en el t r f i co af ect ando di r ect ament e l os paquet es t r anspor t ados medi ant e UDP e i ncl usi ve el t r f i co TCP. Ot r o aspect o que af ect a l a per f omance en un di sposi t i vo es el r et ar do, o t i empo adi ci onal de pr ocesami ent o en el equi po, pr evi o a l a sal i da del paquet e. En l a pr ct i ca se consi der a como asoci ado al t i empo en que t ar dan l os dat os en vi aj ar desde el or i gen a su dest i no. En un di sposi t i vo que cumpl e ms de una f unci n, i ncl uyendo el pr ocesami ent o de I PSec, su r et ar do ser i mpor t ant e. Es muy di f er ent e pr ocesar sol o el encabezado ( f i r ewal l de f i l t r ado de paquet es) que sobr e t odo el dat agr ama compl et o con mecani smos de encr i pt ado, sumado l a car ga u over head del t r at ami ent o e i nt er cambi o de cl aves, que r equi er e un uso i nt ensi vo del CPU.
VPNs de Acceso Remot o 59 2.5.2 Generic Routing Encapsulation protocol (GRE) El pr ot ocol o GRE o de encapsul aci n genr i ca de enr ut ami ent o, es un est ndar de f act o desar r ol l ado por Ci sco. Est di seado par a encapsul ar pr ot ocol os de capa de r ed ar bi t r ar i os dent r o de ot r o pr ot ocol o de capa de r ed ar bi t r ar i o 15 . Exi st en al menos t r es RFCs r ef er i das di r ect ament e con est e pr ot ocol o, l a RFC 1701 def i ne en f or ma gener al el pr ot ocol o y el f or mat o de su encabezado. La RFC 1702 r ef i er e a su uso en conj unt o con I P, t ant o como pr ot ocol o de car ga como de t r anspor t e. Fi nal ment e l a RFC 2784 es un memo que act ual i za l as ant er i or es, r edef i ni endo el f or mat o del encabezado y def i ni endo como obsol et os a al gunos de sus campos. Si n embar go dej a est abl eci do l as oper aci ones con i mpl ement aci ones ant er i or es. Est a secci n se basa en l a descr i pci n del pr ot ocol o de acuer do a est a l t i ma RFC per o con al gunas r ef er enci as a l as ant er i or es. En gener al GRE se ej ecut a en l a capa I P, ut i l i zando dat agr amas I P como car ga y como t r anspor t e 16 . GRE cr ea un v ncul o punt o- a- punt o con routers en cada ext r emo sobr e una r ed I P. Se di f er enci a de I PSec en que manej a t r f i co multicast. De hecho GRE se ut i l i za en conj unt o con est e pr ot ocol o par a est a t ar ea debi do a l a nat ur al eza unicast de I PSec. La est r uct ur a gener al de un paquet e GRE encapsul ado par a el env o es l a si gui ent e:
Figura 2-22 Paquete GRE encapsulado Cuando se usa I P como pr ot ocol o de car ga y de ent r ega, l os campos TTL, TOS y opci ones de segur i dad I P pueden ser copi ados desde el paquet e de car ga a l os mi smos campos en el encabezado del paquet e de ent r ega. El campo TTL del paquet e de car ga se decr ement a cuando se desencapsul a. Cuando el ext r emo de egr eso del t nel desencapsul a un paquet e GRE, el cual cont i ene un dat agr ama I P como car ga, l a di r ecci n dest i no en el encabezado I P debe ser ut i l i zado par a r eenvi ar di cho dat agr ama y el campo TTL debe ser decr ement ado. Si l a di r ecci n I P dest i no r esul t ar a ser del ext r emo que encapsul , ent onces deber descar t ar se el dat agr ama par a evi t ar un bucl e o loop.
15 RFC 1701 - Generic Routing Encapsulation (GRE) 16 RFC 1702 - Generic Routing Encapsulation over IPv4 networks VPNs de Acceso Remot o 60 Operaciones Conjuntas con otros protocolos La ut i l i zaci n ms comn y si mpl e de est e pr ot ocol o, es l a cr eaci n de t nel es que per mi t en l a ut i l i zaci n de un espaci o de di r ecci ones i nt er nas, a t r avs de un espaci o pbl i co de di r ecci onami ent o, par a el t r f i co de dat os. Est o es posi bl e por l a capaci dad de GRE de encapsul ar un dat agr ama I P y a su vez i nt egr ar l a car ga de ot r o dat agr ama I P que l e per mi t i r at r avesar una r ed I P hast a su dest i no. La desvent aj a es que l a car ga que encapsul a GRE no est en condi ci ones de at r avesar una r ed i nsegur a como Internet ya que l os dat os no est n encr i pt ados. Por l o t ant o hace f al t a al guna medi da de segur i dad par a poder ut i l i zar GRE en un ent or no VPN. Es en est a si t uaci n que se ut i l i za en conj unt o con I PSec, el cual l e suma l a segur i dad de sus mecani smos de encr i pt aci n y aut ent i caci n. Per o est a r el aci n es bi l at er al , ya que I PSec f al l a en aquel l os escenar i os donde l a nat ur al eza de l as comuni caci ones es del t i po multicast: pr opagaci n de l a act ual i zaci n de r ut as en un ent or no de enr ut ami ent o di nmi co, t r f i co de voz y vi deo, et c. La maner a de sal var est e escol l o es medi ant e l a encapsul aci n del paquet e multicast en un paquet e GRE. A cont i nuaci n est e l t i mo, se encapsul a en un paquet e I PSec ( Fi gur a 2- 23) , par a ser envi ado a l a r ed dest i no en f or ma segur a, donde el ext r emo r emot o del t nel I PSec, desencapsul ar el paquet e multicast y l o ent r egar a l os di sposi t i vos que i nt egr en el gr upo multicast dest i no. Ut i l i zar GRE par a cr ear t nel es como mecani smo par a una VPN, gener a al gunas desvent aj as pr i nci pal ment e asoci adas a l a car ga en t ar eas de admi ni st r aci n de l a VPN, escal abi l i dad en cuant o al cr eci mi ent o del nmer o de t nel es, per f omance y QoS. Debi do a que l os t nel es GRE deben ser conf i gur ados en f or ma manual , exi st e una r el aci n di r ect a ent r e l a cant i dad de t nel es a conf i gur ar y l a cant i dad de t ar ea admi ni st r at i va necesar i a par a mant ener di chos t nel es. Tambi n l a capaci dad de pr ocesami ent o r equer i da par a l a encapsul aci n GRE, est en con el nmer o de t nel es conf i gur ados.
Figura 2-23 Encapsulamiento Multicast con GRE asegurado con IPSec
VPNs de Acceso Remot o 61 2.5.3 Multiprotocol Label Switching (MPLS) MPLS se di ce mul t i pr ocol o por que se apl i ca a cual qui er pr ot ocol o de r ed, per o su uso ms habi t ual es con el pr ot ocol o I P. La esenci a de MPLS es l a gener aci n de pequeas et i quet as ( labels) de t amao f i j o que cumpl en el r ol de un encabezado I P per o con menos i nf or maci n. Est a et i quet a se usa par a t omar l as deci si ones de enr ut ami ent o del paquet e. MPLS no es un pr ot ocol o de capa 2 ni de capa 3 espec f i cament e, si no un pr ot ocol o que f unci ona en conj unt o con est os. En un mecani smo de enr ut ami ent o convenci onal , cada router que r eci be un paquet e, ver i f i ca el encabezado I P ( l a di r ecci n dest i no) par a deci di r el si gui ent e sal t o. Est a deci si n es t omada en f or ma i ndependi ent e por cada router basado en su anl i si s del encabezado del paquet e y de l os r esul t ados de ej ecut ar al gor i t mos de enr ut ami ent o. Est o se denomi na enr ut ami ent o sal t o a sal t o ( hop by hop routing) . La sel ecci n del si gui ent e sal t o se compone de dos f unci ones. La pr i mer a consi st e en cl asi f i car o par t i ci onar el conj unt o compl et o de paquet es en cl ases de equi val enci a, t ambi n denomi nadas FEC ( Forwarding Equivalence Class) . La segunda f unci n mapea cada FEC con el si gui ent e sal t o. Los paquet es per t enecer n a una det er mi nada FEC, si l a di r ecci n I P dest i no de cada uno de el l os coi nci de, en l a maner a ms exact a, con al gn pr ef i j o de r ed exi st ent e en l a t abl a de enr ut ami ent o de ese router. A medi da que el paquet e at r avi esa l a r ed, cada router en su cami no l o r eexami na y vuel ve a r eal i zar est e pr oceso. En MPLS, l a asi gnaci n de un det er mi nado paquet e a una det er mi nada FEC es r eal i zado sol o una vez, en el moment o que el paquet e i ngr esa a l a r ed MPLS. La FEC es codi f i cada como un val or de l ongi t ud f i j a denomi nada et i quet a. Cuando el paquet e es r eenvi ado se env a l a et i quet a t ambi n l a cual es ut i l i zada par a i ndexar una t abl a donde f i gur a el si gui ent e sal t o y una nueva et i quet a. Luego de r eempl azar l a, el paquet e es r eenvi ado al si gui ent e sal t o. Cuando el paquet e al canza el l t i mo router de l a r ed MPLS, est e se encar ga de r emover l a et i quet a y enr ut ar a t r avs de l os al gor i t mos convenci onal es. Los routers dent r o de una r ed MPLS se denomi nan LSR ( Label Switched Routers) . Aquel l os que se ubi can en el i ngr eso a y egr eso de l a r ed, se denomi nan LER ( Label Edge Router) o di sposi t i vos de bor de. Est os l t i mos son l os encar gados de encapsul ar el paquet e, mi ent r as que l os routers per t eneci ent es al ncl eo de l a r ed MPLS, sol o se encar gan de r eenvi ar l o hast a el router de bor de de egr eso de l a r ed. Est e mt odo de r eenv o per mi t e que, una vez que el paquet e f ue cl asi f i cado en una FEC, no se ef ect e ni ngn anl i si s post er i or del encabezado por par t e de l os routers que par t i ci par n en el t r anspor t e del paquet e. VPNS BGP/MPLS Una de l as apl i caci ones mas ut i l i zadas de MPLS es el ser vi ci o de VPN pr ovi st o por un pr oveedor . Est a es una al t er nat i va vi abl e r espect o de l os mt odos de t nel es habi t ual es par a i mpl ement ar VPN. VPNs de Acceso Remot o 62 No exi st e un model o de ser vi ci o de VPN ni co ya que cada cl i ent e t i ene di ver sos r equer i mi ent os, por ej empl o, pueden di f er i r en l os r equi si t os de segur i dad, cant i dad de si t i os a i nt er conect ar , nmer os de usuar i os, compl ej i dad en el esquema de enr ut ami ent o, apl i caci ones cr t i cas, vol menes de t r f i co, pat r ones de t r f i co, habi l i dad del pr opi o per sonal de networking, et c. Exi st en dos opci ones: VPN MPLS de capa 3 o capa 2. Uno de l os model os de mayor acept aci n por par t e de l os pr oveedor es par a poder manej ar est a var i abi l i dad de r equer i mi ent os, es el pr opuest o en l a RFC 2547 y RFC 2547bi s VPN BGP/ MPLS. Se t r at a de una VPN MPLS de capa 3. Est e model o def i ne un mecani smo que per mi t e a l os pr oveedor es de ser vi ci os ut i l i zar su r ed backbone I P par a dar ser vi ci o VPN a sus cl i ent es. El pr ot ocol o de enr ut ami ent o de bor de BGP ( Border Gateway Protocol) es ut i l i zado par a di st r i bui r i nf or maci n de enr ut ami ent o de l a VPN a t r avs del backbone mi ent r as que MPLS se encar ga de r eenvi ar el t r f i co de l a VPN ent r e l os si t i os que l a componen. Las VPN BGP/ MPLS buscan cumpl i r con l o si gui ent e: Faci l i dad de uso par a l os cl i ent es Escal abi l i dad y f l exi bi l i dad par a f aci l i t ar i mpl ement aci ones a gr an escal a. Sopor t e de di r ecci ones I P gl obal ment e ni cas en l a r ed del cl i ent e y sol apami ent o de di r ecci ones pr i vadas. Sopor t e de sol apami ent o de VPN, es deci r que un si t i o puede per t enecer a ms de una VPN. Las VPNs BGP/ MPLS t oman un dat agr ama I P de l a r ed del cl i ent e, det er mi nan l a di r ecci n I P dest i no buscando en una t abl a de r eenv o y l uego env an ese dat agr ama haci a su dest i no a t r avs de l a r ed del pr oveedor medi ant e un LSP. 2.6 PROTOCOLOS DE TNEL CAPA 4 Adems de l os pr ot ocol os de capa 2 y capa 3, se pueden consi der ar , adems, dos pr ot ocol os par a cr ear t nel es per o en l as capas super i or es. En par t i cul ar ent r e l a capa de t r anspor t e y de apl i caci n. Se descr i bi r n l as gener al i dades de SSH ( Secure Shell) y SSL/ TLS ( Secure SocketsLayer)/ (Transport Layer Security) . 2.6.1 Secure Shell (SSH) Secure Shell 17 es un pr ot ocol o cl i ent e- ser vi dor que per mi t e el ser vi ci o de login r emot o segur o a t r avs de una r ed i nsegur a. Si bi en su comet i do pr i nci pal es l a cr eaci n de una sesi n r emot a medi ant e un t nel a un equi po r emot o, es posi bl e l a t r ansmi si n de ot r a cl ase de t r f i co TCP medi ant e l a r edi r ecci n de puer t os.
17 RFC 4251 - The Secure Shell (SSH) Protocol Architecture VPNs de Acceso Remot o 63 Est e pr ot ocol o consi st e de t r es component es pr i nci pal es: Protocolo de capa de transporte: br i nda aut ent i caci n del ser vi dor , conf i denci al i dad e i nt egr i dad con PFS ( Perfect Forward Secrecy) ej ecut ndose sobr e l a conexi n TCP/ I P. El protocolo de autenticacin del cliente: oper a sobr e el pr ot ocol o de t r anspor t e. Protocolo de conexin: mul t i pl exa el t nel en var i os canal es l gi cos y se ej ecut a sobr e el pr ot ocol o ant er i or . SSH ut i l i za, en un pr i nci pi o, aut ent i caci n basada en host par a aut ent i car el ser vi dor . Est e pr ocedi mi ent o es l l evado a cabo por l a capa de t r anspor t e de SSH. Dur ant e est a et apa se ut i l i zan cl aves pbl i cas de host ( host key) 18 . Est a capa no r eal i za l a aut ent i caci n basada en usuar i o, l a cual es r el egada a l as capas super i or es. Est e pr ocedi mi ent o r equi er e que el cl i ent e conf e en l a cl ave que l e pr esent a el ser vi dor . Par a est o el cl i ent e puede t ener un conoci mi ent o pr evi o de l a mi sma y ef ect uar una compar aci n, medi ant e al gn mecani smo de f i r ma o encr i pt aci n de un hash o cer t i f i cando l a val i dez de l a mi sma a t r avs de una Aut or i dad Cer t i f i cant e o CA. Si bi en l a segunda al t er nat i va f aci l i t a l a admi ni st r aci n del mapeo nombr e de ser vi dor / cl ave pbl i ca, r equi er e l a pr esenci a de una i nf r aest r uct ur a PKI ( Public Key Infraestructure) , l a cual no es si mpl e de i mpl ement ar e i mpl i ca cost os econmi cos i mpor t ant es par a l a or gani zaci n. El pr ot ocol o de capa de t r anspor t e de SSH, es el encar gado de aut ent i car el ser vi dor y negoci ar el mt odo de i nt er cambi o de cl ave, l os al gor i t mos de encr i pt aci n si mt r i ca, de cl ave pbl i ca, de aut ent i caci n de mensaj e ( HMAC) y de hash. El mt odo de i nt er cambi o de cl aves es i mpor t ant e ya que def i ne como gener ar l as cl aves de sesi n a ut i l i zar en l a conexi n par a encr i pt ar y f i r mar di gi t al ment e, adems de est abl ecer como aut ent i car al ser vi dor . El pr ot ocol o de capa de aut ent i caci n de SSH 19 se encar ga de ef ect uar l a aut ent i caci n basada en usuar i o. SSH sopor t a aut ent i caci n basada en usuar i o medi ant e cl ave pbl i ca, passwords y basada en equi po. En el caso de usar passwords, est as son encr i pt adas cuando el paquet e de aut ent i caci n es pr ocesado por l a capa i nf er i or de t r anspor t e. La aut ent i caci n basada en equi po o host, consi st e en ver i f i car l a i dent i dad del host desde donde el usuar i o se conect a, j unt o con l a exi st enci a del nombr e de usuar i o. El cl i ent e f i r ma un mensaj e con su cl ave pr i vada y el ser vi dor l a ver i f i ca con l a cl ave pbl i ca del cl i ent e. Luego se ver i f i ca que el nombr e de usuar i o envi ado por el cl i ent e t enga aut or i zaci n. Est e mt odo no es aconsej abl e en escenar i os que r equi er an segur i dad.
18 RFC4253 The Secure Shell (SSH) Transport Layer Protocol 19 RFC 4252 SSH Authentication Protocol VPNs de Acceso Remot o 64 Fi nal ment e el pr ot ocol o de capa de conexi n se ej ecut a por enci ma de l os pr ot ocol os de t r anspor t e y aut ent i caci n de SSH. Br i nda sesi ones i nt er act i vas de login, ej ecuci n r emot a de comandos, r eenv o de t r f i co TCP/ I P y de conexi ones del ser vi ci o de manej o de vent anas X11. Todo est as conexi ones son est abl eci das medi ant e canal es que son mul t i pl exados a t r avs de un ni co t nel est abl eci do por el pr ot ocol o de capa de t r anspor t e, a est o se l o denomi na mul t i pl exaci n ascendent e 20 ( upward multiplexing) . 2.6.2 Secure Sockets Layer/Transport Layer Security (SSL/TLS) SSL f ue cr eado or i gi nal ment e par a asegur ar el t r f i co web, per o se ut i l i za t ambi n par a asegur ar pr ot ocol os di f er ent es a HTTP. Br i nda conf i denci al i dad a l a capa de t r anspor t e medi ant e el uso de cr i pt ogr af a si mt r i ca mi ent r as que l a aut ent i caci n y manej o de cl aves se r eal i za medi ant e l a cr i pt ogr af a de cl ave pbl i ca. TLS 21 est a basado en l a ver si n 3 de SSL, per o no es el mi smo pr ot ocol o. Se t r at a de un est ndar sobr e el cual se basan i mpl ement aci ones t ant os comer ci al es como abi er t as. Br i nda pr i vaci dad e i nt egr i dad a l os dat os t r ansmi t i dos en una comuni caci n ent r e dos apl i caci ones. La i nt er oper abi l i dad de SSL/ TLS es muy al t a, no es comn l os pr obl emas en l a i nt er acci n ent r e cl i ent es y ser vi dor es de di f er ent es f abr i cant es. Dado que no se ut i l i za el encabezado I P par a el pr ocesami ent o, si no l a conexi n aut ent i cada y est abl eci da, SSL/ TLS no es af ect ado por l a pr esenci a de di sposi t i vos que ef ect en oper aci ones de t r aducci n de di r ecci ones o NAT. SSL/ TLS sopor t a una var i edad de mt odos de aut ent i caci n, si endo el ms comn el uso de cer t i f i cados di gi t al es par a l a aut ent i caci n t ant o del ser vi dor como del cl i ent e ( opci onal ) . Las VPNs SSL pueden t r anspor t ar cual qui er t r f i co TCP i ncl usi ve t r f i co UDP. Debi do a que SSL/ TLS es un ser vi ci o de l a capa de t r anspor t e, una VPN SSL puede apl i car cont r ol de acceso a ni vel de apl i caci n y por supuest o de t r anspor t e. A di f er enci a de I PSec, el cual es un pr oceso que se ej ecut a en modo kernel o pr i vi l egi ado, SSL es un pr ot ocol o que se ej ecut a como pr oceso a ni vel de usuar i o. Est a car act er st i ca hace que una sol uci n VPN SSL sea ms est abl e y r obust a. Cuando exi st e una dependenci a di r ect a con el si st ema oper at i vo, cual qui er f al l a del pr oceso puede gener ar i nest abi l i dad a t odo el si st ema. 2.7 TOPOLOGAS La t opol og a apl i cada a l as r edes de dat os, descr i be l as r el aci ones ent r e l os component es de una r ed. Su apl i caci n ms si mpl e def i ne como se i nt er conect an l os di sposi t i vos que i nt egr an una r ed. Adems, el uso cor r ect o de l a t er mi nol og a t opol gi ca evi t a conf usi ones cuando se hace r ef er enci a a esquemas de r edes.
