INSTALAGYON@ CON PI @UIRAGHON Y ADMINISTRACION gerne $ 22-11 Mexico $48 &SEGURIDAD VLAN, VPN Y TRABAJO REMOTO En esta clase conoceremos los diferentes tipos de redes virtuales existentes y entregaremos recomendaciones sobre seguridad. Ademas, veremos herramientas para trabajar sobre VPN. > CLASIFICACION Y PROTOCOLOS > CONCEPTO DE TUNELIZACION \ > AGCESO REMOTO j a > FUNCIONAMIENTO DE OPENVPN > APLICACIONES RECOMENDADASTécnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Budis José Bustos Gustavo Cardelle Asesores técnicos Rockigo Chavez ferico Pacheco Santiago Crocioni Javier Richarte Alejandko Gamez Gilberto Gonzalez Javier Medina Gustavo Martin Moglie Juan Ontiz Pablo Pagani Gerardo Pedraza Marcela Soria Curso visual prictco Técnico en edesy seguridad es una pubcaion de Fox ‘Andina en cosdcin con Dalaga 8. Esta pba no puede se eproducida i en ‘todo ni en pare, or rngin melo actual o futuro sine Fox Andina S.A, Dstbuidres on Argentina: Capt: Vaccaro Sinchery Cla. SC Moreno 794 piso 9 (1091), Ciudad de Buenas ies, Te. 541 1-4842-2031/4032;, Interior: Disibuiora Incerploas SA, (ISA Pe. Luis Sden Pes 1832 (C1135ABN), ‘Buenos Aires, Tel 541 1-4305-0114,Boliv: Agence Madera, General Ach E-0132 asia de comeo 462, Cochabamba, Tel 5814-422-1414, Chl: METAS.A, Willams Rebolledo 1717 - ua - Sartiag, Tel, 562-620-1700. Colombia: Dstibuidoras 6-8000, Ecuador: Unidas SA, Carrera 71 Nr. 21-73, Bogté D.C Te 57 Disandes(Ostrbuidra dels Andes) Calle yAv, Agustin Fee, Guayaquil, Tel 59342-27 1651. Msc: Distibuidor Intermex, SA. de CV, Lucio Blanca #435, Col Son Juan Tuaa, México DF (02400) Tal $255 52 30 95 4, Pert: de Panams 3635 piso 2 San co, Lima, Distibuidera Bovina ., Av Republi Tel 511 4412948 nero 21 Uruguay Esper SRL, Pa Tel 5982-924-0766. VrezvelaDstbudora Continental Bloque de. EalfioBlaque de Armas Psa no, A, San Matin cuce con final A. La Paz, Caracas Tel $8212.406-4250 1924, Montevideo, Impreso en Sevagrat S.A, Impreso en Argentina Capyight @ Fax Andina S|, Mx SLE) LU) WTS Te REM +54 (011) 4110-8700 USERSHOP@REDUSERS.COM Bee en Ret cy Tecnico en redes y seguridad / coordinado por Paula Buchs. «1a ed. » Buenos Altes: Fox Andina, 2013, 576 p28 x 20 am, (Usets;22) IBN 978-987-1857-78-4 1.nformética. 2. Redes. |. Budris, Paula, coor, DD 004.68En esta clase veremos... Redes privadas virtuales, sus caracteristicas, funcionamiento y ventajas de su uso; también, revisaremos algunas opciones para realizar trabajo remoto. En la dase anterior, revsamas alternatvas de servidores, conocimes el funcionamiento de los servidares de backup y entregamos algunas recomendaciones de aplicaciones y consejos para administarios. imos el funcionamiento de los servidores de actualzacién y de ls servidores de antivirus. Aprendimos a instalar ¥ configurar un sevidor proxy y los clientes cortespondientes Por dtm, conocimos algunos protacolos de autenticacién ¥ analizamos la técnica Evilgrace. En la presente clase, nos encargaremos de conocer las. caracersticas ye funcionamiento de ls reds privadas virtuale, analizaremos sus conceptos fundamentalesy las ventajas que nos cfrecen, Conaceremes los protocolosasociadosy ls tipos de VPN, asi como también sus modos de funcionamienta, Revisaremos los mecanismos y protocolas de seguridad en redes privadas vrtuales, conaceremos ol funcionamiento de Hamachi y desribiremos la plataforma liore OpenVPN —— AMAT Redes privadas virtuales 14 Tunelizacién en redes VPN 20 Seguridad en redes VPN 24 OpenVPN worw.redusers.comTECNICO EN REDES Y SEGURIDAD | 22 © Qué son las VLAN 0 redes virtuales Aqui revisaremos los procedimientos que siguen los switches que poseen soporte para redes virtuales; también, conoceremos las caracteristicas del estandar IEEE 802.10 aplicable a redes MAN y LAN. as edes virtuales (VLAN, _representan con nimeros los VID (VLAN red distantes del lagar donde son requeridos. Virtual Local Area Network) donors y se utlzan, pincialmente Esto consume recursos dels equips permiten encapsuir la para segmentar un cco dominio dey reduce el ancho de banda disporile informacion envada de un broadcast mitiples dominios. Muchos . punto a otro e identifican protocolos y