Professional Documents
Culture Documents
Introducción:
La nueva economía exige, no como un lujo sino más bien como una necesidad,
una cobertura global entre oficinas locales y remotas de una misma
organización. Una red privada virtual (RPV o VPN, Virtual Private Network) es
la interconexión de varias redes locales (LAN, Local Area Network) que están
separadas físicamente (remotas) y que realizan una transmisión de datos entre
ellas de un volumen considerable. De forma habitual, lo que se pretende es que
dicho grupo de redes locales se comporten como si se trataran de una única
red local, aunque por diversos motivos, fundamentalmente de índole
económica, la interconexión entre dichas redes LAN se efectúa a través de
medios potencialmente hostiles o inseguros (Internet, Red telefónica
conmutada o RTC a través de módem, Líneas alquiladas, RDSI o ISDN, X.25,
Frame Relay, ATM,...), de forma que hay que articular diversos mecanismos,
especialmente de encriptación y de firma digital, para garantizar la seguridad
de los sistemas.
El principal elemento que subyace bajo el establecimiento de una VPN son las
pasarelas (gateways) entre la red privada y la red pública. Sean estas basadas
en software, hardware o una combinación de ambos, estos elementos se
encargan de trabajar al servicio de la red privada que están protegiendo.
Para que el tránsito de información sea seguro, el sistema de red privada virtual
actúa a través de dos mecanismos simultáneos:
Certificación: Cada uno de los gateways que pretendan unirse a la VPN debe
garantizar de alguna forma que está autorizado. Esto se hace a través de algún
mecanismo de firma digital, normalmente a través de una autoridad de
certificación (Certification Authority). Esta certificación suele ser doble, e incluye
un elemento electrónico y un número de identificación personal o PIN (Personal
Identification Number). De esta manera, el usuario debe poseer de alguna
forma un código electrónico, bien sea una tarjeta magnética o un fichero en un
ordenador, y memorizar otra parte del código. Esto reduce drásticamente el
problema de que alguien pueda falsear una identidad para entrar al sistema,
puesto que debe poseer ambos elementos.
1
Redes Privadas Virtuales Jose Luis Ruiz González
Encriptación: Una vez dentro de la VPN, cada uno de los gateways envían su
clave pública a todos los demás gateways pertenecientes al sistema. Con el
uso de sistemas de encriptación simétricos, de clave pública y clave privada, la
información se encripta matemáticamente de tal forma que es extremadamente
complejo desencriptar la información sin poseer las claves. Existe un proceso
de gestión de dichas claves (Key management) que se encarga de su
distribución, su refresco cada cierto tiempo, y revocarlas cuando sea necesario
hacerlo. Se ha de conseguir un balance entre los intervalos de intercambio de
las claves y la cantidad de información que se transfiere: Un intervalo
demasiado corto sobrecargaría los servidores de la VPN con la generación de
claves, mientras que uno excesivamente largo podría comprometer la clave y la
información que esta protege.
2
Redes Privadas Virtuales Jose Luis Ruiz González
FreeS/WAN:
Los protocolos IPSec han sido desarrollados por la IETF (Internet Engineering
Task Force), y formarán parte de la versión 6 del protocolo IP (IPv6), la nueva
generación del mismo. De igual forma, están siendo ampliamente
implementados en redes IPv4. De hecho, casi todos los fabricantes de
productos de firewall o de software de seguridad tienen soporte de IPSec ya en
el mercado, o bien en desarrollo. Asímismo hay varios proyectos Open Source
relativos a IPSec, como puede ser FreeS/WAN.
Organizaciones:
3
Redes Privadas Virtuales Jose Luis Ruiz González
Protocolos:
4
Redes Privadas Virtuales Jose Luis Ruiz González
adquirido una popularidad particular por el uso de IPsec (IP Security) para
garantizar la privacidad. Los dos principales componentes que conforman L2TP
son el LAC (L2TP Access Concentrator), que es el dispositivo que canaliza
físicamente la llamada, y el LNS (L2TP Network Server), que es el que canaliza
y autentifica (si es necesario) el stream PPP. Se define en el RFC 2661.