20 Data & Computer Communications Cap. 2 WilliamStallings 21 RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1 VPNs de Acceso Remot o 65 La cl asi f i caci n ms bsi ca de l as t opol og as est en f unci n de l a nat ur al eza de l a r el aci n de conect i vi dad de l os component es de l a r ed. Puede ser de nat ur al eza f si ca como un medi o de t r ansmi si n ( cabl e t ecnol og a ethernet, f i br a pt i ca, enl ace sat el i t al et c. ) o de nat ur al eza l gi ca, como l a r ut a que ut i l i za un f l uj o de bytes par a conect ar dos host. En est e caso se consi der ar n l as t opol og as desde una per spect i va l gi ca, debi do a que l as r edes pr i vadas vi r t ual es son un obj et o l gi co, t al como se l as def i ne en el pr i mer cap t ul o. Lo ms i mpor t ant e al est udi ar l a t opol og a de una r ed es el i mpact o de est a sobr e ot r os aspect os que i nf l uyen en el desempeo de l a mi sma. Uno de est os aspect os es l a escal abi l i dad l a cual es cr t i ca cuando se t r at a de r edes que t i enden a cr ecer o que el nmer o de nodos a i nt er conect ar es numer oso y var i abl e. La escal abi l i dad de una r ed se puede def i ni r en f unci n de t r es car act er st i cas de su di seo 22 : Capaci dad de manej ar mas conexi ones Faci l i dad de mant eni mi ent o Cost o En el caso par t i cul ar de l as VPN, exi st en ot r os aspect os que est n i nf l uenci ados por l a t opol og a: el mecani smo de di st r i buci n de cl aves par a l a aut ent i caci n de l os nodos y l a di st r i buci n de l a i nf or maci n de enr ut ami ent o necesar i a par a per mi t i r l a comuni caci n ent r e l os component es de una mi sma VPN. 2.7.1 Escenarios En el t er r eno de l as r edes pr i vadas vi r t ual es exi st en bsi cament e t r es escenar i os que descr i ben l as r el aci ones ent r e l os nodos de una VPN. Las conexi ones ent r e si t i os o r edes, l a conexi n ent r e un host y una r ed y l a conexi n ent r e sol o un par de hosts. El escenar i o r ed a r ed ( Fi gur a 2- 24) pr esent a l a conexi n de dos o ms subr edes medi ant e uno o ms t nel es. Cada subr ed consi st e de un gateway y al menos un host. EL gateway posee dos i nt er f aces de r ed, una par a conect ar se al t nel y l a r est ant e par a conect ar se con l a subr ed i nt er na. El gateway r eal i za el pr oceso de cr eaci n y el i mi naci n del t nel , as cmo l a apl i caci n de mecani smos de segur i dad al t r f i co que r eenv a.
22 Kolesnikov, Hatch, Davis, Mongol - Building Linux VPN: VPN Fundamentals - Cap 2 VPNs de Acceso Remot o 66
Figura 2-24 Escenario Red a Red El escenar i o host a r ed ( Fi gur a 2- 25) se puede consi der ar un caso especi al del ant er i or donde una de l as par t es, en l ugar de ser una r ed, es sol o un host y no hay pr esenci a de un gateway. Est e esquema se apr eci a en l as VPN de acceso r emot o, donde l os usuar i os de una or gani zaci n se encuent r an f si cament e al ej ados de su l ugar de t r abaj o, per o pueden acceder r emot ament e a l os r ecur sos de l a r ed de dat os l ocal .
Figura 2-25 Escenario Host a Red
Fi nal ment e en el esquema host a host sol o dos equi pos podr n est abl ecer una comuni caci n segur a. Est e escenar i o es una r educci n del caso host a r ed. Si hubi er a necesi dad de comuni car ms hosts, ent onces ser an ms apr opi ados l os escenar i os ant er i or es. Est as f or mas de r el aci n det er mi nan l os esquemas t opol gi cos ms habi t ual es en el mundo de l as r edes: punt o a punt o, punt o mul t i punt o, est r el l a ( hub and spokes) y mal l a t ot al o par ci al ( full or partial mesh) , aunque t ambi n es posi bl e combi nar al guna de el l as e i mpl ement ar una t opol og a h br i da. Su apl i caci n a l as VPNs posee sus vent aj as y desvent aj as.
VPNs de Acceso Remot o 67 2.7.2 Topologa Punto a Punto Est a es l a t opol og a ms si mpl e, ya que es una conexi n di r ect a ent r e dos ent i dades. Est a r el aci n de conect i vi dad di r ect a an es vl i da si en un ni vel i nf er i or exi st en ent i dades cuya t ar ea es el r eenv o de l a comuni caci n hast a l l egar al dest i no. Es deci r , es una comuni caci n di r ect a en l a capa N an cuando en l a capa N- 1 es necesar i o at r avesar var i os nodos hast a l l egar al dest i no 23 . Est a t opol og a se puede encont r ar en VPNs, como casos par t i cul ar es de ot r os esquemas ms compl ej os, como en el caso de l a est r el l a ( hub and spoke) , donde cada ext r emo ( spoke) t i ene un enl ace punt o a punt o con el cent r o ( hub) par a poder comuni car se con l os dems ext r emos. Los ej empl os mas si mpl es de VPNs con est a t opol og a son l as t r adi ci onal es de capa de enl ace basadas en ser vi ci os ATM o Frame Relay, ya que est abl ecen una conexi n punt o a punt o ent r e si t i os de una or gani zaci n. Tambi n se puede consi der ar l os t nel es de capa de r ed basados en I P que se cr ean con el mi smo f i n y conect an dos di sposi t i vos CE, ut i l i zando I PSec o GRE. Un caso ms espec f i co es el ser vi ci o VPWS ( Virtual Private Wire Service) . Se t r at a de un t i po de VPN de capa 2 pr ovi st a por el pr oveedor . Est e br i nda un ser vi ci o de conect i vi dad punt o a punt o ent r e l os si t i os de un cl i ent e. Est e ser vi ci o emul a enl aces dedi cados ent r e l os si t i os medi ant e t nel es I P dent r o del backbone del pr oveedor , mant eni endo a l a vez l a i nf r aest r uct ur a ATM o Frame Relay exi st ent e del cl i ent e. Una f or ma de r eal i zar l o es ut i l i zando l os ci r cui t os vi r t ual es ( CV) Frame Relay o ATM ent r e l os di sposi t i vos CE del cl i ent e y PE del pr oveedor y mapear l os a t nel es MPLS ( LSP) est abl eci dos a t r avs del backbone. Est a sol uci n pr esent a pr obl emas de escal abi l i dad cuando el pr oveedor t i ene que ser vi r var i as VPNs, ya que cada LSP deber ser conf i gur ado i ndi vi dual ment e y mapeado a cada CV de l os cl i ent es. Est o conl l eva un gr an esf uer zo de admi ni st r aci n, adems el aument o de l os t nel es LSP par a sat i sf acer nuevas demandas i mpact ar en l a capaci dad del manej o de est os en l os routers y switchs del pr oveedor , t ant o l os equi pos de bor de ( PE) como l os per t eneci ent es al ncl eo del backbone ( P) . Una mej or a al enf oque ant er i or es el denomi nado PWE3 ( Pseudowire Emulation Edge-to-Edge) VPWS, como l o muest r a l a Fi gur a 2- 26. En est a si t uaci n se mej or a l a escal abi l i dad ut i l i zando un nmer o f i j o de LSP ent r e l os di sposi t i vos PE del backbone del pr oveedor . Luego se cr ean conexi ones emul adas punt o a punt o ( pseudowires) ent r e l os PE medi ant e t nel es basados en l os LSP ya est abl eci dos. Est as conexi ones si mul adas son encapsul aci ones de pr ot ocol os de capa 2 ( ATM, Frame Relay, Ethernet, et c. ) en t r amas MPLS 24 . Nuevament e es necesar i o que cada pseudowire sea conf i gur ado en f or ma i ndi vi dual , af ect ando l a escal abi l i dad cuando el pr oveedor si r ve var i as VPNs. Si n embar go se r educe l a car ga de pr ocesami ent o a sol o l os routers de bor de ya que ni cament e en est os se def i nen l os pseudowires.
23 Designing Addressing Architectures for Routing & Switching Howard Berkowitz, Cap. 2 24 draft-ietf-pwe3-atm-encap; draft-ietf-pwe3-frame-relay; draft-ietf-pwe3-ethernet-encap. VPNs de Acceso Remot o 68
Figura 2-26 Punto a Punto en VPN VPWS Par a mej or ar l a escal abi l i dad, se r equi er e que l as conexi ones punt o a punt o se est abl ezcan medi ant e un mecani smo aut omat i zado, como por ej empl o el pr ot ocol o BGP. En est a si t uaci n cada di sposi t i vo PE usa BGP mul t i pr ot ocol o par a anunci ar l as VPN y di sposi t i vos CE que est e cont r ol a. Est a i nf or maci n acompaa l as et i quet as MPLS ut i l i zadas por l os PE par a r eenvi ar se dat os ent r e s . De est a f or ma, cuando l os CE r eci ben est a i nf or maci n, poseen l os dat os necesar i os par a cr ear l os pseudowires 25 sobr e l os PE. 2.7.3 Topologa Punto a Multipunto Est a t opol og a per mi t e est abl ecer ms de un cami no desde un l ugar a ml t i pl es dest i nos. Cual qui er t r ansmi si n de dat os, or i gi nados en un punt o de conexi n cent r al es r eci bi da por t odos l os punt os de conexi n per i f r i cos, mi ent r as que l a comuni caci n en el ot r o sent i do, desde l a per i f er i a, sl o es r eci bi da por el ext r emo cent r al . El ser vi ci o de VPN de capa de enl ace VPLS ( Virtual Private LAN Service) br i nda un ser vi ci o mul t i punt o medi ant e una conf i gur aci n de mal l a compl et a. Una VPLS es est abl eci da por un pr oveedor de ser vi ci os y emul a una LAN t r adi ci onal . Per mi t e conect ar var i os segment os de LAN, di st ant es geogr f i cament e, sobr e una r ed de conmut aci n de paquet es de maner a que l as r edes r emot as se compor t en como una ni ca LAN. En est a si t uaci n l os equi pos CE no deben sel ecci onar el pseudowire par a r eenvi ar l os dat os par a un dest i no det er mi nado ( t opol og a punt o a punt o) ; si mpl ement e r eenv an t odo el t r f i co al di sposi t i vo PE del pr oveedor , qui en se encar ga de envi ar l o al dest i no cor r espondi ent e.
25 draft-kompella-ppvpn-l2vpn VPNs de Acceso Remot o 69 Est o es posi bl e en r edes MPLS donde se est abl ece una t opol og a de mal l a compl et a de pseudowires ent r e l os di sposi t i vos PE del pr oveedor que i nt egr an una det er mi nada VPLS. Gr aci as a est e esquema l os PE pueden r eal i zar r epl i caci n de paquet es ( i nundaci n por dest i no desconoci do, br oadcast , mul t i cast ) y apr endi zaj e de di r ecci ones MACs t al como l o har a un bridge o switch ethernet. Par a si mpl i f i car l a conf i gur aci n de una VPLS, son necesar i os mecani smos aut omt i cos par a obt ener i nf or maci n de l os i nt egr ant es de l a VPLS, como l l egar haci a el l os y conect ar se f i nal ment e. Est o f aci l i t a t ambi n el agr egado de nuevos nodos y l a admi ni st r aci n de l as conexi ones ( manej o de pseudowires) ent r e el l os. De l o cont r ar i o el manej o y escal abi l i dad de l a VPN se ver a af ect ada. 2.7.4 Topologa Estrella (Hub and Spokes) Est a es l a t opol og a ms comn en VPNs. Exi st e un gateway VPN o concent r ador ( hub) y una ser i e de cl i ent es ( spokes) que est abl ecen una conexi n punt o a punt o con est e, un t nel de hecho. Par a que pueda exi st i r comuni caci n ent r e l os cl i ent es r emot os, el t r f i co de dat os deber i r desde el cl i ent e emi sor hast a el concent r ador , l uego est e r et r ansmi t i r esos dat os haci a el cl i ent e r ecept or . No exi st e una conexi n di r ect a ent r e l os cl i ent es, t oda l a comuni caci n deber at r avesar pr i mer o el concent r ador . Est a t opol og a af ect a l a escal abi l i dad en cuant o a que est l i mi t ada al desempeo y l a capaci dad de pr ocesami ent o del concent r ador . Est e deber sopor t ar conexi ones si mul t neas. Por est a r azn el desempeo gener al de l a VPN depender f undament al ment e de l a capaci dad del concent r ador . Por ot r o l ado est e esquema pr esent a un ni co punt o de f al l a en el concent r ador mi smo. La di sponi bi l i dad de l a VPN depender de l a f al l a de sol o uno de sus component es. Ot r a desvent aj a que pr esent a es que si dos cl i ent es r emot os se encuent r an geogr f i cament e cer ca, i gual deber n envi ar su t r f i co al concent r ador en l ugar de ut i l i zar una conexi n di r ect a ent r e el l os. Si n embar go, est e esquema t i ene l a vent aj a de una admi ni st r aci n cent r al i zada, r espect o del moni t or eo, mant eni mi ent o, cont r ol de accesos, r egi st r o de event os. Adems el hecho de agr egar un nuevo component e a l a VPN es si mpl e debi do a que est a oper aci n se cent r al i za en el hub. Una f or ma de pal i ar l a desvent aj a que si gni f i ca un ni co punt o de f al l a, es una var i aci n de l a t opol og a donde exi st a ms de un concent r ador , t ant o par a br i ndar r edundanci a como par a bal ancear l a car ga r el aci onada con l as conexi ones si mul t neas de l os cl i ent es. Exi st e un esquema donde se busca l a r edundanci a per o en el l ado del cl i ent e, dupl i cando el component e spoke. Est o per mi t e el bal anceo del t r f i co emi t i do desde el cl i ent e a t r avs de l a dupl i caci n de l a conexi n con el concent r ador . Si bi en est a or gani zaci n br i nda l a mxi ma di sponi bi l i dad, es pr ohi bi t i va en t r mi nos de cost o en equi pos y en l a poca conveni enci a de i nver t i r r ecur sos en el ext r emo del cl i ent e. Est a t opol og a y sus var i ant es se apl i can en l os escenar i os r ed a r ed, t ant o par a conect ar l os si t i os de una mi sma or gani zaci n como as t ambi n cuando se i mpl ement an VPN ext r anet s con si t i os de ot r as or gani zaci ones. VPNs de Acceso Remot o 70 Las VPN si t i o a si t i o ut i l i zando I PSec son un ej empl o de l a apl i caci n de est a t opol og a. Es comn consi der ar el uso del pr ot ocol o GRE par a per mi t i r el t r f i co multicast ent r e l os si t i os de l a VPN. En est e caso par t i cul ar , exi st en una ser i e de aspect os r el aci onados con l a escal abi l i dad debi do al pr ot ocol o I PSec: Escalabilidad SA (Asociaciones de Seguridad): se r ef i er e al nmer o de asoci aci ones de segur i dad act i vas a sopor t ar , as como su det ecci n, el i mi naci n y manej o. Est o es un aspect o i mpor t ant e en el concent r ador y no en el cl i ent e. El pr i mer o debe mant ener una base de dat os de SA r el aci onadas con l a conect i vi dad de t odos l os cl i ent es. Capacidad de tneles IPSec: Las pol t i cas de segur i dad que se apl i can pueden i mpact ar en l a per f omance del concent r ador . La sel ecci n de al gor i t mos cr i pt ogr f i cos f uer t es l l eva a una sobr ecar ga de l a capaci dad de cmput o. Hay que bal ancear el r equer i mi ent o de l a pol t i ca y l a car ga en el mant eni mi ent o de l os t nel es con un cl cul o apr opi ado de l as necesi dades f ut ur as de agr egaci ones de nodos cl i ent es a l a VPN. Capacidad de procesamiento criptogrfico: est e aspect o est a r el aci onado di r ect ament e con el ant er i or , en t r mi nos del throughput de paquet es por segundo que es capaz de pr ocesar el mdul o de encr i pt aci n. Capacidad de mantenimiento de tneles GRE: Si bi en l a mayor a de l os di sposi t i vos VPN sopor t an l os t nel es GRE, no l o i mpl ement an a ni vel de har dwar e. Si se r equi er e est a encapsul aci n, l a mi sma no deber l i mi t ar el throughput o el pr ocesami ent o en el concent r ador . 2.7.5 Topologa de Malla Completa o Parcial (Full or Partial Mesh) En un di seo de mal l a compl et a ( full mesh) , cada di sposi t i vo se comuni ca en f or ma di r ect a con t odos l os dems. En el caso de mal l a par ci al ( partial mesh) sol o ci er t os di sposi t i vos t i enen conexi n di r ect a ent r e s . La r azn de el l o r adi ca en que no t odos r equi er en ms de una conexi n. Sol o aquel l os que r equi er en al t a di sponi bi l i dad y que l a i nt er r upci n de una de sus conexi ones no dej e al si t i o i ncomuni cado con el r est o. Est e model o t i ene var i os benef i ci os y una gr an desvent aj a. Los benef i ci os son: No exi st e un ni co punt o de f al l a, l os di sposi t i vos no dependen de un concent r ador par a l a comuni caci n dent r o de l a VPN La per f omance gener al no est l i mi t ada a un sol o si st ema. Aquel l os di sposi t i vos que est n pr xi mos geogr f i cament e, pueden comuni car se di r ect ament e si n i nt er medi ar i o. VPNs de Acceso Remot o 71 La desvent aj a r adi ca en el i ncr ement o del mant eni mi ent o en cuant o a l a di st r i buci n de l as cl aves par a asegur ar l as comuni caci ones o en l a di st r i buci n de i nf or maci n de enr ut ami ent o. En par t i cul ar si se usa I PSec, l a cr eaci n de asoci aci ones de segur i dad necesar i as par a cada nodo que se sume a l a VPN r epr esent a un cost o en el mant eni mi ent o. La si t uaci n puede mej or ar si se ut i l i zan mt odos aut omt i cos par a l a di st r i buci n de cl aves, o l a t r ansmi si n di nmi ca de r ut as. Nuevament e l os escenar i os r ed a r ed i mpl ement an est a t opol og a cuando hay un r equer i mi ent o de al t a di sponi bi l i dad o bi en sea necesar i o un ser vi ci o mul t i punt o como en el caso de l as VPLS, donde se cr ea una t opol og a de mal l a compl et a de pseudowires ent r e l os di sposi t i vos PE del pr oveedor y as l os di sposi t i vos del cl i ent e pueden l l egar medi ant e multicast o broadcast haci a l as ot r as r edes i nt egr ant es de l a mi sma VPLS. VPNs de Acceso Remot o 72
CAP TULO 3 VPNs DE ACCESO REMOTO 3 VPNs de Acceso Remot o 73
3.1 INTRODUCCIN En un pr i nci pi o el acceso r emot o se car act er i zaba por l a ut i l i zaci n de l a r ed de t el ef on a ur bana, medi ant e l neas di scadas, par a conect ar se haci a l a r ed de dat os de l a or gani zaci n. El usuar i o per t enec a a est a or gani zaci n. Est as conexi ones se est abl ec an desde l a ubi caci n del usuar i o hast a el ser vi dor RAS. Los pr ot ocol os ut i l i zados se basaban en PPP y l as f unci ones AAA es deci r Aut ent i caci n, Aut or i zaci n y Audi t or a, est aban a car go de un ser vi ci o espec f i co como RADI US. Se asum a que l a i nf r aest r uct ur a de comuni caci ones por donde se pr est aba el ser vi ci o de acceso er a r el at i vament e segur a y por ende no si gni f i caba un ent or no host i l que amenazar a l a conf i denci al i dad ni l a i nt egr i dad de l a comuni caci n. Teni endo en cuent a est o, l a segur i dad de l a conexi n est aba l i mi t ada r espect o del cont r ol de acceso en el RAS, a un par usuar i o/ cont r asea. En l a act ual i dad, l as t ecnol og as de acceso a Internet medi ant e I SP, como un ser vi ci o di al - up o DSL, poseen car ct er masi vo y r el at i vament e bar at o par a l os usuar i os, br i ndando un ser vi ci o por dems adecuado par a r eempl azar l os accesos di scados di r ect os que pod an ser ext r emadament e car os si el usuar i o r emot o se encont r aba f uer a de l os l mi t es del si st ema de t el ef on a l ocal . Si n embar go el i nconveni ent e es l a nat ur al eza pbl i ca por ende i nsegur a de Internet.
