TEORIA 3 VPN

1. ¿Qué es una VPN? tipos

2. IpSec. ¿Qué es? Modos de funcionamiento
3. AH. ¿Qué es? Modos de funcionamiento
4. ESP ¿Qué es? Modos de funcionamiento
5. ¿Qué es un SA?¿Qué parámetros engloba?
6. ¿Qué es IKE? ¿De qué fases consta?
7. ¿Qué es ISAKMP?
8. Nombra los grupos de Diffie_Hellman

1.

Una red privada Virtual es un sistema de telecomunicación consistente en una red de datos
restringida a un grupo cerrado de usuarios, que se construye empleando en parte o totalmente los
recursos de una red de acceso público, es decir, es una extensión de la red privada de una
organización usando una red de carácter público.

Básicamente existen cuatro arquitecturas de conexión VPN:

VPN de acceso remoto

VPN punto a punto

VPN over LAN

VPN utiliza la técnica de Tunneling

2.

IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es

asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada
paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves
de cifrado.

Los modos de funcionamiento son:

Modo transporte: En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP
es cifrada y/o autenticada (autenticada utilizando AH y cifrada con ESP).

Modo tunel: En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o
autenticado.
3.

AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los
datagramas IP.

AH en Modo Transporte

La manera más fácil de entender el modo transporte es que protege el intercambio de información
entre dos usuarios finales. La protección es a través del autenticado, pero no se hace usando un
tunel (para eso está el modo túnel). No es una VPN, es una simple conexión autenticada entre dos
usuarios finales.

AH en Modo Túnel

El modo túnel es el más común para dar una funcionalidad de VPN, donde un paquete IP es
encapsulado dentro de otro y enviado a su destino. Igual que en el modo transporte, el paquete es
“sellado” con un hash para autentificar al que envía la información para prevenir modificaciones
durante el tránsito. Pero a diferencia del modo de transporte, el modo túnel encapsula todo el
paquete IP, no sólo la carga útil (TCP, UDP ,etc). Esto hace que el destinatario del paquete sea uno
diferente al destinatario original. Esto ayuda a la formación de un túnel.

4.

Añadir cifrado hace que ESP sea un poco más complicado, ya que la encapsulación rodea a la carga
útil es algo más que precederla con AH: ESP incluye cabecera y campos para dar soporte a la
encriptacion y a una autentificación opcional. Además, provee los modos de transporte y túnel, los
cuales nos son ya familiares.

ESP en Modo Transporte

Al igual que en AH, el modo transporte encapsula justamente la carga la carga útil del datagrama y
está diseñado justamente para comunicaciones extremo-a-extremo. La cabecera IP original se deja
(excepto por el campo cambiado Protocol), y esto hace - además de otras cosas - que las direcciones
IP de origen y destino se quedan como están.

ESP en Modo Túnel

El ESP en modo Túnel encapsula el datagrama IP entero y lo cifra. Proveer una conexión cifrada en
modo túnel es dar una forma muy cercana a como se crea una VPN, y es lo que se nos viene a la
cabeza a la mayoría cuando pensamos acerca de IPsec. Además de esto, tenemos que añadir
autentificación. Esta parte se trata en la siguiente sección. A diferencia de AH, donde un forastero
puede ver fácilmente que es lo que se transmite en modo Túnel o Transporte, usando ESP eso no
ocurre.
5.

SA es una colección de parámetros específicos de conexión, y cada pareja pueden tener uno o más
colecciones de parámetros específicos de conexión. Cuando llega el datagrama son usadas tres
piezas de los datos para localizar dentro de la base de datos o Security Associations Database
(SADB) la SA correcta.

En la SADB tenemos una cantidad ingente de información, pero sólo podemos tocar una parte de
esta:

 AH: algoritmo de autenticación

 AH: secreto de autenticación
 ESP: algoritmo de encriptación
 ESP: clave secreta de encriptación
 ESP: autenticación activada si/no
 Algunos parámetros de intercambio de llaves
 Restricciones de enrutamiento
 Política de filtración de IPs

6.

IKE - Internet Key Exchange - existe para que los puntos terminales del túnel puedan montar de
manera apropiada sus Security Associations, incluyendo las directivas de seguridad que van a usar.
IKE usa el ISAKMP (Internet Security Association Key Management Protocol) como un framework
para dar soporte al establecimiento de una SA compatible con los dos extremos

Consta de dos fases:

• El objetivo de la primera fase IKE es establecer un canal de comunicación seguro usando el

algoritmo de intercambio de claves Diffie-Hellman para generar una clave de secreto compartido y
así cifrar la comunicación IKE. Esta negociación establece una única SA ISAKMP Security
Association (SA) bidireccional. La autenticación puede ser realizada usando tanto una clave
compartida (pre-shared key) (secreto compartido), firmas digitales, o cifrado de clave pública. La
fase 1 opera tanto en modo principal como agresivo. El modo principal protege la identidad de los
extremos, mientras que el modo agresivo no lo hace.

• En la segunda fase IKE, los extremos usan el canal seguro establecido en la primera fase para
negociar una Asociación de Seguridad (SA) en nombre de otros servicios como IPsec.

7.

IKE, se apoya, a su vez en los algoritmos ISAKMP (Internet Security Association an Key
Management) es un protocolo que permite crear Asociaciones de Seguridad (SA) entre dos
ordenadores que se van a comunicar a través de una red.
8.
los grupos de Diffie-Hellman

• Grupo DH 1: Grupo de 768 bits

• Grupo DH 2: Grupo de 1024 bits
• Grupo DH 5: Grupo de 1536 bits
• Grupo DH 14: grupo de 2048-bit
• Grupo DH 15: grupo de 3072-bit
• Grupo DH 19: grupo de 256-bit de curva elíptica
• Grupo DH 20: grupo de 384-bit de curva elíptica