aplicaciones requieren hacer Caracteristicas jas tramas (Capa 2) con una etiqueta uso de a funcién de broadcast, pero, Las VLAN proveen, ademés, mayor (lamada también tag) que aisla los sinlaevstencia de VLAN, una tama de segutded en la ed, que un usuario que paquetes del resto dela red. LasVLAN se broadcast puede vga hasta segmentos de se coneca aun puerto no pada escanear Tramas entrantes Procesamiento normal 802.19 Gand Tama 802: encapsulada (are i042) rama 602:3encaprl (SNAP prtvaao) 10 definido para puerto GD omienss por defecto se define un Groupld implicito Otros puertos Base de datos de grupo de protocolos www.redusers.comAprendizaje de direccién de origen MMP. MVRP. Controles administrativos STP, RSTP o MSTP. Controles administrativos (habilitar o deshabilitar tun puerto) toda a red en forma completa, Un administrador puede define qué segmentos dela red san visiles para los usuarios. Es posible, por ejemplo, limita la viiilidad a ls dispsiivos de un departamento que maneja informacion sensible. Algo importante de resaltar es que las VLAN no encritan, la informacién transmitida, Las VLAN y los VIDs proven una referencia convenientey consistente a los switches para > Realizrlastaeas de identlcacin de reglas de clasiicacion de frames de usuatia dentro de VLAN, > Alagar efectivamente la MAC address de origeny destino tratando los frames y la informacién de direccionamiento para las cistintas VLAN en forma independiente, > Realzar la identificacion y posterior seleccén de las ditintas topologias actvas en la red de datos. > Identficar las parémettos de configuracién que paticionan orestringen el acceso desde una parte dela re a ora Reuriend esta capacidad, es posible que los switches con Soporte para LAN emulen un nimero de LAN interconectadas ¥y adminsadas deforma indepenciente Se dice que una LAN forma parte, pertenece oes miembro de ura VAN, cuando fue slecionads por los acministradores dela red para recit frames asignados ana VLAN. De qual manera ls teminaes conectadas a esas LANs y que pueden recibir frames asignados a la VIAN se dice que estinligadas 2 esa VLAN £1 tag de una VLAN permite que los frames contengan informacién de priridad aun cuando nohayan sido dasicados coma pertenecientes a una VLAN en particular. Topolagia En cuato ala topologia, cada snitch coopera con otros para ‘manejar un protaclo tipo Spanning Tree para caculr una 0 més topoloias, tres de lops y completamente conectadas Este cdleuo sopata a calidad de servi y prove rida recuperacin ate falas de los componentes, ya que utiliza onectviad fica atemativa sin equeiintervencion humana Todos ls frames de datos de usuario clsfcados como pertenecientes a una VLAN determinada son restringios por el proceso de reemio de cada switch a ua nica tpalagia activa Po lo tanto cada VLAN es asociada can un Spanning Tee, pero varias VAN pueden compan a misma asociacion En cualquier moment, la extension de una VLAN puede reduce al mésimo para incr sola as LANE que se encargan de prover comunicain ete ls dispositive qu se encuentran conectados La asignacin dindmica de las VLAN provee flexiilida y conserva el ancho de banda, a costo de la complejidad de adminitracion de la red AMMA BTCC a ee mayor seguridad Re OS ee a usuario o servicio solo pueda acceder a los dispositivos que el administrador determina, Es posible segmentar la red utilizando firewalls, lo cual resulta efectivo pero ineficiente, ya que es mas dificil de mantener y mas costoso Pea oc) segmentar usuarios y servicios es asignar un VID a cada grupo de usuarios y definir con q grupos pueden interactuar. worwredusers.comTECNICO EN REDES Y SEGURIDAD | 22 Funcionamiento Funcionando como dispositivos Aistrbuidos, os sutches pueden, expla 0 impliitamente,cooperar para lcalizar una LAN determinada donde reside a terminal que debe recibir ls frames. De esta manera os switches pueden reduc el waco enviando los frames a ia LAN donde la transmision es neces De todas formas, debernos tener en cuenta que un snitch, en forma individual, no puede determinar la localizacion precisa de una termina, pero puede determinar por cual puerto se debe enviar un frame para que llegue al