Figura 3-1 Escenario General
El escenar i o de l as VPN de acceso r emot o puede ser def i ni do en gener al de f or ma ni ca ( Fi gur a 3- 1) si bi en hay var i aci ones par t i cul ar es del mi smo. En cual qui er a de l os casos, un cl i ent e desea conect ar se en f or ma segur a a una r ed r emot a y poder t ener acceso a l os r ecur sos di sponi bl es en l a mi sma. Par a est o deber est abl ecer una conexi n con un gateway de segur i dad o ser vi dor de acceso r emot o, par a l uego conf i gur ar un t nel por donde f l ui r n l os dat os de l a comuni caci n en f or ma segur a. Est a comuni caci n gener al ment e se est abl ece desde una r ed cor por at i va di f er ent e a l a r ed dest i no. Es habi t ual l a ut i l i zaci n de l a r ed de un pr oveedor de ser vi ci os de Internet o I SP ( Internet Service Provider) con una conexi n dial-up o DSL, donde es posi bl e l a pr esenci a de di sposi t i vos i nt er medi os que conect an var i as r edes ent r e el cl i ent e r emot o y el gateway de segur i dad. VPNs de Acceso Remot o 74
3.1.1 Requerimientos bsicos de seguridad Exi st en r equer i mi ent os bsi cos en cuant o a l a segur i dad, l os que pueden ser cl asi f i cados en: aut ent i caci n de l os ext r emos de l a conexi n, conf i gur aci n de l a pol t i ca de segur i dad ( cont r ol de acceso y aut or i zaci n) y audi t or a. Autenticacin de los extremos Exi st en dos cl ases de aut ent i caci n: l a aut ent i caci n del or i gen de dat os y l a aut ent i caci n de l a ent i dad. En el pr i mer caso se asegur a que l os paquet es de r ed se or i gi nan desde un ni co si st ema, host, usuar i o o apl i caci n, mi ent r as que en el segundo caso se asegur a que qui en gener a di chos paquet es, es qui en di ce ser . Ambos t i pos de aut ent i caci n se r el aci onan ent r e s , l a aut ent i caci n del or i gen de dat os depende de l a aut ent i caci n de l a ent i dad. Par a asegur ar que un paquet e se or i gi na en un host par t i cul ar o que pr ovenga r eal ment e de l a r ed en l a cual r esi de el host, es necesar i o en pr i nci pi o, aut ent i car l a ent i dad y l uego asoci ar l a i nf or maci n del or i gen de dat os ( I P, puer t o, pr ot ocol o de t r anspor t e) a est a r el aci n de conf i anza est abl eci da por el pr oceso de aut ent i caci n. La ent i dad aut ent i cada puede ser un host, un usuar i o, o ambos. Por est a r azn l a aut ent i caci n puede ser a ni vel de mqui na o a ni vel de usuar i o. Ent r e l os mecani smos ut i l i zados par a est e pr oceso se cuent an: cl ave compar t i da o PSK ( Pre Shared Key) , l a f i r ma di gi t al con el uso de cer t i f i cados, cl aves RSA ( Rivest Shamir Adleman) . Autenticacin a nivel de mquina/usuario Cuando dos par t es se comuni can de maner a segur a, l a f ase i ni ci al de ese pr oceso cor r esponde a l a aut ent i caci n del cl i ent e r emot o y/ o del ser vi dor . En el caso de que el cl i ent e posea l as cr edenci al es par a i nt ent ar una aut ent i caci n y no r equi er a l a par t i ci paci n de un usuar i o par a poder ut i l i zar di chas cr edenci al es, l a ent i dad aut ent i cada ser el di sposi t i vo donde se encuent r en al macenadas. El ni vel de segur i dad de est e pr ocedi mi ent o depender de cuan f i abl e sea al macenar y ut i l i zar l as cr edenci al es en el di sposi t i vo. Si se r equi er e l a i nt er venci n de un usuar i o donde ver i f i que al gn cr i t er i o par a t ener acceso a l as cr edenci al es, el ser vi dor no t endr una cer t eza sobr e l a i dent i dad de est e. Par a t ener l a, son necesar i as l as cr edenci al es de usuar i o. La aut ent i caci n de usuar i o i mpl i ca l a pr esent aci n de al guna i nf or maci n de aut ent i caci n en f or ma di r ect a haci a el ser vi dor dur ant e l a f ase de aut ent i caci n. Si el di sposi t i vo desde donde el usuar i o est a i nt ent ando acceder no pr esent a sus pr opi as cr edenci al es, ent onces l a ent i dad aut ent i cada ser sol o el usuar i o. Par a l ogr ar aut ent i car ambas ent i dades, se r equi er e l a i nt er acci n con el usuar i o medi ant e una ent r ada de dat os. Est a puede o no compl ement ar a l as cr edenci al es del di sposi t i vo, por ej empl o el i ngr eso de una passphrase par a desencr i pt ar una cl ave pr i vada cont eni da en el di sposi t i vo. En el ot r o caso l a ent r ada del usuar i o es i ndependi ent e de l as cr edenci al es al macenadas al l . VPNs de Acceso Remot o 75
En gener al l os r equer i mi ent os de aut ent i caci n son asi mt r i cos. Desde l a per spect i va del cl i ent e es i mpor t ant e asegur ar se que el ser vi dor , en el ot r o ext r emo, sea r eal ment e qui en di ce ser . Es deci r es necesar i a una aut ent i caci n a ni vel de mqui na. Desde l a per spect i va del ser vi dor l a si t uaci n es un poco di f er ent e. Es i mpor t ant e det er mi nar que l a ent i dad en est e ext r emo sea l a aut or i zada y no un pr ogr ama mal i ci oso o al gui en no aut or i zado que est ut i l i zando un di sposi t i vo de l a or gani zaci n. Aut ent i car a un usuar i o r equi er e al guna f or ma de ent r ada por par t e de est e par a el env o de cr edenci al es y est e mecani smo deber a ser r enovado per i di cament e. Est e l t i mo aspect o deber a ser un equi l i br i o ent r e el i nt er val o de r enovaci n ( l o que puede ser mol est o par a el usuar i o) y el r i esgo r eal de compr omi so de l as cr edenci al es. En est e caso es aconsej abl e el uso de si st emas de cl aves de uso ni co u OTP ( One Time Password) . Est e no es el caso cuando se t r at a de equi pami ent o pr ovi st o por l a or gani zaci n al usuar i o mvi l . Se asume que el di sposi t i vo es conf i abl e por que, como equi pami ent o de l a or gani zaci n, cumpl e con l as pol t i cas de segur i dad de l a mi sma y t endr el software necesar i o, t ant o el cl i ent e VPN como ant i vi r us, firewall y dems her r ami ent as de segur i dad i nst al adas y act ual i zadas que el staff de admi ni st r aci n, con l os pr i vi l egi os cor r espondi ent es, se encar gar on de i ncor por ar al equi po. 3.1.2 Configuracin de las polticas de seguridad Es posi bl e conf i gur ar pol t i cas de acceso t ant o en el cl i ent e r emot o como en el gateway de segur i dad. En el pr i mer caso se puede consi der ar que el acceso a Internet desde el cl i ent e, t ambi n se r edi r i j a a t r avs del t nel con l a r ed de l a or gani zaci n, evi t ando que el t r f i co HTTP l o haga por r edes i nsegur as. En cuant o a pol t i cas apl i cabl es al gateway de segur i dad, se puede est abl ecer l a asi gnaci n di nmi ca de per mi sos de acuer do al usuar i o o si st ema que est abl ece l a conexi n. Est e esquema puede val er se de un mapeo uno a uno, r espect o de l a di r ecci n I P or i gen de l a conexi n y l os per mi sos cor r espondi ent es. Una al t er nat i va ms escal abl e ser a asoci ar una ser i e de per mi sos a un conj unt o o r ango de di r ecci ones. 3.1.3 Auditora La audi t or a se r ef i er e a l a r ecol ecci n de i nf or maci n de est ado de l as conexi ones di r i gi das al gateway de segur i dad por par t e de l os cl i ent es r emot os. El pr opsi t o de est a oper aci n es mant ener l a segur i dad e i nt egr i dad de l a r ed dest i no de l a or gani zaci n. Desde una per spect i va de l a segur i dad, es de ut i l i dad t ener el r egi st r o del t i empo de i ni ci o y f i n de una conexi n. Es necesar i o un mt odo par a moni t or ear el t i empo de conexi n de l os cl i ent es y poder manej ar l os casos en donde est os f i nal i cen su conexi n en f or ma no expl ci t a. Par a est as si t uaci ones se ut i l i za un mecani smo de heartbeat por el cual el cl i ent e r emot o env a una seal l uego de un t i empo par a i ndi car al gateway que an se mant i ene en l nea. Pasado un t i empo ( umbr al de r eset ) , si n r eci bi r una nueva seal por par t e del cl i ent e, el gateway da por f i nal i zada l a conexi n. VPNs de Acceso Remot o 76
El i nt er val o de heartbeat puede i nf l ui r en f or ma negat i va si es demasi ado cor t o. Si se pr esent a congest i n en l a r ed, es pr obabl e que se pi er dan al gunos paquet es de heartbeat del cl i ent e y el gateway f i nal i ce l a conexi n al al canzar el umbr al de r eset r pi dament e. Ambos par met r os deber an poder ser aj ust ados medi ant e conf i gur aci n o dur ant e l a negoci aci n de l a conexi n. 3.2 ESCENARIOS Exi st en escenar i os comunes en l as VPNs de acceso r emot o: Tel e t r abaj ador es/ usuar i os mvi l es oper ando di sposi t i vos pr opi os Acceso con un di sposi t i vo l ocal a l a r ed l ocal desde una ext r anet Acceso desde una ext r anet con un di sposi t i vo de est a a l a r ed l ocal Acceso de usuar i os mvi l es desde di sposi t i vos pbl i cos Las di f er enci as se apr eci an en l os r equer i mi ent os bsi cos de segur i dad que se necesi t an cumpl i r en cada escenar i o. 3.2.1 Tele trabajadores/usuarios mviles operando dispositivos propios Est e escenar i o pr esent a a usuar i os de una or gani zaci n que se encuent r an f uer a de l os l mi t es de est a y r equi er en acceso a l a r ed de dat os. Est os pueden est ar en sus casas o en un si t i o geogr f i cament e di st ant e. En cual qui er caso est os usuar i os est n oper ando equi pos de l a or gani zaci n o per sonal es, en est e l t i mo caso deben cumpl i r con l as pol t i cas de segur i dad. El usuar i o ut i l i za l a r ed pbl i ca y l a de un I SP par a est abl ecer l a conexi n. Par a el caso del gateway VPN, st e debe aut ent i car se a ni vel de equi po, l o cual es suf i ci ent e. En cuant o al cl i ent e es r ecomendabl e l a aut ent i caci n a ni vel de usuar i o. Par a el caso de conexi ones per manent es es conveni ent e l a r enovaci n per i di ca de l as cr edenci al es del usuar i o. Est o puede ser opci onal en el caso de conexi ones di scadas de cor t a dur aci n. En t r mi nos de pol t i cas de segur i dad apl i cabl e al cl i ent e, se dest aca el hecho de que si el cl i ent e t i ene acceso a Internet, ent onces t ambi n es posi bl e un acceso r ec pr oco desde Internet haci a el cl i ent e, t odo est o mi ent r as est a conect ado a l a r ed l ocal de l a or gani zaci n. Es r ecomendabl e desest i mar el acceso a Internet mi ent r as se ut i l i ce el acceso VPN. Como al t er nat i va se puede der i var el t r f i co haci a y desde Internet a t r avs del t nel de l a VPN donde podr a est ar suj et o a l a apl i caci n de al guna pol t i ca de segur i dad. Ot r a opci n ser a apl i car esa pol t i ca di r ect ament e en el cl i ent e par a el t r f i co Internet si n r equer i r l a der i vaci n de ese f l uj o haci a l a r ed l ocal .
VPNs de Acceso Remot o 77
3.2.2 Acceso con un dispositivo propio a la red local desde una extranet En est a si t uaci n, hay una ext r anet est abl eci da. La ext r anet puede r euni r dos o ms r edes di f er ent es cuyo cont r ol admi ni st r at i vo es i ndependi ent e en cada caso. Est e escenar i o pl ant ea el caso de usuar i o y su not ebook per t eneci ent e l a r ed cor por at i va A f unci onado en l a r ed de B. Dada l a r el aci n ent r e ambas cor por aci ones, por l a cual se gener t al ext r anet , el usuar i o de l a r ed A se encuent r a t r abaj ando en l a r ed cor por at i va B con su por t t i l . Su i nt enci n es conect ar se a su r ed l ocal . Aqu l os r equer i mi ent os de aut ent i caci n en el cl i ent e son a ni vel de usuar i o ya que es necesar i o asegur ar que qui en i ni ci l a conexi n sea el mi smo usuar i o act i vo dur ant e t odo el t i empo que dur e l a mi sma. Es r ecomendabl e l a dobl e aut ent i caci n, t ant o a ni vel de mqui na como de usuar i o. Cual qui er a sea el caso, l a aut ent i caci n deber ser r enovada f r ecuent ement e. El gateway o ser vi dor VPN deber r eal i zar l a aut ent i caci n a ni vel de mqui na. Si bi en el di sposi t i vo per t enece a l a cor por aci n A, no se l e puede apl i car l a pol t i ca par a der i var t odo su t r f i co haci a l a r ed de per t enenci a ya que se encuent r a en l os domi ni os de l a r ed B y de hecho posee su conf i gur aci n de r ed. Hay que t ener en cuent a que, dada l a nat ur al eza de est e escenar i o, l a notebook necesi t ar i nt er act uar con l os r ecur sos de B. Puede est ar suj et o a est as r est r i cci ones el t r f i co haci a y desde Internet. 3.2.3 Acceso desde una extranet con un dispositivo propio de esta, a la red local Est e es un caso si mi l ar al ant er i or , con l a excepci n que el di sposi t i vo es ext er no a l a r ed dest i no, est a f uer a del cont r ol de est a. Nuevament e el t i po de aut ent i caci n ms i mpor t ant e debe ser a ni vel de usuar i o ya que a ni vel de mqui na es di f ci l de det er mi nar el ni vel de conf i anza sobr e el equi po. Las cr edenci al es del usuar i o deben r enovar se per i di cament e. 3.2.4 Acceso de usuarios mviles desde dispositivos pblicos Los di sposi t i vos de acceso son pbl i cos y no est n baj o el cont r ol de l a or gani zaci n. En el caso donde el di sposi t i vo ut i l i zado no sea pr opi o o no per t enezca a l a or gani zaci n, por ej empl o un usuar i o r emot o mvi l oper ando una PC en un cyber caf , l a aut ent i caci n a ni vel de di sposi t i vo del cl i ent e car ece de sent i do. Tampoco es aconsej abl e el uso de cl aves est t i cas, ya que pueden ser capt ur adas medi ant e un pr ogr ama de capt ur a de t ecl as i nst al ado en di cha PC, an cuando se est e ut i l i zando un smartcard que al macene l as cr edenci al es de usuar i o. Exi st e ot r o i nconveni ent e en est e escenar i o. Al no est ar l a PC baj o el cont r ol de l a or gani zaci n, no es posi bl e que el cl i ent e pueda ver i f i car l os dat os del ser vi dor o gateway VPN con el cual desea conect ar se. Es i mposi bl e el al macenami ent o segur o de i nf or maci n que per mi t a aut ent i car al ser vi dor , pr evi o a l a conexi n, por ej empl o una cl ave pr ecompar t i da ( su uso no es aconsej abl e) o un cer t i f i cado de cl ave pbl i ca de l a CA que emi t i el cer t i f i cado del gateway. VPNs de Acceso Remot o 78
Est a i nf or maci n se i ncor por a al di sposi t i vo al moment o de l a i nst al aci n de un software cl i ent e VPN. Est a oper aci n suel e r equer i r pr i vi l egi os de admi ni st r ador , por l o que ser a di f ci l r eal i zar l o con un di sposi t i vo pbl i co. Peor es l a si t uaci n donde s es posi bl e hacer l o, por que si se obt i enen pr i vi l egi os par a l a i nst al aci n del cl i ent e se t i ene que asumi r que un pr ogr ama mal i ci oso t ambi n l os t endr . En est e escenar i o se apl i can sol uci ones, que si bi en no son ver dader as VPNs, el mer cado ha f or zado a que se l as consi der e como t al es ( Web VPNs) . El uso del pr ot ocol o SSL, pr esent e en l a mayor a de l os cl i ent es web o navegador es, per mi t e un acceso segur o muy l i mi t ado, ni cament e a apl i caci ones basadas en est e pr ot ocol o. Est o r equi er e de un mecani smo de proxy r ever so que per mi t a el manej o de l as pet i ci ones, consi der ando adems unos mecani smos de aut ent i caci n. Como compl ement o a est e acceso l i mi t ado se puede i mpl ement ar l o que se conoce como un si st ema de Eval uaci n y Val i daci n de l a Segur i dad del Ext r emo ( Endpoint Security Posture Assessment and Validation) que per mi t e anal i zar el est ado del di sposi t i vo r emot o y det er mi nar cuan conf i abl e es par a per mi t i r l e l a conexi n. Est o se l ogr a buscando vi r us o pr ogr amas mal i ci osos medi ant e un anl i si s en el di sposi t i vo r emot o, det er mi nando si su SO est a act ual i zado y si t i ene software de segur i dad act i vo y act ual i zado. Si cumpl e con el ni vel de conf i anza esper ado se l e per mi t e l a conexi n, caso cont r ar i o se i mpi de el acceso. Se consi der a i mpr udent e l a ut i l i zaci n de est a cl ase de di sposi t i vos si no se t i ene un ni vel de cer t eza r espect o de l a conf i abi l i dad del mi smo. Est e escenar i o no es el adecuado par a t ener un acceso compl et o a l a r ed l ocal medi ant e l a VPN, debi do a l as l i mi t aci ones del ent or no r espect o a l a i nt egr i dad del pr oceso de aut ent i caci n, t ant o a ni vel de di sposi t i vo como de usuar i o. 3.3 ARQUITECTURA DE SEGURIDAD Cuando desde l a pr opi a r ed l ocal se i nt er act a con equi pos pr esent es en r edes ext er nas como ext r anet s, o pbl i cas como Internet, se accede a un ent or no f uer a del cont r ol de l a or gani zaci n, por l o t ant o i nsegur o. Per mi t i r i nt er act uar equi pos si t uados en est os ent or nos con l os pr opi os de l a or gani zaci n es un panor ama an ms cr t i co que r equi er e t ener pr esent e l a segur i dad consi der ando: Las pol t i cas de segur i dad de l a or gani zaci n y def i ni r su apl i caci n t ant o a l os cl i ent es como al ser vi dor VPN. Def i ni r cl ar ament e l os ser vi ci os de l a r ed l ocal que est ar n di sponi bl es par a l os usuar i os r emot os. Cont r ol del t r f i co ent r ant e y sal i ent e. Un adecuado manej o del ser vi ci o de aut ent i caci n de l os usuar i os r emot os. Una cor r ect a di sposi ci n del gateway VPN en el esquema de l a r ed j unt o con una adecuada i nt er acci n con el firewal. VPNs de Acceso Remot o 79
El ni vel de hardening, o cuan segur o es el gateway VPN si est e se ubi ca di r ect ament e en el bor de de l a r ed. Mant ener un si st ema de audi t or a que r egi st r e l os event os asoci ados a l os accesos a l a VPN. Asegur ar l a di sponi bi l i dad del ser vi ci o de VPN de acceso r emot o 3.3.1 Gateway VPN y Firewall, seguridad en la frontera Un firewall es una combi naci n de har dwar e y software ut i l i zado par a i mpl ement ar una pol t i ca de segur i dad que cont r ol a el t r f i co de dat os ent r e dos o ms r edes. La pol t i ca se apl i ca sol ament e sobr e l a r ed o r edes que est n baj o el cont r ol de l a or gani zaci n 26 . Al conj unt o f or mado por l a r ed o r edes i ncl ui das en el al cance de l a pol t i ca se l o denomi na domi ni o de segur i dad. Es necesar i o t ener cl ar o l os l mi t es de est e domi ni o par a eval uar en f or ma cor r ect a l a apl i caci n de l a pol t i ca. La i nt er secci n con ot r os domi ni os es el escenar i o donde se r equi er e l a pr esenci a de un firewall, es deci r en el bor de o f r ont er a de l a r ed de l a or gani zaci n. Un gateway o ser vi dor VPN per mi t e el acceso a usuar i os r emot os ubi cados f uer a del domi ni o de segur i dad de l a or gani zaci n, como Internet, l a r ed de un pr oveedor u ot r a r ed per t eneci ent e a un domi ni o de segur i dad di f er ent e. Por est a r azn deber est ar ubi cado en el mi smo mbi t o que el firewall. En gener al el gateway VPN es par t e del conj unt o de her r ami ent as y t ecnol og as que br i ndan segur i dad a l a r ed de l a or gani zaci n. Exi st en di f er ent es t opol og as r el aci onadas con l a ubi caci n del gateway VPN, en l a mayor a de el l as es aconsej abl e el di seo basado en DMZ ( Demilitarized Zone) o zona desmi l i t ar i zada, ya que br i nda mayor segur i dad a l a r ed i nt er na. Una DMZ es una r ed donde se ubi can l os equi pos que br i ndan l os ser vi ci os pbl i cos de una or gani zaci n. Est os son accedi dos desde el ext er i or , por est a r azn deben est ar separ ados de l a r ed l ocal de l a or gani zaci n. La DMZ es una r ed ai sl ada de l a r ed i nt er na medi ant e un firewall que se encar ga de pr ot eger st a l t i ma y l os equi pos en l a DMZ. Par a l ogr ar est a separ aci n cuent a con al menos t r es i nt er f ases de r ed: par a l a r ed ext er na, l a DMZ y l a r ed i nt er na. Gateway VPN sobre el Firewall La sol uci n ms nat ur al y si mpl e es l a i mpl ement aci n del ser vi dor VPN en el mi smo di sposi t i vo donde f unci ona el f i r ewal l . Es habi t ual en di sposi t i vos f i r ewal l comer ci al es, l os cual es i ncl uyen f unci onal i dad de gateway VPN en sus pr oduct os, por ej empl o CI SCO en su l nea de pr oduct os f i r ewal l ASA PI X. Est e di seo per mi t e t ener un ni co punt o de ent r ada a l a r ed de l a or gani zaci n, donde el f i r ewal l aut or i za l as conexi ones sal i ent es haci a el ext er i or , pr evi ene l as conexi ones ent r ant es no aut or i zadas haci a el i nt er i or y l a f unci n de gateway VPN es admi ni st r ar l as conexi ones de l os usuar i os r emot os, aut or i zando su acceso y encr i pt ando su t r f i co.
