• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
3 – IPsec VPNs
3.1 – Introducing VPN Technology3.1.1 – What is Needed to Build a VPN
Una VPN es un concepto que describe cómo crear una red privada sobre lainfraestructura de red pública manteniendo la confidencialidad y seguridad. Las VPNutilizan protocolos de tunneling criptográfico para dar autenticación, integridad delos mensajes y confidencialidad, pretejiendo del sniffing de paquetesClaves:
Encapsulación
también referida a los túneles porque la encapsulacióntransmite datos transparentemente de red a red a través de una estructurade red compartida.
Encriptación
codifica los datos en otro formato. Desencriptación descodificalos datos en su formato original.
3.1.2 – Overlay and Peer-to-Peer VPN ArchitectureOverlay VPNs
Los proveedores de servicios son los usuarios más comunes de las overlay vpn. Eldiseño y provisión de vc a través del backbone es previo a cualquier flujo de tráfico.En el caso de una red IP esto significa que a pesar de que la tecnología subyacentees no orientada a conexión, requiere un enfoque orientado a conexión para poderdar el servicio.Incluye dos tipos:
L2 Overlay VPN
son independientes del protocolo de red utilizado por elcliente.
L3 Overlay VPN
suelen usar una combinación de túneles IP TO IP usandoPPTP(Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) eIPsec.
 
CPE-Based VPN (Peer-To-Peer)
Es otro nombre par alas L3 Overlay VPN. El cliente crea una VPN a través de suconexión a Internet sin conocimiento del proveedor de servicios. El cliente gana enprivacidad utilizando una conexión barata de Internet.
SP-Provisioned VPN
La introducción de MPLS combina los beneficios de las Overlay VPN con losbeneficios del routing simplificado de las Peer-To-Peer. MPLS VPN brinda un routingmás simple al cliente, más simplicidad de la provisión del servicio y un número detopologías difíciles de implementar en los otros tipos de VPN. También añade losbeneficios de una topología orientada a conexión.
3.1.3 – VPN Topologies
Remote Access VPN
dan al usuario remoto acceso a una intranet o extranetsobre una infraestructura compartida. Utilizan un único Gateway vpn. Elgrupo negocia una conexión segura con el Gateway utilizando un softwarevpn que permite a los teletrabajadores comunicarse con su sede central yacceder a sus servidores. Se crean los túneles mediante IPsec, PPTP, L2TP yL2F. Reducen los costes de las largas distancias y ayudan a aumentar laproductividad.
Site-to-Site Intranet VPN
une las oficinas centrales con las sedes remotassobre una infraestructura compartida utilizando conexiones dedicadas. Laintranet VPN se diferencian de las Extranet VPN en que las intranet permitenel acceso solo a trabajadores de confianza. Los usuarios a cada extremo deltúnel pueden comunicarse con el resto como si la red fuera una única red.Necesitan fuertes políticas de encriptada. Se suelen utilizar túneles IPsec oIPsec/GRE. Ofrecen reducción de costes sobre las tradicionales líneasdedicadas.
Site-To-Site Extranet VPN
une a los clientes externos, Partners, etc a la redempresarial del cliente utilizando una infraestructura compartida conconexiones dedicadas. La diferencia con las intranet es que permiten elacceso a usuarios que son de fuera de la empresa. Utilizan firewalls juntocon túneles vpn con lo que los Partners solo tienen acceso a los contenidospermitidos y no a toda la información corporativa.
 
3.1.4 – Characterstics of a Secure VPN
Autenticación
asegura que el mensaje llega de una fuente válida y llega a undestino válido. La identificación de usuarios brinda la función de que cada miembrode la comunicación sepa exactamente con quién está hblando. Passwords,certificados digitales…Data confidentiality
una de las inquietudes tradicionales de la seguridad esproteger los datos de fisgones. Como una característica de diseño, la confidencialitade los datos hace que los contenidos del mensaje estén protegidos de serinterceptados por desconocidos.Data integrity
desde que no hay control sobre la manera en que viajan los datos,siempre existe la posibilidad que los datos sean modificados. La integridad de losdatos garantiza que no haya falsificaciones o alteraciones mientras la informaciónviaja del origen al destino. One-way hash functions, message authentication codes(MAC), o firmas digitales.
3.1.5 – VPN Security: Encapsulation
 Tunneling es la transmisión de datos a través de la red publica pero los nodos de lared publica no son consientes de que la transmisión es parte de una red privada.Las vpn construyen túneles encapsulando la información de la red privada y lainformación de protocolos dentro del protocolo de red publico por lo que lainformación tunelada no esta disponible para que alguien la examine. Tunelling mete un paquete dentro de un paquete y manda ese paquete compuestopor la red. Tipos de protocolos usados:
Carrier protocol
el protocolo por el que viaja la información. ATM, FR,MPLS…
Encapsulating protocol
el protocolo que envuelve la información original.GRE, IPsec, L2F, PPTP, L2TP.
Passenger protocol
los datos originales.
3.1.6 – VPN Security: IPsec and GRE
Cuando se usa sólo, IPsec provee una red privada y fuerte para uso exclusivo con IPunicast. IPsec utilizado conjuntamente con GRE da soporte a multicast y protocolosIGP. Hay dos modos:
Tunnel mode
encripta el encabezado y la carga de cada paquete mientras que elmodo transporte solo encripta la carga. Solo los sistemas que soportan IPsecpueden aprovechar las ventajas del transport mode. Adicionalmente todos losdispositivos deben usar una llave común y los firewalls de cada red deben tenerpolíticas parecidas. IPsec puede encriptar datos entre varios dispositivos, router arouter, firewall a router, pc a router y pc a servidor.GRE cubre el encabezado ip y la carga de los paquetes con un encabezado GRE.
Tunneling in Site-to-Site VPNs
GRE da el marco de trabajo para empaquetar el protocolo pasajero para transportesobre el protocolo portador. Este transporte incluye información de que tipo depaquete es encapsulado e información sobre la conexión entre el cliente y servidor.Pueden utilizar también IPsec en túnel mode como protocolo de encapsulación.IPsec trabaja bien el las remote-access y las site-to-site.
Tunneling: Remote-Access
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...