destinatara Para el funcionamiento dels switches, esto results sufciente para aeanaar alos destnatatios. LAS VLAN PROVEEN MAYOR SEGURIDAD; UN USUARIO QUE SE CONECTA NO PODRA ESCANEAR LA RED. &\ protocolo de registracén de miles MAC (Multinle MAG Registration Protec, (0 MMRP) permite que las terminales publiquen su presencia y su deseo de nie o retiarse de un grupo multicast También de registrar una MAC address en forma individual dentro del contexto de una VLAN. El protocole comunica esta informacion a ls switches, usando la VLAN y la topologta activa Para incorporar las estaciones que no patticinan en MMRP, a gestion de los controles asociados con cada puerto le permiten al puerto identifica las LANS conectadas como estaciones conectadas aque estan destinadas a recibir direcciones de grupo especticas. La operacion continua de MMRP y la propagacion de la informacién de lacalizacion através de los switches utlizando la topologa activa permite a reduccion de tafico multicast, y asegura una répidarestauracon de la conectvidad multicast sin a intervencién humana, Terminales Cada terminal implitamente publica su -asodiacién a una LAN y su MAC adress individual, tos switches aprenden de a ‘veccién de ovigen cuando esta transite un frame, y todos ellos, en la topologia, “recuerdan” por qué puerto y VLAN se recib@ una deteminada MAC address de ‘cxigen Esa informacion que se aduire se almacera ena base de datos de flea, para poder enviar los ames basados en la dieccin de destin, La aguitectua de a base de datos de fivado en el esténdarreconoce que > Para realizar algunas configuracones, ‘es necesaria permit que la informacién de direcciones aprendida en una VLAN sea compartida com las otras VLAN. A ‘este procedimiento se lo conace coma ‘aprendizaje compartido de VLAN. > Aunque también debemos considerar ‘que, para otras configuaciones, es deseable asegurar que la informacion de direciones aprendidas en una VLAN no sea compartida con otras VLAN, Este es conocido core aprendizaje independiente de VLAN. > Fra otasconfiguacones,esindferete ya que la informacion aprendida es compartia por otras VLAN El aprendizaje compari de VLAN se alanza mediante la inclusion de a informacion aprendida por un nimera de VLAN en la misma base. El arendiaje independiente de VLAN se alcanza incluyendo la informacién de cada VLAM en bases independientes Requisitos En una red detrminada, puede exist una combination de requistos de cnfguracion or la cual itches independientes pueden ser cantactads para compari lainformacion aprendido sobre VLAN gartculareso sobre grupos de VLAN La estructura dela base de datos de fitrado habla el aprenciaje cornpartida 0 indepenciente de VLAN. Pr ejemplo, permite qu a informacién aprendida sea compari ene ls VLAN en las que el aprendizajecompartdo es necestio, mientas que también permite que la informacidn sobre VLAN independientes 10 sea compartda.Araizandoe grupo de resticcones sobre el agrendizaje y las defiicions fas sobre ViDs que estén actualmente actvas, el switch puede detrminar lo siguiente: >» Cuaintas bases son requeridas para cumplic con las testricciones, Tre 417-47. 044000 086000 1227000 "172000 202000 086000 sroadcast sroadcast proadcast Broadcast a:02:17:a4 Tee ive 60 Reply 10.100,100.107 410.100.100.107 10,100.100.107 '10.100.100.107 ‘60 Reply,> Para cada VID, qué base va a publica 0, por ata parte, utilizar la informacién que ha sido aprendida.. La funcién de relay provista por cada switch controle: > La dasifacin de cada frame recibido como pertenecente a una ysolo una VLAN, y el descarte ola aceptacién del frame para procesemiento basado en a claslcacin y el formato, que puede ser uno de los siguientes: > Untagged (sin etquetas), no se encarga de especticar la pertenenca a una VID patcuar, > Priorty-tagged, inclye informacion expita sobre Priridad, pero no identifica una asociacién con una ID. > VLAN-tagged, se encarga de realizar la asciacién del ‘fame a una VD particular en forma expla > La implementacion dels decisions po as cuales ca frane debe ser reenviado seg la topologia VLAN. Este aspecta Cel relay implementa las reglas de reenvio, 1 Encolamiento de frames