26 Deploying Firewalls Fithen,Allen,Stoner - Carnige Mellon University VPNs de Acceso Remot o 80
Las vent aj as de est e esquema son: Cent r al i za el cont r ol de t oda l a segur i dad, con l o que se di smi nuye el cost o de admi ni st r aci n. La i nt er acci n Firewall- Gateway VPN es nat ur al y di r ect a, l o que f aci l i t a l a cr eaci n di nmi ca de r egl as del firewall apl i cadas al t r f i co VPN. Menos equi pami ent o.
Figura 3-2 Gateway VPN sobre el Firewall Las desvent aj as son: ni co punt o de f al l a. El pr ot ocol o de t nel no es t r anspar ent e al firewall. Una conf i gur aci n i ncor r ect a de l as r egl as del firewall podr an per mi t i r el acceso, a t r avs del espaci o de di r ecci ones de l a VPN, de t r f i co no per mi t i do. Compet enci a de r ecur sos de har dwar e a causa del pr ocesami ent o por par t e de l os dos ser vi ci o. Se r equi er e un equi po pot ent e en CPU y memor i a. Escal abi l i dad l i mi t ada si el di sposi t i vo no sopor t a el agr egado de mdul os par a des/ encr i pt ar . Si se i ncr ement a l a cant i dad de cl i ent es r emot os, el punt o ant er i or ser ms evi dent e. Cost o de ent r enami ent o par a un uso adecuado del di sposi t i vo, si se t r at a de una sol uci n pr opi et ar i a.
VPNs de Acceso Remot o 81
Gateway VPN y Firewall en paralelo Como en el di seo ant er i or l os ser vi ci os se si t an separ ados f si cament e en di f er ent es equi pos, per o est a vez l a separ aci n del pr ocesami ent o es compl et a. Est e esquema se basa en una DMZ est ndar donde ambos di sposi t i vos t i enen acceso a l a r ed i nt er na y a l a r ed ext er na, est abl eci ndose una zona buf f er ent r e el gateway pr edet er mi nado de l a r ed l ocal , el f i r ewal l y el Gateway VPN. Las vent aj as son: Pr ocesami ent o en par al el o de t r f i co espec f i co sobr e l os di sposi t i vos cor r espondi ent es. Se desl i ga compl et ament e al f i r ewal l de at ender el t r f i co r el aci onado con l a VPN. Mej or escal abi l i dad r espect o del cr eci mi ent o de usuar i os r emot os. Se puede agr egar mas ser vi dor es VPN y di st r i bui r l a car ga. No hay un ni co punt o de f al l a. No se r equi er e pr ocesami ent o NAT en el gateway VPN ni en el firewall.
Figura 3-3 Esquema en paralelo
VPNs de Acceso Remot o 82
Las desvent aj as son: El ser vi dor VPN est a conect ado di r ect ament e a l a r ed ext er na. Debe conf i gur ar se cui dadosament e ( hardening) par a evi t ar que sea compr omet i do. Conf i gur ar cui dadosament e ambos equi pos par a evi t ar el f l uj o de t r f i co no per mi t i do. I ncr ement o en el cost o de admi ni st r aci n y mant eni mi ent o de l as conf i gur aci ones. Mayor cost o econmi co por l a adqui si ci n de equi pos Est e di seo se basa en una DMZ t r adi ci onal , donde el di sposi t i vo que separ a l a r ed l ocal es un router de f i l t r ado de paquet es, l o cual l o hace un esquema poco segur o. Dependi endo del ni vel de segur i dad que br i nda el ser vi dor VPN, es r ecomendabl e ubi car ant es o despus de st e un firewall dedi cado par a asegur ar el t r f i co ent r ant e VPN ant es de al canzar l a r ed i nt er na. Est a al t er nat i va agr ega una demor a en el pr ocesami ent o de l os dat os y r equi er e compat i bi l i dad con el pr ot ocol o de t nel . Gateway VPN integrado a DMZ nica El gateway VPN se ej ecut a en un di sposi t i vo separ ado del firewall, una de sus i nt er f aces se conect a a l a r ed ext er na mi ent r as que l a r est ant e se conect a a l a ni ca DMZ compar t i da con el firewall. En est e caso el t r f i co VPN es at endi do por el Gateway VPN y es f i l t r ado por el firewall a t r avs l as i nt er f aces de ambos equi pos en l a DMZ, par a f i nal ment e r eenvi ar l o a l a r ed l ocal i nt er na. Est e es un di seo si mpl e y muy segur o, por l o t ant o el ms adecuado. Las vent aj as son: Di st r i buci n del pr ocesami ent o del t r f i co ent r ant e, el gateway se encar ga est r i ct ament e del t r f i co VPN. Menor conf i gur aci n r el aci onada al t r f i co VPN en el firewall. Mayor segur i dad al t r f i co de l a VPN que l l ega a l a r ed i nt er na. El t r f i co VPN puede ser anal i zado par a pr eveni r at aques en su paso por l a i nt er f az de l a DMZ del firewall. El pr ocesami ent o del t r f i co VPN, en el firewall, es i ndependi ent e del pr ot ocol o de t nel ut i l i zado y no se r equi er e pr ocesami ent o NAT.
VPNs de Acceso Remot o 83
Figura 3-4 Gateway VPN con DMZ nica
Las desvent aj as son: El ser vi dor VPN est a conect ado di r ect ament e a l a r ed ext er na. Debe conf i gur ar se cui dadosament e ( har deni ng) par a evi t ar que sea compr omet i do. El firewall r epr esent a un ni co punt o de f al l a. Gateway VPN y Firewall con doble DMZ Est e es un esquema de mxi ma segur i dad apl i cado al gateway VPN. Se ut i l i zan dos DMZ par a separ ar el f l uj o ent r ant e y sal i ent e de l a VPN. Nuevament e l os ser vi ci os se encuent r an en di sposi t i vos separ ados, per o sol o el f i r ewal l se conect a a l a r ed ext er na. Est e f i l t r a el f l uj o VPN ent r ant e y sal i ent e a t r avs de dos DMZ est abl eci das. Est e esquema, si bi en es muy segur o, agr ega demor a al pr ocesami ent o del t r f i co ya que se r equi er e at r avesar dos r edes adems del dobl e anl i si s por par t e del f i r ewal l , si n embar go el t r f i co VPN ent r ant e a l a r ed i nt er na es conf i abl e. Las vent aj as son: Acceso r emot o haci a l a r ed i nt er na es muy segur o. Separ aci n del f l uj o VPN ent r ant e y sal i ent e, l o que per mi t e apl i car l e r egl as de cont r ol de f or ma ms espec f i ca. VPNs de Acceso Remot o 84
Figura 3-5 Uso de una doble DMZ Las desvent aj as son: Dobl e pr ocesami ent o del t r f i co VPN, pr oveni ent e de l os cl i ent es r emot os medi ant e l a DMZ Outside y de l a r ed i nt er na a t r avs de l a DMZ Inside. El firewall es dependi ent e del pr ot ocol o de t nel , al menos dur ant e el pr ocesami ent o en su i nt er f az conect ada en l a DMZ Outside. Al t o cost o admi ni st r at i vo de l a conf i gur aci n 3.3.2 Disponibilidad El ser vi ci o de acceso r emot o en una or gani zaci n r epr esent a un val or act i vo de l a mi sma, ya que per mi t e un mej or desar r ol l o de l as act i vi dades de sus i nt egr ant es. Muchas veces ms que por una r azn de ef i ci enci a es por una necesi dad est r at gi ca, en concor danci a con l os obj et i vos que per si gue l a or gani zaci n. Es deci r , l a pr esenci a de t al r ecur so t i ene un f undament o y cumpl e con un r equer i mi ent o i mpor t ant e de l a or gani zaci n. Es en est e mar co que asegur ar l a di sponi bi l i dad del ser vi ci o de acceso r emot o es un aspect o a consi der ar . La di sponi bi l i dad o Al t a di sponi bi l i dad o HA ( High Availability) de una VPN de acceso r emot o est en f unci n de l os cost os que puede asumi r l a or gani zaci n ya que i mpl ement ar HA no es bar at o. VPNs de Acceso Remot o 85
Hay t r es esquemas r econoci dos que se ut i l i zan par a est e f i n l os cual es son de nat ur al eza l ocal , es deci r se apl i can donde se encuent r a el gateway VPN. Est os se basan en el concept o de failover, que si gni f i ca l a capaci dad de cambi ar o del egar el cont r ol en f or ma aut omt i ca a un di sposi t i vo o equi po r edundant e par a que t ome el manej o del ser vi ci o o f unci n par a l a cual se i mpl ement est e mecani smo. Los esquemas usados par a al t a di sponi bi l i dad son: Host standby failover: en est e esquema hay dos ser vi dor es VPN, uno de l os cual es est a i nact i vo ( host standby) r espect o de su f unci n, mi ent r as que el r est ant e est oper ando como t al . Ant e l a f al l a de est e l t i mo se act i va y t oma el cont r ol el segundo ser vi dor . Par a que est o suceda deben exi st i r ci er t os mecani smos como pr ot ocol os par a failover y si ncr oni zaci n ent r e l as uni dades de l a i nf or maci n de l as sesi ones VPN de maner a de mi ni mi zar l a i nt er r upci n dur ant e el failover. Active-active failover: en est e caso ambas uni dades est n oper ando y manej ando el t r f i co. Medi ant e el pr ot ocol o de failover se moni t or ea el est ado de ambos equi pos. Dado que ambos equi pos est n oper ando l a f al l a de uno de el l os act i var el mecani smo de failover si n i nt er r umpi r el ser vi ci o. Mutiunit clustering: si mi l ar al esquema ant er i or per o con ms de dos uni dades. Si bi en se ut i l i za par a br i ndar al t a di sponi bi l i dad, su comet i do pr i nci pal es mej or ar l a escal abi l i dad. Est e esquema of r ece r edundanci a y bal anceo de car ga cuando aument a el nmer o de cl i ent es r emot os. Est a sol uci n es l a ms cost osa y r equi er e ent r enami ent o del per sonal par a una cor r ect a admi ni st r aci n.
Figura 3-6 Alta disponibilidad con Failover Activo VPNs de Acceso Remot o 86
Figura 3-7 Alta disponibilidad mediante un Cluster 3.3.3 Autenticacin, Autorizacin y Registro (AAA) El manej o ef ect i vo de l os usuar i os VPN y de sus pr i vi l egi os de acceso es vi t al en cual qui er di seo de VPN de acceso r emot o. Exi st en dos aspect os pr i nci pal es a consi der ar : Una sol uci n segur a y escal abl e par a aut ent i car usuar i os Deci si ones basadas en at r i but os de usuar i o y de segur i dad par a def i ni r l os per mi sos de acceso. La t ecnol og a AAA per mi t e est abl ecer un esquema de segur i dad di nmi co r espect o del cont r ol de acceso. En l a act ual i dad exi st e una gr an var i edad de mecani smos que per mi t en aut ent i car a un usuar i o, de hecho l os pr ot ocol os de VPN se car act er i zan por est o. Adems es necesar i a l a asi gnaci n de pr i vi l egi os en f or ma di nmi ca de acuer do al r ol del usuar i o que i nt ent a acceder r emot ament e. Adems de val i dar al usuar i o, el pr oceso de aut ent i caci n per mi t e asi gnar al usuar i o a una pol t i ca de gr upo. Est a asi gnaci n se r eal i za en base a l a i nf or maci n de gr upo del usuar i o en l a or gani zaci n y a ot r os at r i but os. Est a pol t i ca de gr upo def i ne l os pr i vi l egi os de acceso del usuar i o par a l a f ase de aut or i zaci n. Dent r o de l os pr ot ocol os AAA r econoci dos est RADI US cuyas especi f i caci ones apar ecen en l a RFC 2058. st e posee l a condi ci n de pr ot ocol o est ndar por l a I ETF 27 . TACACS es ot r o conoci do pr ot ocol o AAA desar r ol l ado por CI SCO. Obvi ament e se t r at a de una al t er nat i va pr opi et ar i a, que se encuent r a y ut i l i zan, por def ect o, t odos l os di sposi t i vos de est e f abr i cant e.
