Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tecnologas Avanzadas de la
Informacin
Rev. 2
Bibliografa
Markus Feilner, OpenVPN Building and
Integrating Virtual Private Networks. Packt
Publishing. ISBN 1-904811-85-X
Stephen A. Thomas, SSL and TLS Essentials,
Wiley, ISBN 0-471-38354-6
ndice
Introduccin y conceptos bsicos
Tneles y VPN en diferentes capas
Privacidad y criptografa
Certificados digitales
OpenVPN
Introduccin
Objetivo: Interconexin segura de equipos
Solucin 1: Lneas dedicadas
Solucin 2: Uso de red pblica con cifrado
Introduccin
Virtual: No es una lnea dedicada, opera
sobre una conexin ya existente
Privada: Aunque los datos se transmiten por
canales compartidos/pblicos, sern
visibles/capturables pero no se deben poder
descifrar
Network: Se debe comportar de forma
transparente para los equipos de red
independiente de su ubicacin
Introduccin
Requisitos VPN:
Privacidad: Solo los equipos autorizados
estn conectados.
Integridad: La informacin intercambiada no
puede ser alterada.
Disponibilidad: La conexin debe estar
disponible cuando se necesite.
Introduccin
Escenarios de uso:
Interconexin de varias
localizaciones remotas
usando una red pblica
Conexin de equipos remotos
a red interna
Conexin de proveedores
Conceptos bsicos
Privacidad = Criptografa: Se consigue cifrando
el trfico
Criptografa: disciplina amplia (investigacin,
desarrollo, etc.) con fuerte componente
matemtico
Criptografa en T.A.I:
Clave simtrica
Clave asimtrica
Certificados digitales
Tneles
Tnel: Canal de comunicacin usado
encapsulando un protocolo en otro.
Los datos se pueden cifrar antes de enviarse por un
tnel.
El paquete original de red se encapsula dentro de un
nuevo paquete, pero cifrado.
El paquete que se enva slo tiene visible el destino
y el origen del mismo
Tneles
Encapsulacin: Consistente en empaquetar
una trama como datos en otra una trama de
nivel superior.
Ejemplos:
PPPoE / PPPoA: ADSL
MLPS: Relacionada con QoS (prximo tema)
Etc.
Tneles
PAQUETE ENVIADO
PAQUETE
ORIGINAL
Tneles
Nos centraremos en tneles IP
Existen estndares para implementacin de
tneles:
IPIP: IP in IP [RFC 1853]
GRE: General Routing Encapsulation:
Desarrollado por Cisco y estandarizado [RFC
1701]
Privacidad
Privacidad: Una VPN sin seguridad no es
privada
La privacidad en VPN se consigue mediante
tcnicas criptogrficas
Utilizaremos tcnicas criptogrficas
ampliamente utilizadas y estudiadas:
Clave simtrica
Clave asimtrica
Privacidad
Cifrado simtrico
Cifrado simtrico:
Emisor y receptor utilizan la misma clave
Ambos se ponen de acuerdo en la clave usada
En caso de N ordenadores en una VPN todos
tienen la misma clave.
Desventajas:
Si un equipo est comprometido se tiene acceso
a todas la comunicaciones VPN
Las claves precompartidas se pueden atacar por
fuerza bruta (ejemplo claves WEP)
Privacidad
Cifrado simtrico
Algoritmos de clave simtrica:
DES,IDEA,AES,RC5,Blowfish, etc
Aunque se conozca el mensaje original enviado y
el cifrado, obtener la clave debe ser costoso
La fortaleza depende de la complejidad del
algoritmo y de la longitud de la clave
Privacidad
Cifrado simtrico
Soluciones:
IPSec cambia la clave cada cierto periodo de tiempo
(tiempo de vida)
El tiempo de vida debe ser menor que el tiempo
requerido para descifrar la clave
Privacidad
Cifrado simtrico
Esquema de
autenticacin en VPN
clsicas en tres pasos
Se negocian
parmetros entre cliente
y servidor:
Algoritmos de cifrado
Compresin
Direccin IP
Paso 1:
Autenticacin
Paso 2:
Mtodo de
encriptacin
Paso 3:
Mtodo de
intercambio
de claves
Privacidad
Cifrado asimtrico
Cifrado asimtrico:
Basada en clave pblica y privada
Cada parte tiene dos claves
Algoritmos:
RSA,DSA, ElGamal, Diffie-Hellmanm
Basado en nmeros primos y el problema de la
factorizacin
Privacidad
Cifrado asimtrico
Ventaja: No hay problemas de distribucin de
claves, slo se intercambian las pblicas
Inconveniente: Algoritmos lentos y costosos
Para asegurar el intercambio de claves
aparecen las autoridades de certificacin
(CA) y certificados digitales.
Certificados digitales
Objetivo: Asegurar la identidad de las partes
cliente y servidor
Firma electrnica:
Se aplica una clave secreta al contenido
Asegura que el documento no sufre cambios
Esta firma puede ser comprobada por cualquier
persona que disponga de la clave pblica del
autor.
Certificados digitales
Firma electrnica
Certificados digitales
Certificado digital: Archivo firmado
con la clave privada de una
autoridad de certificacin
Autoridad de certificacin:
Evita la suplantacin, con su firma
certifica que alguien es quien dice
ser
Ambas partes confan en la autoridad.
