CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament dArquitectura de Computadors

Virtual Private Network (VPNs)

(Seminaris de CASO) Autors Miguel ngel Snchez Gmez Joan Delgado Alcal

Introduccin
Qu es una VPN? Tipos de Enlaces Para que sirve? Aspectos Tcnicos Firewalls Alternativas a las VPNs Ventajas e Inconvenientes Webgrafa

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 2

Qu es una VPN?
Red privada y segura sobre red pblica y no segura. Proporciona un tnel ip encriptado y/o encapsulado a travs de internet.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 3

Tipos de Enlaces (I)

Enlace Cliente - Red:

El cliente se conecta remotamente a una LAN. Se usa PPP para establecer una conexin entre el cliente y la LAN.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 4

Tipos de Enlaces (II)

Enlace Red - Red:

Se encapsula el trfico de una red local. Nos ahorramos el paso PPP ( las tramas se encapsulan directamente).

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 5

Para que sirven?

Se pueden hacer servir como una Extranet. Es ms segura que una Extranet. Permitira conectar diferentes delegaciones de una empresa, simulando una red local de una manera transparente y econmica. Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 6

Aspectos Tcnicos (I)

Nivel 2 (OSI)
PPTP, L2F, L2TP

Nivel 3 (OSI)
IPSec

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 7

Aspectos Tcnicos (II)

PPTP (Point-to-Point Tunneling Protocol): Protocolo desarrollado por Microsoft y normalizado por la IETF (Internet Engineering Task Force, RFC 2637) Permite el trfico seguro de datos desde un cliente remoto a un servidor corporativo privado. PPTP soporta multiples protocolos de red (IP, IPX, NetBEUI, ). Tiene una mala reputacin en seguridad. Muy usado en entornos Microsoft.
Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 8

Aspectos Tcnicos (III)

L2F (Layer 2 Forwarding): Protocolo desarrollado por Cisco Systems. Precursor del L2TP. Ofrece metodos de autentificacin de usuarios remotos Carece de cifrado de datos

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 9

Aspectos Tcnicos (IV)

L2TP (Layer 2 Tunneling Protocol):

Estndar aprobado por la IETF (RFC 2661) Mejora combinada de PPTP y L2F. No posee cifrado o autentificacin por paquete (ha de combinarse con otro protocolo, como el IPSec).

Combinado con IPSec ofrece la integridad de datos y confidencialidad exigidos para una solucin VPN.
Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI, )

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 10

Aspectos Tcnicos (V)

Tunneling:
Aade una cabecera IP adicional (cabecera del protocolo de transporte ) al paquete original para que ste pueda circular a travs de Internet hasta el router de la empresa corporativa donde es eliminada. El router que permite accesos va tunel a una red privada se denomina servidor de tneles.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 11

Aspectos Tcnicos (VI)

IPSec :
Proporciona servicios de seguridad a nivel 3. Permite seleccionar protocolos de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar estos servicios. Servicios de seguridad que proporciona:
Control de acceso Integridad Autentificacin del origen de los datos Confidencilidad

Es estndar dentro de IPv6 y ha sido adaptado para IPv4.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 12

Aspectos Tcnicos (VII)

Protocolos de Seguridad:
AH (Authentication Header): Protocolo de autenticacin que usa una firma hash para integridad y autenticidad del emisor.
Datagrama IPv4:
Cabecera AH Datos

ESP (Encapsulating Security Payload): Protocolo de autenticacin y cifrado que usa mecanismos criptogrficos para proporcionar integridad, autenticacin del origen y confidencialidad.
Datagrama IPv4:
Cabecera Datos encriptados

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 13

Aspectos Tcnicos (VIII)

Gestin de Claves:
IKE (Internet Key Exchange): Autentica a cada participante en una
transaccin IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesin. Fase 1: Los nodos IPSec establecen un canal seguro para realizar el intercambio de informacion (SA). Fase 2: Los nodos IPSec negocian por el canal establecido: * Algoritmo de cifrado * Algoritmo hash * Mtodo de autenticacin

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 14

Firewall

Como medida adicional de seguridad se recomienda utilizar firewall para garantizar que solo tendrn acceso a la LAN los clientes autorizados.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 15

Alternativas a las VPNs

RAS (Remote Acces System)

Sistemas de acceso remoto basado en llamadas conmutadas (RTC, RDSI). Se produce una llamada del cliente al servidor de RAS. El coste de esta llamada es el de una llamada conmutada entre los dos extremos de la comunicacin. Podremos tener tantas conexiones simultanias como dialers (modems) tengamos disponibles.

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 16

Alternativas a las VPNs

Alquiler de linias dedicadas:

Son seguras ya que solo circulamos nosotros. Alto coste econmico El ancho de banda del que queramos disponer va en proporcin a lo que se est dispuesto a pagar.

WAN :
Coste elevadisimo no asumible por la mayoria de empresas. Ej: FDDI, ATM, ...

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 17

Ventajas e Inconvenientes (I)

Ventajas:
Ahorro en costes. No se compromete la seguridad de la red empresarial. El cliente remoto adquiere la condicion de miembro de la LAN ( permisos, directivas de seguridad). El cliente tiene acceso a todos los recursos ofrecidos en la LAN (impresoras, correo electronico, base de datos, ). Acceso desde cualquier punto del mundo (siempre y cuando se tenga acceso a internet).

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 18

Ventajas e Inconvenientes (II)

Inconvenientes:
No se garantiza disponibilidad ( NO Internet --> NO VPN). No se garantiza el caudal. Gestin de claves de acceso y autenticacin delicada y laboriosa. La fiabilidad es menor que en una linia dedicada Mayor carga en el cliente VPN (encapsulacin y encriptacin) Mayor complejidad en la configuracin del cliente ( proxy, servidor de correo, ) Una VPN se considera segura pero no hay que olvidar que viajamos por Internet ( no seguro y expuestos a ataques).
Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 19

Webgrafa

http://www.disc.ua.es/assignatures/rc/inginf/labvirtual/manualppto.html http://www.canalsw.com/ayudas/glosario/glosario2.asp?id=805&ic=4 http://www.uv.es/ciuv/cas/vpn/index.html http://www.rediris.es/rediris/boletin/54-55/ponencia2.html http://teleline.terra.es/personal/jralcala/web/redes/vpn/vpn1.htm http://support.microsoft.com http://www.w2000mag.com (Windows 2000 Magazine)

Seminaris de CONCEPTES AVANATS DE SISTEMES OPERATIUS Departament. dArquitectura de Computadors - UPC 20