27 I nt er net Engi neer i ng Task For ce: Comuni dad pbl i ca i nt er naci onal cuyo obj et i vo es el mej or ami ent o const ant e de I nt er net . Su mi si n se document a en l a RFC- 3935. VPNs de Acceso Remot o 87
Componentes Principales Dent r o de una ar qui t ect ur a AAA exi st en component es que i nt er act an ent r e s . Est a di st i nci n no r ef i er e a di sposi t i vos f si cos dedi cados si no a cont enedor es l gi cos de f unci ones, l os cual es suel en est ar combi nados: Cliente: es qui en i nt ent a acceder a l a r ed y aut ent i car se a si mi smo o ser vi r como medi o par a aut ent i car al usuar i o que l o ut i l i za. Punto de Aplicacin de Poltica (PEP): t ambi n denomi nado aut ent i cador . En est e caso se t r at a del gateway VPN, pr ocesa l a sol i ci t ud de acceso del cl i ent e y se encar ga de apl i car l as r est r i cci ones al acceso del cl i ent e. Punto de Informacin de Poltica (PIP): es un r eposi t or i o de i nf or maci n que ayuda a t omar l a deci si n de per mi t i r o no el acceso. Se t r at a de cual qui er si st ema que al macene dat os r el evant es r espect o del di sposi t i vo o usuar i o que r equi er e acceso. Por ej empl o ser vi dor LDAP, OTP token server et c. Punto de Decisin de Poltica (PDP): es el component e pr i nci pal de l a ar qui t ect ur a que t oma l a deci si n de per mi t i r o no el acceso. Est e r eci be l a sol i ci t ud de acceso del cl i ent e a t r avs del PEP. Tambi n consul t a al PI P par a obt ener i nf or maci n necesar i a par a t omar l a deci si n. Tambi n puede envi ar al PEP i nf or maci n espec f i ca par a l a aut or i zaci n del cl i ent e par a que el PEP apl i que l as r est r i cci ones en l os pr i vi l egi os de acceso cor r espondi ent es. Sistema de Registro y Autenticacin: est e component e r egi st r a l os di f er ent es event os r el aci onados con el acceso de l os cl i ent es r emot os. Adems per mi t e gener ar r epor t es que r el aci onan est os event os par a descr i bi r el compor t ami ent o de l a VPN. Est e puede f unci onar en un di sposi t i vo dedi cado o ser par t e del PDP. Servidores de autenticacin El di seo de un si st ema AAA var a dependi endo del t amao de l a r ed y de l a di spar i dad de mt odos de acceso que se r equi er an. En gener al l as opci ones par a ser vi dor es de aut ent i caci n pueden di vi di r se en dos cat egor as: Servidor AAA dedicado ejecutando RADIUS: en est e caso el ser vi dor AAA es l a i nt er f ase ent r e el gateway VPN ( PEP) y el ser vi dor de i dent i dad ( PI P) , ser vi dor LDAP, ser vi dor de Token OTP, Active Directory. Est a i nt er acci n es medi ant e el pr ot ocol o RADI US. Est a es una sol uci n f l exi bl e ya que el pr opi o pr ot ocol o sopor t a l a i nt er acci n con una gr an var i edad de mt odos de acceso. VPNs de Acceso Remot o 88
Gateway VPN interactuando con un PIP: en est a si t uaci n depende del gateway i nt er act uar con el ser vi dor de i dent i dad o PI P, por l o t ant o deber sopor t ar l a i nt er acci n con di f er ent es t i pos de ser vi dor es de i dent i f i caci n. Un aspect o a t ener en cuent a con est e model o es l a capaci dad del gateway par a obt ener i nf or maci n adi ci onal del cl i ent e o usuar i o par a apl i car l o a l a f ase de aut or i zaci n. Sopor t ar est a car act er st i ca r equi er e una mayor dependenci a ent r e el gateway y el PI P. 3.3.4 Administracin y monitoreo La admi ni st r aci n y moni t or eo del ser vi ci o de VPN son aspect os i mpor t ant es a consi der ar , si mpl ement e por que per mi t en a l os admi ni st r ador es manej ar y conocer el est ado del ser vi ci o adems de su i mpact o en l a r ed l ocal . Est o se apl i ca en f or ma gener al par a t odas l as VPNs, no sol o a l as de acceso r emot o. Como cont r apar t i da a l a i mpor t anci a de est as act i vi dades, est a el cost o que r epr esent a par a l a or gani zaci n cumpl i r con est as. Est o en t r mi nos de equi pami ent o y el ent r enami ent o necesar i o del per sonal admi ni st r at i vo. En el escenar i o gener al de VPNs, est e es el pr i nci pal mot i vo par a t ener que deci di r por un ser vi ci o pr ovi st o por un pr oveedor o por l a mi sma or gani zaci n. El moni t or eo per mi t e est abl ecer una l nea base par a r ef er enci a de f ut ur as medi ci ones y det er mi nar cuando l as condi ci ones son l as nor mal es y cuando se pr esent an casos at pi cos que r epr esent an pr obl emas que deber an gener ar una al ar ma. La admi ni st r aci n r equi er e t ener l as her r ami ent as necesar i as par a el cumpl i mi ent o de t ar eas r el aci onadas al manej o de usuar i os, cl i ent es VPN y del ser vi dor VPN. La capaci dad de admi ni st r aci n y moni t or eo va a depender de l as her r ami ent as y ut i l i dades que pr ovea l a sol uci n i mpl ement ada. El moni t or eo en una VPN de acceso r emot o i mpl i ca det er mi nar el est ado del gateway VPN y l as sesi ones est abl eci das de l os usuar i os. Ent r e l os par met r os de i mpor t anci a a moni t or ear se pueden di st i ngui r : Respect o del gateway: Ut i l i zaci n del Ancho de Banda. Est ad st i cas de l as i nt er f aces pbl i cas y pr i vadas ( Outside vs. Inside) . Uso del CPU. Troughtput r espect o de cant i dad de sesi ones en un per odo de t i empo. Respect o de l as sesi ones de usuar i o Ranki ng de usuar i os con mayor act i vi dad en un per odo de t i empo r espect o de: o Throughput o Dur aci n de l a conexi n o Tr f i co t ot al ( Inbound+Outbound) o Per odos de t i empo de mayor act i vi dad. VPNs de Acceso Remot o 89
I nt ent o Fal l i dos de conexi ones. 3.4 PROTOCOLOS En l os escenar i os de acceso r emot o se dest acan al gunos pr ot ocol os de t nel t ant o de capa 2, 3 y 4. En el cap t ul o 2 se han descr i t o l a mayor a de el l os, en par t i cul ar L2TP, L2F y PPTP de capa 2, mi ent r as que de capa 3 se ha menci onado I PSec y en capa 4 SSH y SSL. En l a act ual i dad l os ms dest acados en f unci n de l as sol uci ones VPN exi st ent es son I PSec y SSL. Si n embar go el pr ot ocol o SSH o Secure Shell per mi t e est abl ecer un t nel que se ut i l i za par a acceso r emot o. SSH sol o t r anspor t a t r f i co cor r espondi ent e a apl i caci ones basadas en TCP. A cont i nuaci n se descr i bi r n l os pr ot ocol os SSH, I PSec y SSL menci onando l os aspect os ms i mpor t ant es de cada uno, desde una per spect i va gl obal de i mpl ement aci n par a una VPN de acceso r emot o. 3.4.1 SSH Lo ms dest acado del uso de SSH es l a posi bi l i dad de br i ndar un canal segur o a aquel l os pr ot ocol os TCP que no l o son, como l os pr ot ocol os de cor r eo el ect r ni co o de t er mi nal r emot a. A est a f unci onal i dad se l a conoce como r eenv o de puer t os ( port forwarding) . El concept o es desvi ar el t r f i co asoci ado a un puer t o de una conexi n, haci a un puer t o manej ado por SSH y t r anspor t ar l o a t r avs del t nel SSH haci a el ot r o ext r emo en f or ma encr i pt ada. Es necesar i o un cl i ent e y un ser vi dor SSH con una cuent a de usuar i o vl i da par a el cl i ent e. Exi st en dos cl ases de r eenv o de puer t os: l ocal y r emot o. Est os son est abl eci dos por el cl i ent e SSH. Reenvo Local de Puerto (Local Port Forwarding) Tambi n denomi nado t nel sal i ent e, r eenv a el t r f i co que l l ega a un puer t o l ocal en el cl i ent e, haci a un puer t o r emot o ubi cado en el ser vi dor . Es necesar i o que el cl i ent e pueda r egi st r ar se en el ser vi dor medi ant e un usuar i o vl i do, por l o t ant o el t r f i co SSH haci a el ser vi dor deber est ar per mi t i do. Est o habi l i t a el acceso a puer t os no di sponi bl es en f or ma di r ect a. La si nt axi s del comando SSH par a est a f unci onal i dad es: ssh L local_port:remote_host:remote_port [username]@ssh_server Est e comando r eenv a el t r f i co dest i nado a local_port haci a el remote_port del remote_host l uego de l a conexi n y aut ent i caci n en ssh_server. En gener al remote_host se r ef i er e al pr opi o ssh_server, per o no si empr e es as . Exi st en si t uaci ones donde remote_host es ot r o equi po en l a mi sma r ed que ssh_server y donde se ej ecut a l a apl i caci n cuyo puer t o de conexi n es remote_port. En est a ci r cunst anci a, ssh_server es el i nt er medi ar i o de l a conexi n ent r e el cl i ent e SSH y remote_host. Es i mpor t ant e acl ar ar que est a l t i ma par t e de l a conexi n es r eal i zada si n encr i pt aci n. Un ej empl o pr ct i co del r eenv o l ocal de puer t os es l a conexi n al ser vi ci o de cor r eo el ect r ni co medi ant e un t nel SSH par a br i ndar segur i dad al pr oceso de aut ent i caci n POP3. La Fi gur a 3- 8, i l ust r a l a si t uaci n de un usuar i o mvi l conect ndose a su r ed l ocal en f or ma r emot a medi ant e SSH par a pr ocesar su cor r eo el ect r ni co en f or ma segur a. VPNs de Acceso Remot o 90
Figura 3-8 SSH Reenvo Local de puerto En l a r ed l ocal exi st e un ser vi dor SSH y un ser vi dor de cor r eo el ect r ni co, ambos ej ecut ndose en equi pos di f er ent es per o en l a mi sma r ed. El usuar i o r emot o se aut ent i ca en el ser vi dor SSH con una cuent a de usuar i o vl i da y ej ecut a en su cl i ent e el comando par a r eenvi ar el t r f i co POP3 medi ant e el t nel SSH. A cont i nuaci n el usuar i o medi ant e su apl i caci n de cor r eo el ect r ni co o MUA ( Mail User Agent) se conect a en f or ma l ocal al puer t o 1110 donde el t r f i co POP3 ser manej ado por el cl i ent e SSH y t r anspor t ado por el t nel hast a el ser vi dor SSH r emot o. En el ot r o ext r emo, el ser vi dor SSH r eenv a el t r f i co del cl i ent e haci a el ser vi dor de cor r eo, est a l t i ma conexi n no es encr i pt ada. El ser vi dor de cor r eo r esponde al ser vi dor SSH el cual r eenv a l a r espuest a al cl i ent e SSH. Est o es posi bl e si l as pol t i cas de segur i dad de l a or gani zaci n per mi t en est abl ecer conexi ones SSH desde el ext er i or haci a al gn gateway de l a r ed l ocal . Reenvo Remoto de Puerto (Remote Port Forwarding) Denomi nado t ambi n t nel ent r ant e, r eenv a el t r f i co que ar r i ba a un puer t o r emot o en el ser vi dor , haci a un host y puer t o l ocal espec f i co en el cl i ent e, ( Fi gur a 3- 9) . Par a est o el cl i ent e i ni ci a una conexi n SSH con el ser vi dor medi ant e el comando: ssh R remote_port:local_host:local_port [username]@ssh_server Est e comando conect a y est abl ece una sesi n con el ser vi dor SSH ut i l i zando username y sol i ci t a r edi r ecci onar el t r f i co que ar r i be a remote_port de ssh_server haci a local_port en local_host. Est e esquema habi l i t a el acceso desde el ext er i or haci a al gn ser vi ci o i nt er no en local_host medi ant e ssh_server como i nt er medi ar i o. Par a que est o f unci one, ssh_server deber ej ecut ar un pr oceso que escuche en remote_port.
VPNs de Acceso Remot o 91
Figura 3-9 SSH reenvo Remoto de puerto Como un ej empl o consi der ar el ser vi ci o de cont r ol r emot o o VNC, que per mi t e el cont r ol r emot o de un equi po. st e ut i l i za el puer t o TCP 5900, con l o cual el comando SSH par a el r eenv o r emot o sol i ci t a que t odo el t r f i co que ar r i be al puer t o r emot o 5900 en ssh_server se r eenv e al equi po l ocal al mi smo puer t o. ssh R 5900:pc_a_controlar:5900 user@ssh_server Al l est ar f unci onado el ser vi dor VNC pr opi o del equi po a cont r ol ar . El admi ni st r ador r emot o deber ej ecut ar el vi sor VNC desde su equi po y ent onces podr vi sual i zar el escr i t or i o de l a PC a cont r ol ar . Est o es posi bl e si l as pol t i cas de segur i dad de l a or gani zaci n per mi t en est abl ecer conexi ones SHH haci a el ext er i or . En l a pr ct i ca ut i l i zar SSH r equi er e conoci mi ent o por par t e del usuar i o par a conf i gur ar un acceso r emot o. Si n embar go exi st en her r ami ent as que f aci l i t an su ut i l i zaci n medi ant e i nt er f aces gr f i cas. Es una her r ami ent a t i l en si t uaci ones donde el acceso r emot o es una excepci n y se r eal i za baj o det er mi nadas condi ci ones, como por ej empl o l a pr esenci a de un ser vi dor SSH, pol t i cas de segur i dad de l a or gani zaci n que per mi t an l os t i pos de conexi ones necesar i as. Por l o gener al es ut i l i zado por l os admi ni st r ador es de r edes par a el acceso r emot o, per o no como una sol uci n cor por at i va par a el gr ueso de l os usuar i os mvi l es de l a mi sma. Tampoco es una sol uci n escal abl e, dado que es necesar i a l a i nst al aci n del software SSH en cada cl i ent e y l a conf i gur aci n manual de l a conexi n con sus par t i cul ar i dades en cada uno de el l os. 3.4.2 IPSec Las VPN I PSec ext i enden el per met r o de segur i dad de una r ed per mi t i endo l a conexi n de hosts i ndi vi dual es o r edes ent er as. Una VPN segur a ver i f i ca l a i dent i dad de l os ext r emos del t nel . A di f er enci a de l as VPN r ed a r ed ut i l i zando I PSec, l as de acceso r emot o r equi er en mayor consi der aci n r espect o de l a aut ent i caci n de l as par t es que se comuni can, en gener al par a evi t ar est abl ecer t nel es con par t es no aut or i zadas. En par t i cul ar por que en est e escenar i o, habr muchos cl i ent es i nt ent ando conect ar se a l os r ecur sos de l a r ed l ocal de l a or gani zaci n. Adems por que se t r at an de conexi ones t empor al es y el or i gen de r ed de l as mi smas var a con f r ecuenci a. VPNs de Acceso Remot o 92
Es i mpor t ant e consi der ar que en I PSec l a aut ent i caci n pr ecede el est abl eci mi ent o del canal segur o por donde se l l evar a cabo l a comuni caci n ent r e l as par t es, por l o t ant o, cual qui er vul ner abi l i dad que pueda ser expl ot ada en est a pr i mer a et apa, compr omet er el r est o de l a comuni caci n. El pr ot ocol o I PSec encar gado de r eal i zar l a aut ent i caci n de l as par t es es I KE. Est e pr ot ocol o de i nt er cambi o de cl aves pr esent a dos f ases en su oper aci n, t r es modos, una var i edad de mecani smos par a l l evar a cabo l a aut ent i caci n, per o ms i mpor t ant e an una nueva ver si n de est e pr ot ocol o: I KEv2 28 , l a cual no es i nt er oper abl e con I KEv1. De maner a que son var i os aspect os que hay que consi der ar par a l a i mpl ement aci n de una VPN I PSec de acceso r emot o con mecani smos de aut ent i caci n segur os. La pr i mer a ver si n de I KE es l a ms di f undi da ent r e l os pr oduct os que i mpl ement an I PSec. Su f or ma de oper aci n t r ae apar ej ado r i esgos de segur i dad si el mecani smo de aut ent i caci n ut i l i zado no es el adecuado. La segunda ver si n, ya def i ni da como est ndar por el I ETF es una mej or a de l a ant er i or poni endo nf asi s en l a sol uci n a est os pr obl emas. Act ual ment e se r ecomi enda ut i l i zar I KEv2 si se r equi er e i mpl ement ar una VPN de acceso r emot o I PSec por pr i mer a vez. En casos donde ya hubi er a una VPN est abl eci da, se r ecomi enda ut i l i zar l os mecani smos de aut ent i caci n que evi t en el at aque conoci do como hombr e del medi o, como encr i pt aci n de cl ave pbl i ca y f i r ma di gi t al con uso de cer t i f i cados. El pr ot ocol o I KE se basa en l a i dent i f i caci n de l os par es que se conect an como par t e del pr oceso de aut ent i caci n. Puede ut i l i zar var i os t i pos est ndar de i dent i f i caci n: di r ecci n I P ( I pv4 e I pv6) , nombr e del host FQDN ( Fullly Qualified Domain Name) , una di r ecci n de cor r eo el ect r ni co, o un nombr e di st i ngui do DN ( Distinguished Name) X. 500 LDAP ( Lightweight Directory Access Protocol) . Est as i dent i f i caci ones necesi t an ser compr obadas, par a est o se ut i l i zan l os mt odos de aut ent i caci n. Los i dent i f i cador es de l os par es pueden encr i pt ar se o no, segn el modo ut i l i zado en l a pr i mer a f ase de I KE. En el modo agr esi vo el I D de l os host s se t r ansmi t e en t ext o cl ar o. Est o per mi t e que esa i nf or maci n pueda ser capt ur ada y mani pul ada par a un at aque del t i po menci onado ant er i or ment e. Por l o t ant o una VPN de acceso r emot o deber usar el modo main de I KE el cual si encr i pt a el I D de l os hosts. Por ot r o l ado, deber descar t ar se l a aut ent i caci n medi ant e cl ave pr e compar t i da ( PSK) con el modo main, ya que est a combi naci n modo/ mt odo- aut ent i caci n, r equi er e usar como I D l a di r ecci n I P de qui en i ni ci a l a conexi n, en est e caso el cl i ent e r emot o. Dado que se t r at a de cl i ent es mvi l es, l a di r ecci n I P or i gen de est os es de nat ur al eza di nmi ca y puede var i ar dur ant e una mi sma sesi n.