para transmisin através de los puertos defn, administracon dels frames encolados, seleccin dels frames para transmis ydeterminacin del tipo de formato adecuado para la transmision (tagged o untanged). Este aspect del relay implementa las realas de egreso. La estructuracion de la funcionalidad de relay para el ingreso,reenvio y egreso consttuye un enfoque genérico el provsén de a funcionalidad VLAN. Todos fos switches con Soporte pare VLAN pueden reemvarcortecamente ls frames recibidos que estn eiquetados con informacién de VLAN, Estos estin cascades como pertenecentes aun identificador VLAN por la cabecera WD. Todos os sitches compatibles con LAN pueden ademas clasitcar ls frames no etiguetadosy los {ue tienen informacion sobre proridad recidas pr algin puerto perteneiente a una VLAN. Ademas dela clasficacén basada en €tingreso por defecto en un puerta, el estndar especitca una dasicacdn éptima basada en puerto y protocol Frames Los frames que contienen informacién de control para determinar la topologia activa y la extensién de cada VLAN (por ejemplo Spacing Tree y MRP y ames de cr protocol esting (por ‘ejemplo EAPOL y LLDP) no son reenviados, Las entradas estaticas configuradas de manera permanente en la base de datos asequran que sean descartados por el proceso de reenvio, Las reglas de reenvio para los frames etiquetados facltan la interoperabilidad de los switches con las terminales que soportan directamente la ‘conexidn del servicio MAC (/Medium Access Controh a switches, ‘transmitiendo frames etiquetados. Los frames transmitidos en una determinada LAN por un switch con cepacdad VLAN para una cleterinada VLAN deben ser todos untagged 0 todos tagged ‘con el mismo VID. A continuacion, vemos algunos ejemplos de las funciones que mantienen la calidad det servicio: Ty re > Recepcion de frames, > Descarte de frames recibidos con ero. > Descarte de frames que no cantienen datos de usuario. > Descarte de tramas para supimi oops en la topologia dela red > Clasficacion de ls tramas reibidas de cada VLAN, > Realizacion del descarte de aquellas trams necesarias para soportar ef control sobre cada topologia que se encuenre activa. > Descarte de trams pr aplcacén de una pltica de itado. > Medicén de tamas,o dscarte de tramas que exceden fos limites. > Reenvio de frames recibidos a otros puertos > Mapeo de unidades de servicio y chequeo de secuencia dels trams, > Seleccion dea prioidad de slid, > Transmision de trams. Los procesos y las entidades que e! modelo de operaciéninluye son: 1 Un proceso del puerto del switch rece ytransmite. > Clasitia las tramas reibidas en VLAN. > Determina el formato etiquetadoo sin etiqutar,o vansmite las temas. > Enirega y acepiatramas desde la entided MAC retransmisora > Las entidades LLC que soportan entidades de capa superior. > Entidades de administacio de fllas de conectidad. En eds metroplitanas se conoce como VLAN stacking o VLAN tunneling al procedimiento que permite encapsular un VID perteneciente a la red LAN del usuario. Es dec, el proveedor de servicio puede respetar dichas VLAN y reencepsular cada paquete que sale del usuario con otro nidmero de VLAN solo valido dentro de la red metropoiitana. Es necesarioconsiderar que el ancho de banda puede ser controlado con una granulridad que lega més alls del nivel dela VLAN. De esta forma, dentro de la VLAN, e puede llegar a controlar el ancho de banda por cada protocolo que esté pasando por el (por ejemplo IP TCR, UD, SNA o también sobre aplicaciones como webmail, vor, video) logrando ai garantiar qu el tific de ciertas aplicaciones no se vea afectada por el trafico realizado por otras. = eeTECNICO EN REDES Y SEGURIDAD | 22 © VLAN: clasificacion protocolos En estas paginas nos encargamos de analizar los distintos tipos de VLAN, asi como también sus caracteristicas y aplicaciones mas importantes. Ademas, veremos las mejores practicas aplicables en la industria. 