5
Redes Privadas Virtuales Jose Luis Ruiz González
6
Redes Privadas Virtuales Jose Luis Ruiz González
TLS y SSL no son interoperables, aunque un mensaje enviado con TLS puede
ser manejado por un cliente que use SSL pero no así TLS.
SSH (Secure Shell, a veces interpretado también como Secure Socket Shell)
es un interfaz de comandos basado en UNIX y un protocolo para obtener
acceso a un ordenador remoto. Es ampliamente utilizado por administradores
para gestionar servidores de forma remota. SSH es realmente un conjunto de
tres utilidades, slogin, ssh y scp, que son versione seguras de utilidades
anteriores de unix: rlogin, rsh y rcp. los comandos SSH son encriptados y
asegurados de múltiples formas. Ambos extremos de la conexión cliente-
servidor se autentifican mediante un certificado digital, y las contraseñas se
protegen mediante encriptación. SSH usa criptografía RSA de clave pública
tanto para la conexión como para la autentificación. Los mecanismos de
encriptación incluyen Blowfish, DES e IDEA. IDEA es el que se usa por defecto.
SSH2, la última versión, es un estándar propuesto por la IETF (Internet
Engineering Task Force). SSH puede establecer una conexión segura para
cualquier protocolo de aplicación a través de una conexión cliente-servidor
encriptada y autentificada, como por ejemplo los protocolos POP y SMTP.
7
Redes Privadas Virtuales Jose Luis Ruiz González
8
Redes Privadas Virtuales Jose Luis Ruiz González
Algoritmos de encriptación:
9
Redes Privadas Virtuales Jose Luis Ruiz González
10
Redes Privadas Virtuales Jose Luis Ruiz González
(3DES) usa tres claves de 56 bits, un total de 168 bits. DES es un tipo de
cifrado de los conocidos como Red Feistel Tradicional.
11
Redes Privadas Virtuales Jose Luis Ruiz González
Una red privada virtual (VPN) necesita que exista en ambos extremos de la
comunicación un software capaz de encriptar el tráfico saliente a la red pública,
y desencriptar el tráfico entrante. Este software puede ser ejecutado en un
dispositivo hardware dedicado, o en un PC con un sistema operativo de
propósito general, como Linux, *BSD, NetWare o Windows. Es más
recomendable disponer de un hardware específico dedicado a esta tarea,
normalmente denominados concentradores (concentrators). En los PCs se
ejecutan tantas tareas no relacionadas de forma simultánea que es más fácil
que haya en ellos agujeros de seguridad. Además, son más propensos a dar
fallos debido a que tienen más partes movibles.
http://www.pcmag.com/article/0,2997,s%253D1553%2526a%253D12352%252
6app%253D1%2526ap%253D2,00.asp
12
Redes Privadas Virtuales Jose Luis Ruiz González
13
Redes Privadas Virtuales Jose Luis Ruiz González
Comparativa PCWorld:
http://www.pcmag.com/article/0,2997,s%253D1553%2526a%253D12376,00.as
p
Bibliografía:
Internet Engineering Task Force (IETF) - Transport Layer Security (tls) Charter
http://www.ietf.org/html.charters/tls-charter.html
Linux FreeS/WAN
http://www.freeswan.org/
OpenSSH
http://www.openssh.com/
14
Redes Privadas Virtuales Jose Luis Ruiz González
TACACS+
http://www.mentortech.com/learn/welcher/papers/tacacs.htm
15
Redes Privadas Virtuales Jose Luis Ruiz González
http://www.rsa.com/rsalabs/faq/index.html
http://www.rsasecurity.com/rsalabs/faq/index.html
Cryptographic Algorithms
http://www.ssh.fi/tech/crypto/algorithms.html
16