28 RFC 4306 - Internet Key Exchange (IKEv2) Protocol VPNs de Acceso Remot o 93
Tal como se menci ona en l a i nt r oducci n de est e cap t ul o, es muy i mpor t ant e en est e escenar i o de VPN, i mpl ement ar una dobl e aut ent i caci n par a el cl i ent e: basada en host y en usuar i o. Una desvent aj a de I KEv1 es l a f al t a de est e l t i mo t i po de aut ent i caci n. Si bi en se han i mpl ement ado ext ensi ones a I KEv1 por al gunos f abr i cant es, como l a aut ent i caci n ext endi da ( XAUTH) de Ci sco, est as no han si do consi der adas como est ndar es por par t e de l a I ETF. Los gateways VPN que ut i l i zan XAUTH sol i ci t an al usuar i o un segundo l ogi n; si t i ene xi t o se cont i na con l a segunda f ase de I KE que pr epar a l a conexi n I PSec, caso cont r ar i o se f i nal i za el i nt er cambi o I KE y no se l l eva a cabo l a conexi n. Una al t er nat i va a XAUTH es l a encapsul aci n L2TP sobr e I PSec, per mi t i endo l a aut ent i caci n de un usuar i o medi ant e l os mecani smos de L2TP basados en PPP. I KEv2 f ue desar r ol l ado t eni endo en cuent a est a desvent aj a y l ogr ar r esol ver l a. I nt r oduj o en su di seo l o que se denomi na mecani smos de aut ent i caci n her edados ( legacy authentication) ; est os i mpl ement an l a aut ent i caci n de un usuar i o sobr e un ser vi dor . Es el caso de l os mecani smos de passwords e i nt er cambi os desaf os/ r espuest as ( Challenge/response Authentication) ( PAP/ CHAP) . En par t i cul ar i mpl ement a l os mecani smos def i ni dos en l a RFC 3748( Extensible Authentication Protocol) . Ambas ver si ones de I KE no son i nt er oper abl es, por l o que si se deci de ut i l i zar l a l t i ma ver si n sobr e una est r uct ur a de VPN de acceso r emot o ya exi st ent e, deber mi gr ar se t odo el software I PSec de l os component es de l a VPN por aquel l as que cont engan l a ver si n 2 de I KE. De acuer do a l a i nt r oducci n de est e cap t ul o una VPN I PSec de acceso r emot o va a consi st i r de un ser vi dor VPN y de var i os cl i ent es VPN que se conect ar n al ser vi dor . El ser vi dor se ej ecut ar en un di sposi t i vo de bor de de l a r ed de l a or gani zaci n. Puede hacer l o en el mi smo firewall o bi en en ot r o equi po. Hay que consi der ar l as pol t i cas de segur i dad de l a or gani zaci n y est abl ecer en f unci n de est as l os par met r os necesar i os par a def i ni r l as pol t i cas de segur i dad I PSec ( SP) a par t i r de l as cual es se der i var n l as asoci aci ones de segur i dad de I KE ( I KE SA) e I PSec ( I PSec SA) . Est os par met r os t i enen que ver con l as di r ecci ones I P de l os hosts a l os cual es se l es br i ndar el ser vi ci o de segur i dad, l os puer t os y pr ot ocol os a pr ot eger y l as Asoci aci ones de segur i dad que ef ect i vi zar n el ser vi ci o, es deci r que segur i dad apl i car . Est o l t i mo i mpl i ca det er mi nar l os al gor i t mos de aut ent i caci n, de encr i pt aci n, pr ot ocol o de segur i dad, modo de oper aci n a usar con est a pol t i ca. Est a i nf or maci n se al macena en base de dat os. Como se menci on en el cap t ul o ant er i or , exi st en dos cl ases de bases de dat os: l a r ef er i da a l as pol t i cas de segur i dad ( SPD) y l a de asoci aci ones de segur i dad ( SAD) . La pr i mer a especi f i ca l as pol t i cas que det er mi nan el t r f i co ent r ant e o sal i ent e que debe ser asegur ado, si bi en t odo el t r f i co es pr ocesado por el mot or I PSec. La segunda cont i ene par met r os r el aci onados con cada asoci aci n de segur i dad act i va, que i ndi can cmo pr ocesar y que ser vi ci o de segur i dad apl i car . VPNs de Acceso Remot o 94
Cuando un cl i ent e r emot o se conect a debe r eci bi r i nf or maci n de conf i gur aci n de r ed r ef er ent e a l a r ed de l a or gani zaci n dest i no de l a conexi n. Est o se puede l ogr ar medi ant e l a encapsul aci n L2TP sobr e I PSec, donde l os mecani smos PPP per mi t e obt ener l a di r ecci n I P l ocal par a el host r emot o( PPP I PCP) , si n embar go l a i nf or maci n di nmi ca of r eci da es muy escasa y no es un mecani smo i nt egr ado a I PSec. Exi st e ot r o mt odo que i mpl ement a I PSec, def i ni do en l a RFC 3456 que per mi t e el i nt er cambi o de mensaj es DHCP v4 l uego de l a f ase dos de I KE o quick mode en modo t nel . Par a est o el cl i ent e def i ne una asoci aci n de segur i dad DHCP ( DHCP SA) l a cual sol o es ut i l i zada par a el i nt er cambi o de t r f i co DHCP. Di cha SA puede ser el i mi nada o segui r si endo ut i l i zada ent r e l as par t es. 3.4.3 SSL/TLS Dent r o de l as VPN SSL de acceso r emot o, ha sur gi do l a t endenci a, i mpuest o por el mar ket i ng de l os f abr i cant es, de consi der ar l os navegador es web con sopor t e SSL, como una sol uci n VPN SSL si n cl i ent e ( clientless) , r ef i r i endo a que no es necesar i a l a pr esenci a de software cl i ent e VPN espec f i co par a l a conexi n. En r eal i dad est e esquema no r epr esent a r eal ment e una VPN. Se t r at a de un si st ema que i mpl ement a t ant o un web proxy o un mecani smo de t r aducci n de pr ot ocol os de apl i caci n ( Application Traslation) . En el pr i mer caso, exi st e un di sposi t i vo ser vi dor que act a como i nt er medi ar i o ent r e l os ser vi ci os dest i no y el cl i ent e r emot o. El proxy r eci be l a pet i ci n del cl i ent e, l a r escr i be por compl et o y l a env a al ser vi dor dest i no. Ant es del r eenv o, el proxy puede anal i zar l a cor r ect i t ud del r equer i mi ent o en busca de sol i ci t udes mal f or madas cr eadas con l a i nt enci n de un at aque. La r espuest a del ser vi dor dest i no r ecor r e el cami no i nver so, haci a el proxy pr i mer o y de al l al cl i ent e. Toda l a conexi n se r eal i za en segur o baj o SSL. Est e f unci onami ent o r equi er e que el proxy sopor t e l os pr ot ocol os par a l os cual es va a oper ar . En el segundo caso, un pr ot ocol o de apl i caci n se adapt a o se t r aduce a HTTP y HTML par a poder ser vi sual i zado en un navegador . Est e mt odo se apl i ca sobr e l a base de pr ot ocol os i ndi vi dual es y es necesar i o un t r aduct or por cada uno de est os, si n embar go est e mecani smo no es apl i cabl e a cual qui er pr ot ocol o. Una VPN SSL ver dader a i mpl i ca l a pr esenci a de un software cl i ent e en el di sposi t i vo que i nt er act e con el ser vi dor par a l a cr eaci n de un t nel por el cual se t r ansmi t e t r f i co I P en f or ma segur a. Los mecani smos ant er i or es no pr oveen est a cl ase de conect i vi dad. Exi st en sol uci ones VPN SSL ver dader as, donde el t nel cr eado per mi t e l a comuni caci n segur a i ndependi ent ement e del pr ot ocol o de apl i caci n que se ej ecut e. Est o per mi t e, si l as pol t i cas de segur i dad l o di sponen, acceso compl et o a l a r ed dest i no. Si n embar go el mer cado ha i mpuest o l as sol uci ones clientless o semi-clientless como sol uci ones baj o l a et i quet a de VPN SSL. 3.4.4 Comparativa de las tecnologas de acceso remoto Est e cuadr o pr esent a una compar aci n ent r e l as t ecnol og as VPN de acceso r emot o de mayor uso en l a act ual i dad. Cuando se consi der a i mpl ement ar el ser vi ci o de acceso r emot o l as t ecnol og as a consi der ar son I PSec y SSL/ TLS. VPNs de Acceso Remot o 95
En par t i cul ar l a ut i l i zaci n de I PSec es ant er i or a l a apl i caci n de SSL/ TLS como pr ot ocol o par a VPNs, pr i nci pal ment e en el cont ext o de un escenar i o si t i o a si t i o. I PSec se comenz a ut i l i zar par a el acceso r emot o, per o est aba l i mi t ado a l a ut i l i zaci n de di sposi t i vos baj o el cont r ol de l a or gani zaci n. SSL/ TLS per mi t i sal var est as l i mi t aci ones de I PSec. Los cr i t er i os ut i l i zados descr i ben en gener al l as car act er st i cas ( l i mi t aci ones y vent aj as) pr esent es en est as t ecnol og as VPN, i ndependi ent e de al guna sol uci n par t i cul ar . Tabla 3-1 Comparativa de Tecnologas de Acceso Remoto
Criterios VPNs IPSec VPNs SSL/TLS Escal abi l i dad Li mi t ada Buena a Muy buena I nt er oper abi l i dad Buena Muy Buena consi der ando el uso de navegador es web como cl i ent es Funci onal i dad Acceso compl et o a l a r ed o r est r i ngi do Apl i caci ones Web, Apl i caci ones cl i ent e/ ser vi dor Acceso compl et o a l a r ed o r est r i ngi do, Segur i dad en l a t r ansmi si n Muy Buena Muy Buena Mt odos de aut ent i caci n Cl ave pr ecompar t i da, Cl aves RSA, Cer t i f i cados di gi t al es Dobl e aut ent i caci n nat i va con I KEv2 Cl ave pr ecompar t i da, Cer t i f i cados Di gi t al es, Cl aves RSA Dobl e aut ent i caci n Ti pos de Di sposi t i vos cl i ent es sopor t ados Admi ni st r ados por l a or gani zaci n No admi ni st r ados - Admi ni st r ados Sopor t e Mul t i pr ot ocol o Nat i vo No, sol o dat agr amas I P No, sol o sopor t a apl i caci ones basadas en SSL Capa de Oper aci n Ser vi ci o de capa de Red Ser vi ci o de capa de t r anspor t e Mecani smo de Acceso Tnel I P a ni vel de capa de r ed Proxy r ever so con Encapsul ami ent o HTTP, Tr aduct or de pr ot ocol o, Tnel I P en capa de r ed Ni vel de Sopor t e r equer i do Medi o a Al t o, segn el nmer o de usuar i os r emot os Baj o ( consi der ando navegador es web como cl i ent es) a Al t o Sol uci ones Abi er t as Si Si VPNs de Acceso Remot o 96
Escalabilidad Cuando l a cant i dad de usuar i os r emot os aument a, se r equi er e mayor capaci dad en el ser vi dor VPN en cuant o al pr ocesami ent o par a el manej o de ms t nel es y f unci ones de des/ encr i pt aci n. En est e caso ambas t ecnol og as se pueden val er de har dwar e especi al par a est as t ar eas. En el l ado de l os cl i ent es se i ncr ement a el cost o de admi ni st r aci n del software cl i ent e VPN si l a sol uci n l o ut i l i za. Desde esa per spect i va, l a escal abi l i dad de I PSec es l i mi t ada. Las sol uci ones SSL/ TLS basados en cl i ent es web no poseen car ga de mant eni mi ent o y admi ni st r aci n del software cl i ent e. Teni endo en cuent a est o SSL/ TLS posee mej or escal abi l i dad que I PSec. Si n embar go aquel l as sol uci ones que posean cl i ent es VPN par a el acceso, t endr n una car ga si mi l ar a I PSec. Interoperabilidad Las sol uci ones que i mpl ement an el mi smo pr ot ocol o deber an poder comuni car se si n pr obl emas, de l o cont r ar i o, st as no podr n i nt er oper ar . Est o ha sucedi do con sol uci ones VPN I PSec, en par t i cul ar con l a el ecci n del mecani smo de aut ent i caci n de l as par t es. Si n embar go el consor ci o VPN 29 ha est abl eci do pr uebas de i nt er oper abi l i dad, t ant o par a sol uci ones basadas en I PSec como en SSL, que per mi t en una mej or i nt er acci n ent r e sol uci ones de di st i nt os f abr i cant es. Las sol uci ones SSL/ TLS no poseen est as l i mi t aci ones consi der ando l a ut i l i zaci n de cl i ent es web con sopor t e SSL Funcionalidad Est e cr i t er i o se r ef i er e a l os r ecur sos a l os que puede t ener acceso un usuar i o en f or ma r emot a. Las VPN I PSec pueden br i ndar acceso compl et o a ni vel de r ed, except o que se est abl ezcan r est r i cci ones. En cambi o, l as VPN SSL/ TLS per mi t en un acceso di f er enci ado segn el modo de acceso. Se puede t ener acceso sol o a apl i caci ones Web, o a apl i caci ones cl i ent e- ser vi dor o bi en a t oda l a r ed como I PSec. Seguridad en la transmisin Ambas t ecnol og as per mi t en un excel ent e ni vel de segur i dad en l a t r ansmi si n de l os dat os. El ser vi ci o de conf i denci al i dad se basa en una f uer t e sui t e de al gor i t mos de encr i pt aci n, bi en pr obados, ut i l i zando pr ot ocol os como 3DES, AES, I DEA, al gor i t mos de hash y f i r ma di gi t al como RC4, SHA. La aut ent i caci n puede est ar basada en cr i pt ogr af a de cl ave pbl i ca medi ant e el uso de cer t i f i cados di gi t al es. En est e caso I PSec se dest aca por ser ms est r i ct o, ya que r equi er e que ambas par t es posean un cer t i f i cado que demuest r e su i dent i dad par a poder usar el mt odo. El di seo de SSL/ TLS, en cambi o, es ms f l exi bl e en est e punt o, per mi t i endo que sol o el ser vi dor se aut ent i que. De est a maner a no cumpl e l a car act er st i ca de no r epudi o y es vul ner abl e a un at aque del t i po hombr e del medi o. Si n embar go, una buena sol uci n VPN SSL/ TLS, deber a r equer i r l a aut ent i caci n medi ant e cer t i f i cados, de ambas par t es.
29 http://www.vpnc.org VPNs de Acceso Remot o 97
Ot r a car act er st i ca es que ambos pr ot ocol os per mi t en def i ni r una conf i gur aci n a ni vel cr i pt ogr f i ca ( al gor i t mos cr i pt ogr f i cos per mi t i dos, t amaos de cl aves, r egener aci n de cl aves, t i empos de vi da de l as cl aves, et c. ) que se apl i can como pol t i cas a l as conexi ones segn el ni vel se segur i dad r equer i do par a cada caso. Mtodos de Autenticacin En gener al ambos pr ot ocol os br i ndan l os mi smos mt odos de aut ent i caci n par a l os ext r emos o host. Est o es, el uso de cer t i f i cados di gi t al es, cl aves pr e compar t i das, cl aves RSA. Si n embar go en un escenar i o de acceso r emot o, cobr a i mpor t anci a l a aut ent i caci n del usuar i o que cont r ol a el di sposi t i vo que se conect a, l ogr ando una aut ent i caci n dobl e: di sposi t i vo y usuar i o. El di seo de SSL/ TLS per mi t e est o medi ant e el mecani smo ms si mpl e, per o menos segur o, de usuar i o/ cont r asea hast a mt odos ms compl ej os como OTP ( One Time Password) o una i nf r aest r uct ur a PKI que val i de cer t i f i cados de usuar i o. Por supuest o est a oper aci n se r eal i za post er i or al est abl eci mi ent o de un canal segur o. I PSec of r eci l a posi bi l i dad de l a dobl e aut ent i caci n l uego de l a i ncor por aci n de l as ext ensi ones al pr ot ocol o I KE por par t e de Ci sco ( XAUTH, HYBRI D AUTH) l uego de est abl ecer el canal segur o. La nueva ver si n de I KE I KEv2 i ncor por a el sopor t e nat i vo de aut ent i caci n de usuar i o medi ant e EAP. Lament abl ement e l a nueva ver si n de I KE no es i nt er oper abl e con su ant ecesor a. Tipos de dispositivos soportados Aqu se mar ca una di f er enci a ent r e ambas t ecnol og as. El uso de I PSec r equi er e l a i nst al aci n de un cl i ent e VPN en el di sposi t i vo mvi l . Par a est o es necesar i o i nst al ar el software cl i ent e, l o que si gni f i ca hacer l o sobr e un di sposi t i vo conf i abl e y segur o, de maner a que su uso post er i or par a l a conexi n no r epr esent e una amenaza. Por l o t ant o l as VPN I PSec de acceso r emot o r equi er en usar di sposi t i vos baj o el cont r ol de l a or gani zaci n. Es i mpensabl e i nt ent ar est a oper aci n sobe un equi po aj eno a l a or gani zaci n y por l o t ant o no conf i abl e. Las VPN SSL/ TLS mar car on su di f er enci a al i ncl ui r el uso de l os di sposi t i vos no conf i abl es, l i mi t ando el acceso desde el l os haci a l a r ed cor por at i va sol o a apl i caci ones web, medi ant e el uso de navegador es web con sopor t e SSL/ TLS, encapsul ando HTTP. Si n embar go si se r equi er e un acceso compl et o a l a r ed es necesar i o, al i gual que I PSec, i nst al ar un software cl i ent e y de i gual maner a, est o sol o es posi bl e sobr e di sposi t i vos conf i abl es. Soporte multiprotocolo nativo Ni nguno de l os dos pr ot ocol os t i enen sopor t e mul t i pr ocol o. Si n embar go est a capaci dad se puede l ogr ar , encapsul ando ot r o pr ot ocol o como L2TP o PPP.
VPNs de Acceso Remot o 98
Mecanismos de accesos Est os son l os mecani smos que per mi t en el acceso de f or ma segur a a l a r ed cor por at i va. I PSec ut i l i za su pr ot ocol o ESP en modo t nel par a encapsul ar dat agr amas I P. Est e t nel I P es el medi o de acceso. En el caso de SSL/ TLS exi st en var i as f or mas de acceder a l a r ed. Ut i l i zando un proxy HTTP r ever so, par a acceder a apl i caci ones web, medi ant e t r aducci n de pr ot ocol os per mi t e acceder a ser vi ci os cuyos pr ot ocol os pueden t r aduci r se y adapt ar se a HTTP y l ogr ar t unel i zar l os, f i nal ment e a t r avs de un t nel I P al i gual que I PSec. Est o per mi t e un cont r ol de acceso ms gr anul ar par a SSL/ TL, es deci r per mi t e mecani smos de aut or i zaci n ms var i ados y no sol o basar se en par met r os a ni vel de r ed ( I P or i gen, puer t o dest i no et c. ) Nivel de soporte requerido En el caso de I PSec es de medi o a al t o en f unci n de l a cant i dad de usuar i os r emot os. Se t i ene en cuent a l a car ga que r epr esent a l a admi ni st r aci n y mant eni mi ent o de l os cl i ent es, l as pol t i cas de acceso y conj unt os de t r ansf or maci n. Est o es si mi l ar par a SSL/ TLS, per o a di f er enci a de I PSec, l a posi bi l i dad de i mpl ement ar esquemas donde se ut i l i ce un navegador web como cl i ent e de acceso, mi ni mi za en gr an medi da l a car ga en l a admi ni st r aci n de l os cl i ent es. Soluciones Abiertas Ambas t ecnol og as han si do i mpl ement adas medi ant e sol uci ones abi er t as y l i br es per o de gr an cal i dad l as cual es se desar r ol l ar on par a pl at af or mas UNI X aunque al gunas han si do por t adas par a su uso con Wi ndows. Ent r e l as ms conoci das est n: OpenVPN: sol uci n VPN SSL/ TLS que per mi t e acceso compl et o a l a r ed, desar r ol l ada par a LI NUX. Exi st e l a ver si n par a WI NDOWS. Ipsec-tools 30 : conj unt o de ut i l i dades par a el manej o de l a i mpl ement aci n de I PSec par a el kernel de LI NUX. Se basa en el pr oyect o KAME el cual t i ene cumpl e con el mi smo obj et i vo per o par a FreeBSD. Ent r e l as ut i l i dades se encuent r a el demoni o I KE denomi nado Racoon y setkey una her r ami ent a par a el manej o de l a base de pol t i cas de segur i dad y l a base de asoci aci ones de segur i dad. StrongSwan 31 : Sol uci n VPN basada en I PSec desar r ol l ada par a pl at af or ma LI NUX. I mpl ement a el demoni o I KE ver si n 2, adems de l a ver si n i ni ci al .
30 http://ipsec-tools.sourceforge.net/ 31 http://www.strongswan.org/ VPNs de Acceso Remot o 99
3.5 SOLUCIONES VPNs DE ACCESO REMOTO El mer cado de sol uci ones VPN de acceso r emot o pr esent a una gr an var i edad de al t er nat i vas en gener al pr oveni ent es de f abr i cant es muy r el aci onados con el mbi t o de l as r edes y comuni caci ones de dat os, est o es: Cisco System, Check Point, Juniper Networks, Nortel, Sonic Wall, et c. Muchas de est as pr opuest as son en r eal i dad compl et as sol uci ones de al t a compl ej i dad par a acceso r emot o, l o cual i mpl i ca el equi pami ent o de ser vi dor es VPN, el software de cl i ent e VPN, software de admi ni st r aci n del ser vi ci o y moni t or eo, di sposi t i vos mvi l es con cl i ent e embebi do et c. Si n embar go, exi st e un cost o econmi co i mpor t ant e a l a hor a de el egi r al guna de el l as, ya sea en l a adqui si ci n de l a i nf r aest r uct ur a como en l a capaci t aci n del per sonal . Adems de est as sol uci ones pr opi et ar i as, exi st en al t er nat i vas abi er t as y gr at ui t as, en par t i cul ar or i ent adas a pl at af or mas LI NUX y Fr eeBSD aunque hay casos donde l a sol uci n se puede ej ecut ar t ambi n en Wi ndows. Tambi n exi st en si st emas basados en una sol uci n abi er t a per o embebi das o como una i magen de di sco que se puede vi r t ual i zar o bi en i nst al ar en har dwar e dedi cado con software de admi ni st r aci n t odo en uno, per o est as no son gr at ui t as 32 . Una car act er st i ca de l as sol uci ones pr opi et ar i as es l a i mpl ement aci n como firmware de l a l gi ca t ant o del ser vi dor VPN como de l os cl i ent es en un hardware dedi cado par a l a t ar ea. Est o per mi t e al canzar buenos ni vel es de per f omance. Por el cont r ar i o l as sol uci ones abi er t as, en gener al , se basan en software. La si gui ent e t abl a muest r a un conj unt o de car act er st i cas bsi cas deseabl e que deber an poseer l as sol uci ones VPNs de acceso r emot o segn l a t ecnol og a en l a cual se basan. Est e cuadr o es una r ef er enci a que i ncl uye r equer i mi ent os est abl eci do por el consor ci o VPN o VPNC ( VPN Consortium) par a al canzar buenos ni vel es de i nt er oper abi l i dad ent r e sol uci ones de di st i nt os f abr i cant es.