1 forma predeterminada, todas las conexiones en tun switch estan en el mismo dominio de broadcast Una VLAN (Virtual Local Area Network) puede ser utilizada para segmentar un Gnico daminia de broadcasts en miltiples dominios en una red de capa 2. Muchos protocolosy aplicaciones requieren hacer uso de la funciin de broadcast, Las VLAN proveen ademas mayor seguridad en la ed, ya que un usuario que seconecta a un puerto no podrd escanear o siffear tada la red en forma completa, IEEE 802.10 ES EL ESTANDAR QUE DEFINE LAS VLAN SOBRE REDES ETHERNET. Un administrador puede definircuSles son los segmentos de red visible para los usuarios. Es posible limitar la vsibilidad a los dspositivos de un departamento que manejainfarmacién sensible, Utiizar VLAN resulta notoriamente mas econdmico y facil de administrar que utilizar routers para segmenta las eds, Definicion Las VLAN pueden define de das manetasbéscas Pueden ser de tpoestticas 0 de tipo indica. La VLAN estéica separa Jos dominios usanco puets jos previamente dfnidos del sitch La dinmicaasigna VLAN sobre la base de dats del dispositive, como por ejemplo la MAC Addres (Capa 2), el protocolo utlizado (Capa 3) ola direcién IP (Capa 3).A\ conectarse un dispositvo, el switch consulta una base de datos para establecer la membresia ala VLAN definida, El uso de configuacionestitice puede ser apropiada en ls puertas donde la configuacon del dspositivo conectad es fia 0 cuando el administrador desea establecer una limitacion adinistrativa De esta manera, podemas defini, por ejemplo, que un usuario final tenga acceso acirtos ViDs (VLAN faentitier) defini. Els dela coniguracion cinamica puede ser apropiadoen as puertos donde la configuracin VLAN es inherentemente indica Consideremos que un dispositive determinado puede conectarse por dstntos pueros de forma completamente aleatoria. Un «emplo puede ser representado por usuarios sin un escitorio fj, que se coectan desde distintos puestos. DPreémbulo Tamaiio Ether Type [IMac Destino Payload (informacion) [OMAc Origen BercyFes ClEncabezado 802.19 Ci Gap interframe wovw.redusers.comOtro ejemplo puede darse sila VLAN contiene caminos Fedundantes basados en un Spanning Tre. En este escenario, es deseable que los puertos dela red se contiguren en forma indmica para adaptarse alos cambios en e uteo de las tramas. Claro que también es posible una cambinacién de ambas (estatica y dindmica) El uso de la configuracin estatica y «inamica puede ser apropiado para puertos donde es preferible establecerrestrcciones en le configuracién de algunos IDs, pero rmanteniendo la flexiblidad de la regstracion dindmica para otros. MVRP Elptotocolo MVRP (Multiple VLAN Registration Proioco) define ura aplicacién que provee el servicio de registracin de la VLAN. MRP provee un mecanismo para el mantenimiento dindmico e los contenidos de los registros del proceso de registracion inamice y para propagar la informacién que contienen hacia ‘otros bridges. Esta informacion permite a otros dispositivos compatibles con MVRP actualizar sus datos sobre los VID asociados con VLAN que actualmente poseen miembros activ, ya través de qué puertos e50s miembros pueden ser alcanzados. Los puertos bridge pueden poseer una tabla de traduccién de ViDs, que permite traducir un VID proveniente de otra red en un VID definido para la red que administra. El encargado cde hacer la traduccién es el servicio MVRP. Trafico Por oto lado, también podemos clasticar las VLAN basandonos en el rico que transportan, La VUAN por defaut, normalmente la J, es a que poseen todos las puertos al incr el sich Esto permite ene inicio del switeh, que todas les tspostnos se encuentren en el mismo dominio de broadcast, po a tato, «posible que secomuriquen ent i. En forma tia a VLAN. Mdentificacién de usuario: na red «no confiable en una red privada sobre privada virtual o VPN deben entregar os la cual nadie més podré conocer su Requisitos basicos ‘medios para que se realice la verifcacién contenido, Una VPN brinds integridad, La implementacin de una VN requiete de ientidad de ls usuarios que desean confidencialidad y autenticidad ‘que se cumplen algunos requstos bsicos, conecarse a ella, y resting su aceso a un ewe con aa notebook corporate » Empl Empload una computascea ~ ogarena person Empleado en on smarphone nr mat 1 Eeeal ‘hatenticacton 1 neriptacion 1 Proteccn de a integndad 1 Contolos sobre End Points 4 castomizacion