Todos conocen la clave pblica de la
autoridad
Autoridad
certificadora
Usuario
Servicio
Certificados digitales
Autoridades de certificacin:
Emiten y revocan certificados
Forman una Jerarqua
La raz es un certificado autofirmado
CRL: Listado de revocacin de certificados
gestionado por la CA.
Cada pas tiene una lista de CA
Ejemplos: VeriSign, FNMT, CAcert
Certificados digitales
Ordenamiento jurdico:
Ley 59/2003 firma electrnica, certificado
electrnico, DNI-e, etc.
Elimina barreras legales de la firma electrnica
Potencia del desarrollo de Internet
Conceptos regulados:
Firma electrnica
Certificado digital
Autoridad de certificacin
DNI-e
Certificados digitales
Existen diversos
formatos, X.509
muy utilizado
Adems de la
clave pblica y
firma de la CA
contienen muchos
campos
adicionales
-----BEGIN CERTIFICATE----MIIDojCCAoqgAwIBAgIQE4Y1TR0/BvLB+WUF1ZAcYjANBgkqhkiG9w0BAQUFADBr
MQswCQYDVQQGEwJVUzENMAsGA1UEChMEVklTQTEvMC0GA1UECxMmVmlzYSBJbnRl
cm5hdGlvbmFsIFNlcnZpY2UgQXNzb2NpYXRpb24xHDAaBgNVBAMTE1Zpc2EgZUNv
bW1lcmNlIFJvb3QwHhcNMDIwNjI2MDIxODM2WhcNMjIwNjI0MDAxNjEyWjBrMQsw
CQYDVQQGEwJVUzENMAsGA1UEChMEVklTQTEvMC0GA1UECxMmVmlzYSBJbnRlcm5h
dGlvbmFsIFNlcnZpY2UgQXNzb2NpYXRpb24xHDAaBgNVBAMTE1Zpc2EgZUNvbW1l
cmNlIFJvb3QwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCvV95WHm6h
2mCxlCfLF9sHP4CFT8icttD0b0/Pmdjh28JIXDqsOTPHH2qLJj0rNfVIsZHBAk4E
lpF7sDPwsRROEW+1QK8bRaVK7362rPKgH1g/EkZgPI2h4H3PVz4zHvtH8aoVlwdV
ZqW1LS7YgFmypw23RuwhY/81q6UCzyr0TP579ZRdhE2o8mCP2w4lPJ9zcc+U30rq
299yOIzzlr3xF7zSujtFWsan9sYXiwGd/BmoKoMWuDpI/k4+oKsGGelT84ATB+0t
vz8KPFUgOSwsAGl0lUq8ILKpeeUYiZGo3BxN77t+Nwtd/jmliFKMAGzsGHxBvfaL
dXe6YJ2E5/4tAgMBAAGjQjBAMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQD
AgEGMB0GA1UdDgQWBBQVOIMPPyw/cDMezUb+B4wg4NfDtzANBgkqhkiG9w0BAQUF
AAOCAQEAX/FBfXxcCLkr4NWSR/pnXKUTwwMhmytMiUbPWU3J/qVAtmPN3XEolWcR
zCSs00Rsca4BIGsDoo8Ytyk6feUWYFN4PMCvFYP3j1IzJL1kk5fui/fbGKhtcbP3
LBfQdCVp9/5rPJS+TUtBjE7ic9DjkCJzQ83z7+pzzkWKsKZJ/0x9nXGIxHYdkFsd
7v3M9+79YKWxehZx0RbQfBI8bGmX265fOZpwLwU8GUYEmSA20GBuYQa7FkKMcPcw
++DbZqMAAb3mLNqRX6BGi01qnD093QVG/na/oAo85ADmJ7f/hC3euiInlhBx6yLt
398znM/jra6O1I7mT1GvFpLgXPYHDw==
-----END CERTIFICATE-----
OPENVPN
http://openvpn.net
OpenVPN
Es una solucin basada en SSL/TLS
Implementa conexiones en la capa 2 o capa
3
Ventajas: Despliegue rpido e infraestructura
simple, bajo coste.
Desventajas: Existen pocas soluciones
hardware
SSL/TLS
SSL: Secure Sockets Layer
TLS: no es ms que una nueva versin de
SSL
Es un protocolo para dar seguridad a la capa
de transporte
Fcil de utilizar a nivel de programacin (API)
StartTLS: Utilizado para iniciar comunicacin
segura a partir de una comunicacin plana
de texto inicial
OpenVPN
Requisitos:
TUN/TAP drivers
OpenSSL
LZO: Compresin en tiempo real
Soportado:
Linux
Mac
Windows
Android
OpenVPN
Modos de funcionamiento:
Sobre TCP
Sobre UDP
Soporte para proxy
Tipo de seguridad:
Clave simtrica (no recomendado)
Clave asimtrica (RSA)
Tipos de tneles
Tnel IP:
Puente ethernet:
OpenVPN
Tnel IP:
Uso habitual
Usado para trfico IP punto-a-punto sin broadcast
Bastante ms eficiente que un puente ethernet
Ms fcil de configurar
OpenVPN
Puente ethernet:
Aplicaciones especficas
Se pueden usar para encapsular tanto protocolos
IP como no-IP.
Apropiado para aplicaciones que se comunican
utilizando difusin (broadcast), red de Windows y
juegos de rea local (LAN).
Son bastante ms difciles de configurar.
OpenVPN