32 http://www.endian.com, http://www.arrowdot.com VPNs de Acceso Remot o 100
3.5.1 IPSEC
Cl i ent e par a Wi ndows/ Maci nt osh Software I PSec Cl i ent e par a ej ecut ar se sobr e un si st ema monousuar i o WI NDOWS/ MACI NTOSH. Ecapsul ami ent o L2TP Ej ecut ar L2TP par a aut ent i caci n y enr ut ami ent o sobr e un t nel I PSec Sopor t e de cer t i f i cados X. 509 dur ant e I KE Uso de cer t i f i cados de cl ave pbl i ca par a aut ent i caci n. Sopor t e de encr i pt aci n 3DES Sopor t e par a f uer t e encr i pt aci n Sopor t e Failover Sopor t e par a l a her enci a de sesi ones en f or ma t r anspar ent e par a el usuar i o r emot o , ant e el f al l o de al gunos de l os di sposi t i vos f unci onando como gateway VPN ( di sponi bi l i dad) Sopor t e de Clustering Habi l i dad par a bal ancear l a car ga t ot al de l a VPN sobr e var i os nodos en un esquema de clustering pr esent ando una ni ca i dent i dad par a l os usuar i os r emot os. Sopor t e par a I pv6 Sopor t e par a di r ecci onami ent o I pv6. VPNC i nt er oper abi l i dad bsi ca Cr eaci n de un t nel I P con encr i pt aci n 3DES, SHA- 1 par a hash, i nt er cambi o de cl aves de 1024 bi t s y PSK par a aut ent i caci n. VPNC i nt er oper abi l i dad AES Uso de al gor i t mo AES con cl aves de 128 bi t s par a encr i pt aci n. VPNC i nt er oper abi l i dad bsi ca par a I KEv2 Cr eaci n de un t nel I P medi ant e I KEv2 con AES par a encr i pt aci n, SHA- 1 par a hash, i nt er cambi o de cl aves de 1024 bi t s y PSK par a aut ent i caci n. La compat i bi l i dad debe ser t ot al con ot r as sol uci ones. VPNC i nt er oper abi l i dad I pv6 Los si st emas deben i nt er oper ar si n pr obl emas ut i l i zando di r ecci ones I Pv6 con r edes ext er nas e i nt er nas I nt er f az de Admi ni st r aci n y moni t or eo Her r ami ent as y ut i l i dades par a f aci l i t ar l a admi ni st r aci n del ser vi ci o Compr esi n I PPCP Uso de compr esi n est ndar par a el t r f i co I PSec Tabla 3-2 Caractersticas de soluciones IPSec VPNs de Acceso Remot o 101
3.5.2 SSL/TLS Sopor t e LDAP Per mi t e comuni car se con un ser vi dor LDAP par a aut ent i car l os usuar i os r emot os Sopor t e RADI US Per mi t e comuni car se con un ser vi dor RADI US par a aut ent i car l os usuar i os r emot os Sopor t e cer t i f i cados X. 509 par a usuar i os Per mi t e ut i l i zar cer t i f i cados X. 509 par a aut ent i car usuar i os r emot os. Sopor t e Failover Sopor t e par a l a her enci a de sesi ones en f or ma t r anspar ent e par a el usuar i o r emot o, ant e el f al l o de al gunos de l os di sposi t i vos f unci onando como gateway VPN ( di sponi bi l i dad) Sopor t e de Cl ust er i ng Habi l i dad par a bal ancear l a car ga t ot al de l a VPN sobr e var i os nodos en un esquema de cl ust er i ng pr esent ando una ni ca i dent i dad par a l os usuar i os r emot os. Acceso compl et o a l a r ed medi ant e plugin SSL Per mi t e el acceso t ot al a l a r ed descar gando un plugin par a SSL que l o per mi t a. Endpoint Security Checking Sopor t e par a ver i f i caci n del ni vel de segur i dad del ext r emo r emot o del cl i ent e. VPNC i nt er oper abi l i dad SSL Por t al El gateway debe f unci onar como por t al par a apl i caci ones web per mi t i endo a l os usuar i os r emot os el acceso a si t i os web i nt er nos. VPNC i nt er oper abi l i dad SSL File Access El gateway debe per mi t i r l a l ect ur a y escr i t ur a en ser vi dor es CI FS 33 / SMB 34 i nt er nos: Wi ndows 2000 y 2003 Ser ver s. VPNC i nt er oper abi l i dad SSL J AVA Script El gateway debe f unci onar como Por t al con sopor t e de J AVA scr i pt par a el acceso a apl i caci ones i nt er nas. I nt er f az de Admi ni st r aci n y moni t or eo Her r ami ent as y ut i l i dades par a f aci l i t ar l a admi ni st r aci n del ser vi ci o Tabla 3-3 caractersticas para soluciones SSL/TLS
El consor ci o VPN r ene como sus mi embr os a i mpor t ant es empr esas dest acadas en el mbi t o del networking, ent r e el l as est n: AEPNetworks, Certicom, Cisco Systems, D-Link, Encore Networks, IBM, Juniper Networks, Microsoft, Nokia, Nortel, SonicWALL, et c. Una de sus t ar eas es est abl ecer test de i nt er oper abi l i dad par a l ogr ar un f unci onami ent o si n pr obl emas ent r e sol uci ones de di f er ent es f abr i cant es. Los cuadr os ant er i or es i ncl uyen al gunas de est as pr uebas como r equer i mi ent o deseabl e. Si n embar go no se consi der ar on t odas dado que l as sol uci ones abi er t as y aquel l os si st emas basados en est as no i nt egr an est e consor ci o. Por ot r o l ado, debi do al car ct er gener al y abar cat i vo de est a car act er i zaci n apl i cabl e a cual qui er sol uci n VPN. La sel ecci n de l os cr i t er i os deseabl es f ue def i ni da a par t i r del anl i si s e i nvest i gaci n r eal i zada par a el desar r ol l o y el abor aci n de est e cap t ul o y del r est o del t r abaj o en gener al .
33 Common I nt er net Fi l esyst em: Pr ot ocol o de domi ni o pbl i co par a t r ansf er enci a de ar chi vos en f or ma si mpl e y pot ent e 34 Ser ver Message Bl ock: Pr ot ocol o par a compar t i r ar chi vos, base de l os si st emas de r ed LAN Manager y Mi cr osof t Net wor ki ng. VPNs de Acceso Remot o 102
CAP TULO 4 TRABAJ O PRCTI CO 4
VPNs de Acceso Remot o 103 4.1 INTRODUCCIN Si empr e se ha deseado t ener l a posi bi l i dad de acceder a l os r ecur sos cor por at i vos de i nf or maci n y si st emas desde el hogar u ot r o punt o geogr f i co de una maner a senci l l a; adems de cont ar con l as her r ami ent as necesar i as par a el acceso. En el caso de un admi ni st r ador , est as son l as que per mi t en admi ni st r ar l os equi pos y/ o l os si st emas de f or ma r emot a. En el caso de un usuar i o cor r i ent e, poder acceder a sus ar chi vos o a su cor r eo. Act ual ment e est o se l ogr a medi ant e l as VPNs de acceso r emot o, l as cual es r equi er en l a i nst al aci n de cl i ent es VPNs en l os equi pos pr ovi st os a l os usuar i os mvi l es o t el e t r abaj ador es. Est e pr oceso r equi er e una dependenci a del software VPN cl i ent e con el si st ema oper at i vo anf i t r i n. La i nt enci n de est e t r abaj o es l ogr ar i ndependi zar el cl i ent e VPN del si st ema oper at i vo anf i t r i n, no sol o r espect o de aspect os de compat i bi l i dad ent r e s si no t ambi n de l os pr i vi l egi os necesar i os par a l a i nst al aci n de est a cl ase de apl i caci n. A par t i r de est a i dea l a sol uci n debe cumpl i r con l as si gui ent es car act er st i cas: Ser por t abl e es deci r que se pueda t r asl adar en un pendrive o una memor i a f l ash convenci onal . No r equer i r l a i nst al aci n de software en el equi po anf i t r i n y no ut i l i zar l o par a guar dar i nf or maci n. No r equer i r per mi sos admi ni st r at i vos en el host anf i t r i n. Poder ej ecut ar l a sol uci n sobr e l a pl at af or ma Wi ndows por ser l a ms popul ar . Tener acceso a l a r ed si n r est r i cci ones, per o poder est abl ecer l as en f or ma di nmi ca si es necesar i o. Poder descar gar un ar chi vo ubi cado en l a r ed cor por at i va al pendrive. Ut i l i zar her r ami ent as y ut i l i dades Open Source. Par a cumpl i r est os r equer i mi ent os se pr opuso una sol uci n medi ant e vi r t ual i zaci n, adems de br i ndar l as her r ami ent as necesar i as par a ef ect uar l a conexi n y el software espec f i co par a r eal i zar l as t ar eas. La Fi gur a 4- 1 muest r a el di seo de l a sol uci n pr opuest a, donde se apr eci a el t nel desde l a apl i caci n vi r t ual i zada hast a el gateway VPN. Par a est o se ut i l i za l a conexi n a Internet del equi po anf i t r i n. El ext r emo r emot o del t nel t er mi na en el gateway VPN el cual per mi t e el acceso a l a r ed l ocal cor por at i va a l os ser vi ci os di sponi bl es. VPNs de Acceso Remot o 104
Figura 4-1 Diseo de la solucin 4.2 ALCANCES La sol uci n pr opuest a est or i ent ada pr i nci pal ment e a su uso sobr e equi pos que est n baj o cont r ol y admi ni st r aci n de l a or gani zaci n, l o cual est abl ezca ci er t o ni vel de segur i dad r espect o a l a pr esenci a de software mal i ci oso. No es una sol uci n pensada par a uso masi vo por par t e de l os usuar i os. El si st ema oper at i vo anf i t r i n donde se ej ecut ar l a sol uci n ser Mi cr osof t WI NDOWS 2000, XP o Vi st a. Es necesar i o har dwar e adecuado par a ej ecut ar una vi r t ual i zaci n en el host anf i t r i n. En par t i cul ar capaci dad de pr ocesami ent o. El pendrive o memor i a f l ash deber t ener una capaci dad de al menos 2GB. Es necesar i o software par a vi r t ual i zaci n, es deci r una mqui na vi r t ual que pueda ej ecut ar se en l as ver si ones de WI NDOWS menci onadas ant er i or ment e. La sol uci n se i mpl ement ar en l a pl at af or ma LI NUX y ut i l i zar el si st ema OpenVPN 35 par a est abl ecer l a VPN. La sol uci n i ncl ui r una apl i caci n ext er na a l a vi r t ual i zaci n que t endr como comet i do, t r ansf er i r l os ar chi vos descar gados en l a apl i caci n vi r t ual i zada al pendrive, donde quedar n di sponi bl es par a su pr ocesami ent o post er i or .
35 http://www.openvpn.org VPNs de Acceso Remot o 105 Del l ado del ser vi dor , st e ej ecut ar el si st ema OpenVPN en modo ser vi dor y at ender l as conexi ones de l os usuar i os. De acuer do a el l o est abl ecer en f or ma di nmi ca l as r est r i cci ones par a el acceso a l a r ed. 4.3 FUNCIONAMIENTO La sol uci n pr opuest a per mi t e l a conexi n segur a a l a r ed cor por at i va medi ant e un t nel SSL/ TLS. La mi sma es ef ect uada por un usuar i o, el cual deber aut ent i car se pr evi ament e en f or ma l ocal , medi ant e un nombr e de usuar i o y cont r asea. Una vez aut ent i cado ej ecut ar l a apl i caci n que l e per mi t i r est abl ecer l a conexi n, habi l i t ando el acceso a l as apl i caci ones segn su r ol o per f i l . 4.3.1 Perfiles de usuarios Se i mpl ement an dos per f i l es de usuar i os, uno es el per f i l del usuar i o est ndar que puede r eal i zar ci er t as t ar eas y ot r o es el de admi ni st r ador . Est e t endr acceso t ot al al r est o de l as apl i caci ones, l a mayor a de l as cual es son de nat ur al eza admi ni st r at i vas. El gateway VPN que r eci be l a conexi n gener a l as r egl as en f or ma di nmi ca l as cual es est abl ecen l as r est r i cci ones par a ambos per f i l es de usuar i o. 4.3.2 Esquema de validacin Se def i nen dos et apas de aut ent i caci n. En l a pr i mer a se aut ent i ca el usuar i o l ocal ment e a t r avs del si st ema de val i daci n de LI NUX. Est o l e per mi t e i ngr esar al ent or no de t r abaj o de l a sol uci n. La segunda et apa consi st e en l a val i daci n del usuar i o r espect o del Gateway VPN medi ant e cer t i f i cado par a est abl ecer el t nel . Est o l e per mi t e el acceso a l a r ed cor por at i va. 4.3.3 Servicios Los ser vi ci os que el usuar i o t endr di sponi bl e una vez aut ent i cado y aut or i zado son l os si gui ent es de acuer do a su per f i l : Per f i l Usuar i o: Mai l Mensaj er a SMB ( Cr edenci al es de sesi n Wi ndows) FTP Per f i l Admi ni st r ador : Todas l as ant er i or es SSH Escr i t or i o Remot o ( RDP/ VNC)
VPNs de Acceso Remot o 106 4.3.4 Gateway VPN El ser vi dor VPN i mpl ement ado a t r avs del si st ema OpenVPN, est abl ecer en f or ma di nmi ca l as r est r i cci ones segn el usuar i o que se conect e. Est o se l ogr a medi ant e una opci n en el ar chi vo de conf i gur aci n del ser vi dor . Adems es necesar i o cr ear un script par a cada per f i l donde se def i nen l as r est r i cci ones a ni vel de puer t os TCP/ UDP y a ni vel de l a di r ecci n or i gen asi gnada al usuar i o. 4.4 TECNOLOGAS DE LA SOLUCIN El desar r ol l o de l a sol uci n r equi r i det er mi nar que her r ami ent as er an necesar i as par a cumpl i r con l as car act er st i cas est abl eci das. El component e ms i mpor t ant e de l a sol uci n es l a mqui na vi r t ual que per mi t e l a ej ecuci n del cl i ent e VPN. Dado que el cl i ent e se ej ecut a en una pl at af or ma LI NUX, se anal i z al t er nat i vas de di st r i buci ones exi st ent es adems de consi der ar l a cr eaci n de una pr opi a. Lo si gui ent e f ue consi der ar el desar r ol l o de l a apl i caci n que cont r ol a l a l gi ca del cl i ent e y l as apl i caci ones necesar i as par a acceder a l os ser vi ci os di sponi bl es, adems de l a apl i caci n par a l a t r ansf er enci as de ar chi vos de l a maqui na vi r t ual al pendrive. Par a est o se eval uar on l enguaj es de pr ogr amaci n, di st r i buci ones LI NUX y ent or nos de vi r t ual i zaci n. 4.4.1 Lenguajes de programacin Las car act er st i cas deseabl es anal i zadas f uer on: Desar r ol l o r pi do de ent or nos gr f i cos. Sopor t e par a el desar r ol l o de apl i caci ones par a networking. Cur va de apr endi zaj e de cr eci mi ent o r pi do. Conf i abi l i dad ( Ant ecedent es en l a ut i l i zaci n en casos compr obabl es) . Sopor t e mul t i pl at af or ma ( LI NUX, WI NDOWS) . Per f omance. Alternativas consideradas Los l enguaj es consi der ados f uer on: J AVA PYTHON RUBY El l enguaj e el egi do f ue PYTHON. Ent r e l os mot i vos de l a el ecci n se consi der ar on l a per f omance r espect o de l os dems, l a posi bi l i dad de cor r er apl i caci ones si n r equer i r un ent or no de ej ecuci n, ni l a i nst al aci n en el equi po anf i t r i n de bi bl i ot ecas o dependenci as. Tambi n i nci di l a cur va de apr endi zaj e r pi do.
VPNs de Acceso Remot o 107 4.4.2 Entorno de virtualizacin Se t uvi er on en cuent a l as si gui ent es al t er nat i vas: VI RTUALBOX QEMU 36
VMWARE VI RTUALPC VMWARE y VI RTUALPC no t i enen una di st r i buci n que se pueda ej ecut ar desde un pendrive. Por su par t e VI RTUALBOX est a basado en QEMU, posee un mej or r endi mi ent o y exi st e una ver si n par a ser ej ecut ada en un pendrive que no es of i ci al , per o es necesar i o cont ar con per mi sos admi ni st r at i vos par a poder i nst al ar una bi bl i ot eca de enl ace di nmi co y un pr oceso que l e per mi t a a l a maqui na vi r t ual t ener un mej or r endi mi ent o. La car act er st i ca pr i nci pal que det er mi n l a el ecci n de l a mqui na vi r t ual QEMU es que se puede ej ecut ar en un pendrive si n el r equer i mi ent o de t ener per mi sos de admi ni st r ador sobr e el equi po anf i t r i n. La l i mi t aci n que pr esent a est a opci n es su r endi mi ent o ya que par a mej or ar l o, al i gual que l as dems sol uci ones, es necesar i a l a i nst al aci n de un mdul o par a opt i mi zaci n en el si st ema oper at i vo anf i t r i n y poseer pr i vi l egi os de admi ni st r ador par a hacer l o. Si n embar go, l a per f omance de QEMU, l ogr ada si n el mdul o opt i mi zador , en equi pos con buena capaci dad de pr ocesami ent o es acept abl e per mi t i endo cumpl i r con l a f unci onal i dad deseada. 4.4.3 Distribucin LINUX La pl at af or ma de ej ecuci n de l a apl i caci n es el si st ema LI NUX. Est a el ecci n se basa en sus car act er st i cas f avor abl es en cuant o a l a segur i dad, est abi l i dad, r obust ez, di sponi bi l i dad del kernel del si st ema oper at i vo par a adapt ar l o a l os r equer i mi ent os de l a sol uci n y f i nal ment e por ser una base pt i ma par a apl i caci ones or i ent adas a l as comuni caci ones. Si bi en el pr opsi t o no f ue cr ear una mi ni di st r i buci n, se t r at de mi ni mi zar , dent r o de l as posi bi l i dades, l as i nst al aci ones r eal i zadas. Se eval u l a ut i l i zaci n de ver si ones bsi cas de di st r i buci ones conoci das: DEBI AN y FEDORA. Dado que l a sol uci n se basa en una vi r t ual i zaci n y adems l a al t er nat i va el egi da par a est a t ar ea no posee un per f omance dest acada, se deci di cr ear una di st r i buci n pr opi a. Encar ar est a t ar ea asegur a l a i nst al aci n de l as her r ami ent as m ni mas par a l a f unci onal i dad deseada y sobr e t odo poseer un cont r ol ms est r i ct o sobr e est e pr oceso. El mt odo el egi do par a l a cr eaci n se bas en el pr oyect o LI NUX desde cer o o LFS 37 ( LINUX From Scratch) . Est e consi st e en cumpl i r una ser i e de et apas hast a l ogr ar l a di st r i buci n f i nal . La ver si n de LFS ut i l i zada f ue l a 6. 3. Act ual ment e l a ver si n est abl e es l a 6. 4.
