Esquemas de conexin vpn con

Assenda E-business

7/23/2009

1. Que es una VPN?

Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de
encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas
infraestructuras pblicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en la red
pblica.

En la figura anterior se muestra como viajan los datos a travs de una VPN, los datos parten
del servidor dedicado, llegando al Firewall que hace la funcin de una pared para engaar a
los intrusos a la red, despus los datos llegan a la nube de Internet donde se genera un tnel
dedicado nicamente para nuestros datos y que estos con una velocidad garantizada, con
un ancho de banda tambin garantizado lleguen a su vez al Firewall remoto y terminen en el
servidor remoto.
Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios mviles, con
oficinas remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM,
etc.etc....
Las VPN representan una gran solucin para las empresas en cuanto a seguridad,
confidencialidad e integridad de los datos y prcticamente se ha vuelto un tema importante
en las organizaciones, debido a que reduce significativamente el costo de la transferencia de
datos de un lugar a otro, el nico pre-requisito que pudieran tener las VPN, es que primero
se deben establecer correctamente las polticas de seguridad y de acceso porque si esto no
esta bien definido pueden existir consecuencias serias .

7/23/2009

2.

A.

Descripcin del proceso de conexin

Esquema Client to Site:

Una vez el cliente haya creado los protocolos requeridos para la conexin y activado los
permisos requeridos en sus Firewalls (si

los tiene), debe instalar en el PC donde se

encuentra el software GE-Desktop, el cliente de conexin vpn llamado Secure Remote.

Cabe mencionar que este metodo de conexin tambien puede ser configurado si del lado del
cliente tienen banda ancha(DSL, ADSL, etc.) o enlaces dedicados.
El esquema de seguridad de la conexin, hace que el cliente enve un usuario y password
de conexin, una vez estos datos son validados por el Firewall/Vpn de Assenda se establece
una sesin encriptada. Esta sesin es soportada por un certificado digital que es emitido por
el Firewall/Vpn y almacenado por el cliente. Cabe mencionar, que aqu los parmetros de
conexin son mandatorios del lado del Firewall de Assenda. Adicional a lo anterior, cada
intervalo de tiempo (el cual es configurable), el Firewall/Vpn y el cliente estn haciendo
intercambio de las llaves de autenticacin con el fin el de mantener fortalecida y segura la
conexin.
Puertos a configurar del lado del Firewall del cliente:
500 (UDP) IKE (Internet Key Exchange) -Used for the initial key exchange by 2 VPN
endpoints to establish and authenticate a VPN tunnel.
Protocol 50 (ESP-IPSec) Used for site-to-site VPN tunnels to pass the encrypted data
traffic.
2746 (UDP Encapsulation) Used for client to site VPN tunnels to pass the encrypted
data traffic. Is used by VPN clients that have NAT traversal capabilities. It is also used
when SofaWare firewall/VPN appliance acts as a VPN server behind NAT.
FW-1 - TCP Ports 256, 264 These are used by Check Point SecureRemote/SecureClient
to transfer the network topology when the Software firewall/VPN appliance is being
connected to as a VPN site. Also used by the Software firewall/VPN appliance if it is
being used as a client to connect to a VPN site.

7/23/2009

ESQUEMA VPN
CLIENT TO SITE

CLIENTE

ASSENDA
Internet

Hosts

Servidores
EDI

(Secure Remote
instalado)

B.

Esquema Site to Site:

Este esquema es mas complejo y seguro que el anterior, en esta modalidad el tnel es
administrado por los dispositivos de Seguridad establecidos en cada uno de los extremos de
la conexin (Firewalls/Vpn Concentradores Vpn).
Para poder que la conexin se establezca correctamente, es necesario acordar entre las
partes (Cliente-Assenda) el esquema de encripcin (IKE, IPSEC), algoritmo de encripcin
(DES, 3DES, CAST AES256), algoritmo de integridad de los datos (MD5, SHA1), algoritmo
de intercambio de llaves (Diffie Hellman Groups) y una Preshared- Key.

7/23/2009

ESQUEMA VPN
SITE TO SITE

CLIENTE

ASSENDA
Internet
TUNEL VPN DE EXTREMO A EXTREMO

Hosts

Servidores
EDI

Componentes de Topologa
Dentro de los elementos de Seguridad que posee Assenda para establecer las conexiones
vpn tenemos: Firewalls/Vpn Checkpoint NGX R6.5 (Apliance in clustering), Filtrado IPS y
Filtrado de Contenido (Smart Defense), Servidores HPUX in cluistering con filtros TCP
Wrappers. Los servidores de aplicacin se encuentran ubicados en una DMZ privada.
Las conexiones vpn siempre son en sentido Unidireccional (del Cliente a Assenda), por lo
tanto el cliente no debe abrir brecha de seguridad alguna en su Infraestructura. Las reglas de
negocio establecen hacer solo conexiones TCP al puerto 3001 del servidor EDI (GeDesktop, Mtip, etc, etc).
PARA SU INFORMACION:
Las configuraciones de seguridad de la plataforma del cliente, son siempre llevadas a cabo por
su personal de TI. La responsabilidad de Assenda es entregar la informacin necesaria para la
configuracin.

7/23/2009

3. Beneficios para tener en cuenta

Cuando se desea establecer una conexin VPN para comunicarse con la VAN, el
cliente deja de utilizar el acceso telefnico va MODEM, para usar los recursos de
infraestructura de la empresa, ya con esto se adquiere una mayor velocidad de
conexin y trasmisin respecto a las conexiones telefnicas.
La conexin puede permanecer On-line, sin que con esto se aumente el costo de
conexin por el uso del carrier de Internet (con un enlace dedicado), con el acceso
telefnico cada minuto de conexin del MODEM es un cobro para la factura
telefnica.
Se cuenta con un esquema de seguridad donde el servidor y el cliente estn
intercambiando cada cierto tiempo las llaves de autenticacin por medio de
algoritmos complejos de encripcin y validacin.
Niveles de Seguridad: Ya sea en la modalidad Client to Site o Site to Site, las
conexiones vpn con Assenda manejan esquemas de encripcin, algoritmos de
encripcin, algoritmos de autenticacin y procesos para el intercambio de llaves de
extremo a extremo, los cuales cumplen con las normas estndares de Seguridad
Informtica en la industria.

7/23/2009