36 http://www.nongnu.org/qemu/ 37 http://www.LINUXfromscratch.org VPNs de Acceso Remot o 108 La pr i mer a et apa consi st e en ut i l i zar una di st r i buci n LI NUX oper at i va como base par a l a cr eaci n del nuevo si st ema, en est e caso una DEBI AN Et ch. En par t i cul ar se sel ecci on una par t i ci n di sponi bl e par a l a i nst al aci n del nuevo si st ema. Luego se ut i l i z el LiveCD del pr oyect o LFS como si st ema anf i t r i n, el cual pr ovee l as her r ami ent as bsi cas necesar i as y l as f uent es de l os pr ogr amas que f or mar n l a est r uct ur a del nuevo si st ema. Una vez el egi da l a par t i ci n, st a se mont a l uego de i ni ci ar el LiveCD. st e adems mont a su pr opi o si st ema de ar chi vo r a z donde se encuent r a t odo l o necesar i o par a el pr oceso de cr eaci n. La segunda et apa consi st e en l a cr eaci n de un si st ema m ni mo en l a par t i ci n dedi cada, que cont endr una cadena de her r ami ent as ( toolschain) necesar i as par a gener ar el si st ema f i nal . Est a cadena est ar compuest a por un compi l ador , ensambl ador , enl azador , bi bl i ot ecas y al gunas ut i l i dades. En pr i nci pi o se compi l ar cada una de st as y l uego ser n ut i l i zadas par a compi l ar e i nst al ar el r est o de l os paquet es. La t er cer a et apa consi st e en cr ear un ent or no chroot o de j aul a sobr e l a par t i ci n dedi cada, y a par t i r de l as her r ami ent as gener adas en l a et apa ant er i or se dar f or ma al si st ema f i nal . Est o se l ogr a medi ant e l a compi l aci n e i nst al aci n del r est o de l os paquet es ut i l i zando el compi l ador , ensambl ador , enl azador y bi bl i ot ecas de l a cadena de her r ami ent as. Tambi n es necesar i o l a cr eaci n de l os si st emas de ar chi vos vi r t ual es par a el kernel (/dev, /proc, /sys) , cr eaci n de l a est r uct ur a de di r ect or i os del si st ema de ar chi vos r a z, enl aces di nmi cos et c. Es deci r i nst al ar el si st ema bsi co. Luego de est o es necesar i o que el si st ema pueda i ni ci ar . Par a est o se ut i l i z l a her r ami ent a mkbimage que per mi t e cr ear una i magen de boot a par t i r de un si st ema de ar chi vos. En est e caso se apl i c a l a par t i ci n cont eni da en el chroot donde se compi l e i nst al el si st ema f i nal . Est a i magen es l a que ut i l i za l a mqui na vi r t ual QEMU par a ej ecut ar l a sol uci n pr opuest a. En r eal i dad, el pr oceso es ms ext enso. Lo ant er i or es sol o un r esumen gener al . Par a ms det al l es y consi der aci ones es mej or acceder al si t i o www.linuxfromscratch.org, donde LFS es una par t e de un pr oyect o ms ambi ci oso par a l a cr eaci n y per sonal i zaci n de una di st r i buci n LI NUX. Paquetes principales instalados Luego de l a cr eaci n de l a di st r i buci n pr opi a se f uer on i nst al ando l as her r ami ent as y apl i caci ones necesar i as y sus dependenci as r el aci onadas con l a sol uci n. Est e f ue un pr oceso de descar ga, compi l aci n e i nst al aci n de cada una. Las apl i caci ones pr i nci pal es son: Ker nel Ker nel 2. 28. 5 Desar r ol l o PYTHON 2. 5 Bi bl i ot ecas QT 4. 4. 3 Gt k+2. 14 PyGTK- 2. 14
VPNs de Acceso Remot o 109 Ent or no gr f i co XORG ( X11 R7. 4) 38
Window Manager FLUXBOX 1. 0. 0 39
XDM y XSM ( login y session manager) Par a el ent or no gr f i co Se el i gi un Windows Manager en l ugar de un Destktop Manager como GNOME o KDE, consi der ando el r equer i mi ent o de per f omance debi do a l a vi r t ual i zaci n. Se opt por el Windows Manager FLUXBOX debi do a que f ue desar r ol l ado par a ser ej ecut ado en ent or nos de poca capaci dad de pr ocesami ent o y memor i a, br i ndando adems un ent or no agr adabl e y f unci onal . 4.4.4 Tecnologa VPN Se opt por una VPN SSL/ TSL en l ugar de una sol uci n basada en I PSec, pr i nci pal ment e por l a f l exi bi l i dad en l a asi gnaci n de puer t o de conexi n donde se br i nda el ser vi ci o VPN de acceso r emot o. Las sol uci ones I PSec r equi er en una asi gnaci n de puer t os bi en conoci das par a el demoni o I KE el cual gest i ona el i nt er cambi o de cl aves de sesi n y l as asoci aci ones de segur i dad y par a el pr ot ocol o ESP par a asegur ar l os dat agr amas en modo t nel ( Puer t o TCP 51 par a ESP y puer t o UDP 500 par a I KE) . Est o r epr esent a una r est r i cci n que l i mi t a l a f unci onal i dad y l a movi l i dad de l a sol uci n. 4.5 LA SOLUCIN El pendrive const a de dos ar chi vos de ext ensi n bat l os cual es r eal i zan l as si gui ent es f unci ones: Vmvpn. bat : Ej ecut a l a maqui na vi r t ual Penvpncl . bat : Ej ecut a el cl i ent e Wi ndows par a baj ar o subi r ar chi vos a l a maqui na vi r t ual 4.5.1 Funcionamiento de la Mquina Virtual Al i ni ci al i zar l a maqui na vi r t ual nos encont r amos con el pedi do de usuar i o y cl ave par a l a aut ent i caci n l ocal como l o muest r a l a Fi gur a 4- 2:
38 http://www.x.org 39 http://www.fluxbox.org VPNs de Acceso Remot o 110
Figura 4-2 Pedido de credenciales locales
Al i ngr esar podemos acceder al men pr i nci pal ( Fi gur a 4- 3) haci endo cl i ck con el bot n der echo del Mouse sobr e el r ea de l a pant al l a.
Figura 4-3 Men principal, sesin local del usuario
Al sel ecci onar l a opci n Cl i ent e VPN, accedemos a l a apl i caci n. Al i ngr esar l a ni ca opci n habi l i t ada es l a que nos per mi t e conect ar nos. Al r eal i zar l a conexi n se habi l i t an l as opci ones de acuer do a nuest r o per f i l de usuar i o ( Admi ni st r ador o usuar i o nor mal ) per mi t i endo acceder a l os ser vi ci os de nuest r a cor por aci n, est o se vi sual i za en l a Fi gur a 4- 4:
VPNs de Acceso Remot o 111
Figura 4-4 Men del Cliente VPN Las opci ones de i zqui er da a der echa son: conect ar , desconect ar , cor r eo el ect r ni co, acceso al ser vi dor de ar chi vos, FTP, SSH, mensaj er a i nst ant nea, t er mi nal r emot a y cl i ent e VNC. Por ej empl o l a Fi gur a 4- 5 muest r a l a pant al l a par a acceder a l os ar chi vos r emot os del usuar i o. Se sol i ci t a l as cr edenci al es vl i das del usuar i o par a acceder al ser vi dor que cont i ene l os ar chi vos. Una vez aut ent i cado el usuar i o, l a conexi n con el ser vi dor se est abl ece mont ando, medi ant e el pr ot ocol o CI FS, el di r ect or i o del usuar i o en /media/vpnsmb.
Figura 4-5 Acceso a los archivos remotos
VPNs de Acceso Remot o 112 4.5.2 Aplicacin de gestin de archivos Par a poder descar gar o subi r de l a maqui na vi r t ual ar chi vos debemos i ngr esar usuar i o y cont r asea, si endo est as cr edenci al es l as mi smas que par a i ngr esar a l a sol uci n. La pant al l a de conexi n se muest r a en l a Fi gur a 4- 6. Par a comuni car ambas apl i caci ones se est abl ece una comuni caci n medi ant e SSH. Se ut i l i za l a bi bl i ot eca de PYTHON PARAMI KO, l a cual i mpl ement a l a ver si n 2 del pr ot ocol o SSH.
Figura 4-6 Pantalla de conexin a la maquina virtual En l a par t e i nf er i or se i nf or ma sobr e el est ado de l a apl i caci n. Si se desea baj ar un ar chi vo se opr i me Li st ar Di r ect or i o y muest r a el cont eni do del di r ect or i o VpnFolder del usuar i o. Al sel ecci onar un ar chi vo se habi l i t a l a opci n par a Baj ar el Ar chi vo. El mi smo queda en l a car pet a VpnFolder del pendrive. Par a i ngr esar el ar chi vo a l a maqui na vi r t ual se opr i me l a opci n subi r ar chi vo. Se sel ecci ona un ar chi vo, se t i ene l a l i ber t ad de poder sel ecci onar una car pet a del host si se desea. El ar chi vo se sube a l a car pet a VpnFolder del usuar i o. Si se desea subi r el ar chi vo al ser vi dor se puede hacer a t r avs del FTP.
VPNs de Acceso Remot o 113 4.6 CONCLUSIONES DEL TRABAJO PRCTICO El obj et i vo i ni ci al del t r abaj o pr ct i co se ha cumpl i do. Se l ogr o concr et ar el concept o de por t abi l i dad de un cl i ent e VPN de acceso r emot o. La mot i vaci n pr i nci pal del t r abaj o f ue est a, si n i mpor t ar en pr i nci pi o que t ecnol og a y pr ot ocol o VPN er a ms conveni ent e usar . La compl ej i dad de l a sol uci n est r i ba en l a el ecci n ms adecuada de sus component es y en l a bsqueda de l a opt i mi zaci n de l os mi smos en f unci n de l a vi r t ual i zaci n r equer i da. Si n embar go est a pr opuest a se puede mej or ar par a l ogr ar un r esul t ado an ms pt i mo en t r mi nos de per f omance y f unci onal i dad. Ent r e est os aspect os se puede menci onar l a posi bi l i dad de l ogr ar una di st r i buci n LI NUX an ms compact a, mej or ar l a apl i caci n pr i nci pal par a que cont r ol e l a conexi n de maner a ms pr eci sa, cr ear un mecani smo que per mi t a l a act ual i zaci n en f or ma di nmi ca de di cha apl i caci n adems de un mecani smo de act ual i zaci n de paquet es par a l a di st r i buci n pr opi a. Una mej or a en l a segur i dad del cl i ent e VPN ser a l a ut i l i zaci n de un mecani smo de dobl e aut ent i caci n al moment o de l a conexi n. Est a consi st i r a en aut ent i car el di sposi t i vo o si st ema medi ant e un cer t i f i cado y l uego el usuar i o medi ant e el mecani smo OTP o cl aves de una sol a sesi n. Est e esquema br i ndar a una mayor segur i dad en cuant o a l a val i daci n del usuar i o. Ot r o component e par a f l exi bi l i zar an ms est a al t er nat i va ser a un ser vi dor RADI US que per mi t e que un usuar i o se aut ent i que en f or ma cent r al i zada y segur a usando var i os esquemas posi bl es medi ant e el pr ot ocol o EAP. Dur ant e el desar r ol l o del t r abaj o se eval u el uso de un ser vi dor RADI US en conj unt o con OpenVPN a t r avs de un plugin. J unt o con un cer t i f i cado par a el di sposi t i vo se l ogr concr et ar una dobl e aut ent i caci n, per o con el mecani smo ms dbi l que es el par usuar i o y cont r asea comn. RADI US es una t ecnol og a compl ej a, y debi do a f al t a de t i empo se deci di no cont i nuar con l a eval uaci n de sus car act er st i cas par a una posi bl e apl i caci n a l a sol uci n. Si n embar go se l a eval u como una val i osa al t er nat i va mej or ador a. El t r abaj o se cent r a en el desar r ol l o de un cl i ent e VPN y como t al , l as sol uci ones VPN de acceso r emot a basadas en est os r equi er en de una car ga admi ni st r at i va en r el aci n al mant eni mi ent o e i nst al aci n de l os mi smos. Por est a r azn se consi der a l i mi t ado el conj unt o de usuar i os que l a ut i l i zar an. En par t i cul ar puede r esul t ar t i l par a per sonal del t i po admi ni st r ador , de r edes o de si st emas. La l i mi t ant e en per f omance de l a vi r t ual i zaci n es posi bl e mi ni mi zar l a gr aci as al har dwar e exi st ent e de gr an capaci dad de pr ocesami ent o y vi r t ual i zaci n comunes en l a act ual i dad, t ant o en equi pos por t t i l es como en equi pos de escr i t or i o. Las t ecnol og as de dobl e, t r i pl e y hast a cudr upl e ncl eo en l os CPU, y el sopor t e de vi r t ual i zaci n de l os si st emas oper at i vos act ual es, habi l i t an que est a sea una sol uci n vi abl e. Fi nal ment e l a posi bi l i dad de adqui r i r una memor i a f l ash o di sposi t i vos pendrive de gr an capaci dad de al macenami ent o, descar t an l as l i mi t ant es de espaci o par a l a i nst al aci n, en est os di sposi t i vos de l a sol uci n descr i pt a en est e cap t ul o. VPNs de Acceso Remot o 114 5
Anexos VPNs de Acceso Remot o 115
5.1 NDICES DE FIGURAS
Fi gur a 1- 1 Component es de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Fi gur a 1- 2 VPN Pr ovi st a por el Cl i ent e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Fi gur a 1- 3 VPN Si t i o a Si t i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Fi gur a 1- 4 VPN de Acceso Remot o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Fi gur a 1- 5 Cl asi f i caci n de l as VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Fi gur a 1- 6 Adyacenci as del Rut eo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Fi gur a 1- 7 I nf r aest r uct ur a del pr oveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Fi gur a 1- 8 VPNs t i po Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Fi gur a 2- 1 Component es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Fi gur a 2- 2 Fi r ewal l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Fi gur a 2- 3 Ser vi dor es de Aut ent i caci n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Fi gur a 2- 4 Basada en l a I mpl ement aci n ( Hi br i da) . . . . . . . . . . . . . . . . . . . 35 Fi gur a 2- 5 Tnel es baj o demanda ( Rout er a Rout er ) . . . . . . . . . . . . . . . . . . 36 Fi gur a 2- 6 Sesi ones encr i pt adas baj o demanda . . . . . . . . . . . . . . . . . . . . . . . 36 Fi gur a 2- 7 Tnel es baj o demanda ( Fi r ewal l a Fi r ewal l ) . . . . . . . . . . . . . . 37 Fi gur a 2- 8 Di r i gi da . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Fi gur a 2- 9 Funci onami ent o de un Tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Fi gur a 2- 10 Mul t i pl exaci n de Tnel es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Fi gur a 2- 11 Funci ones del Pr ot ocol o PPP en PPTP . . . . . . . . . . . . . . . . . . . . 46 Fi gur a 2- 12 Component es en una conexi n PPTP . . . . . . . . . . . . . . . . . . . . . . . 47 Fi gur a 2- 13 Encapsul ami ent o PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Fi gur a 2- 14 Component es en el Pr ot ocol o L2F . . . . . . . . . . . . . . . . . . . . . . . . 48 Fi gur a 2- 15 L2TP Tnel obl i gat or i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Fi gur a 2- 16 L2TP Tnel vol unt ar i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Fi gur a 2- 17 Paquet e/ Dat agr ama usando I PSec . . . . . . . . . . . . . . . . . . . . . . . . . 51 Fi gur a 2- 18 Encabezado AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Fi gur a 2- 19 Modos con pr ot ocol o AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Fi gur a 2- 20 Modos en ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Fi gur a 2- 21 Encabezado y Col a ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Fi gur a 2- 22 Paquet e GRE encapsul ado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Fi gur a 2- 23 Encapsul ami ent o Mul t i cast con GRE asegur ado con I PSec . . 60 Fi gur a 2- 24 Escenar i o Red a Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Fi gur a 2- 25 Escenar i o Host a Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Fi gur a 2- 26 Punt o a Punt o en VPN VPWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Fi gur a 3- 1 Escenar i o Gener al . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Fi gur a 3- 2 Gat eway VPN sobr e el Fi r ewal l . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Fi gur a 3- 3 Esquema en par al el o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Fi gur a 3- 4 Gat eway VPN con DMZ ni ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Fi gur a 3- 5 Uso de una dobl e DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Fi gur a 3- 6 Al t a di sponi bi l i dad con Fai l over Act i vo . . . . . . . . . . . . . . . . . 85 Fi gur a 3- 7 Al t a di sponi bi l i dad medi ant e un Cl ust er . . . . . . . . . . . . . . . . . 86 Fi gur a 3- 8 SSH Reenv o Local de puer t o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Fi gur a 3- 9 SSH r eenv o Remot o de puer t o . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Fi gur a 4- 1 Di seo de l a sol uci n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Fi gur a 4- 2 Pedi do de cr edenci al es l ocal es . . . . . . . . . . . . . . . . . . . . . . . . . 110 Fi gur a 4- 3 Men pr i nci pal , sesi n l ocal del usuar i o . . . . . . . . . . . . . . . 110 Fi gur a 4- 4 Men del Cl i ent e VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Fi gur a 4- 5 Acceso a l os ar chi vos r emot os . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Fi gur a 4- 6 Pant al l a de conexi n a l a maqui na vi r t ual . . . . . . . . . . . . . . 112
VPNs de Acceso Remot o 116 5.2 REFERENCIAS BIBLIOGRFICAS
BIBLIOGRAFA BERKOWITZ, HOWARD C.[1999], Designing Addressing Architectures for Routing and Switching. BROWN, STEVEN [2001], Implementacin de Redes Privadas Virtuales COMER, DOUGLAS E.[2000], Internetworking with TCP/IP Vol.1 Principles, Protocols, and Architectures. GUPTA, MEETA [2003], Building a Virtual Private Network STALLINGS, WILLIAM [Junio 2000], Data & Computer Communications 6ta. Edicin. TANENBAUM, ANDREW S.[1996], Computer Networks 3ra. Edicin. SCOTT, CHARLIE-PAUL WOLFE-MIKE ERWIN [Enero 1999], Virtual Private Networks, Second edition
PUBLICACIONES CISCO SYSTEM [Abril 2006], Packet Networking Professionals Magazine. CISCO SYSTEM [Junio 1998],The Internet Protocol Journal N1 Vol 1 CISCO SYSTEM [Septiembre 1998],The Internet Protocol Journal N2 Vol 1 CISCO SYSTEM [Marzo 2007],The Internet Protocol Journal N1 Vol 10 CISCO SYSTEM [Junio 2007],The Internet Protocol Journal N2 Vol 10 NETXIT SPECIALIST N13, Elementos Bsicos de Criptografa, Algoritmos de Hash Seguros, El Gran Debate: PASSPHRASES vs. PASSWORDS NETXIT SPECIALIST N14, Elementos Bsicos de Criptografa, Algoritmos de Hash Seguros, El Gran Debate: PASSPHRASES vs. PASSWORDS-Parte 2 NETXIT SPECIALIST N27, ABC de VPNs NETXIT SPECIALIST N30, Virtualizacin NETXIT SPECIALIST N32, Virtualization Technologies
WHITE PAPERS FINLAYSON, M. HARRISON, J. SUGARMAN, R.[Febrero 2003], VPN Technologies A Comparison HTTP://www.dataconnection.com
VPNs de Acceso Remot o 117 CISCO SYSTEMS [2004], Enterprise guide for selecting an IP VPN Architecture Comparing MPLS, IPSec, and SSL. HTTP://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns465/net_ implementation_white_paper0900aecd801b1b0f.pdf