del portal 1 Prevension de inrusiones Servicios disponiblesaquellos usuarios que no se encuentren Pint Tunneling), L2TP (Layer-2 Tunneling datos. Las nuevas versiones de Windows debidamente avtorzados. ProtccohewEC(Iremer Protocol Secu Senverintocucen mejores en cuanto ala > Gifrado de datos: los datos que se _PPTP fue desarolado originalmente por rabuster dela enciptacién, pera aun as no vam a transmitira través de internet, un conjunto de empresas para provee, 2 son recomendables. La princialdebildad antes deben ser cirados, para que asino os usuarios de acceso remota asenidores _raca en el primi prtocolo 3DES de pedan serleidos en el caso de que sean en una red privada virtual. I esténdar _encrptaciénutiizado por MS-CHAP v2. interceptados Para realizar esta se utiizan no descre mecanisms de enciptacin TP falta el manejo de paquetes PPP aigoitmos de ciado como DES 0 3DES, ni autenticacén. Sin embargo, sus «através de una red, de manera tal que los cuales sélo pueden ser eidos por _implementaciones casi siempre lo hacen. result transparente para los usuarios el emisory el receptor de los datos. cde ambos extrem del tinel y ara las > Administracién de claves: las redes. LAS VPN IPSEC Y SSL aplicaciones que estos coren. 27? utiiea YPN deben asegura los procesos d2@ = SQN TECNOLOGIAS mensajes de contol y mensajes de datos, actualizacion de daves de cirado para Los mensajes de contol se usan para los usuarios que enviano recioen datos. COMPLEMENTARIAS _estabecer mantener y bara os tneles > Las redes privadas virales deben QUE PROVEEN Alutiizar PP para el establecimiento del considerar el uso del algoritmo de enlace, LTP soporta los mecanistnos de seguridad SEAL, FUNCIONALIDADES ‘autenticacidn RADIUS, PPP, PAP y CHAP, DISTINTAS. lo que le brinde gran fleibiidad ala Un ejemplo tisico de uso consste en hora de implementacién.L2TP no posee conectar dos o més sucusales de una _—_Periteconectarsea un sevidor desde caractaristicas crptograicasrobustas, ya empresa utlizando como vinculo internet. cualquier punto en Intemet con lamisma que no ealia la autenticacin para cada Otro ejemplo conssteen permit alos autenticaciny los mismas accesas que una de os paquets que vajan por él rmiembros del equipo técrico informatico si estuvésemos en la LAN. Este protocolo Esto permite lasupiantacion de dentidad conectarse desde su casa al datacenter. es utlizado, por ejemplo, en sewvidores Al no comorobar a integridad de cada ‘WindowsServer bajo el senicio RAS —_paquete,esposble ealizar un ataque de Tecnologi (Routing and Remote Access Service}. denegacién de servicio (DoS) mediante Las tecnologias més comunes para Laimplementacén piitva de Mirosoft mensajes falsos de control, que den por establecer una VPN son PPTP (Point no ofreca una protecién robusta de los acabado el tinel ola conexién, Red DMZ ‘wow cedusers.comTECNICO EN REDES Y SEGURIDAD | 22 ElprotecoloL2TP no afece mecaismas para genera automatica de aves 0 rtesco automitio de caves Esto permite que alin que desc a clave puede utizala por largo perodos sin ser advert, UNA VPN SSL PUEDE SER DEL TIPO PORTAL, PERMITE UNA UNICA CONEXION AUN SITIO WEB 0 TUNEL. &!esténdar IPSec utliza ests protocols: AH (Authentication Head: provee autenticacion del oigen eintegtidad de los paquetes pero no proveeencriptacon, » ESP (Encapsulating Security Payload provee confidencialidad, mediante encriptacién de datos y autenticacin de datos de oxigen e integridad DIKE (Internet Koy Exchange): IPSec usa IKE para negociar las configuracones dela conexién, Autentica fs puntos terminales, y define los arémetros de seguridad de las coneniones, entre otras tars. 1PComp (lP Payioad Compression Frotacol: es un protocolo que permite comprimir los paquets antes de realizar proceso de encriptacién. Criptografia Ura VPN puede utilizar ambas formas de ciptogatia simévicayasimética, La ciptogratia siméticautliza fa misma dave para el citado y desciado, mientras ‘que a ciptogratiaasimetica utiliza claves distnias para el ado y desctrado, 0 firma cgitalmentey verfcar una fim. La ciptografa simétrica es, por lo genera, mms efcentey require menes potencia de procesamiento que a criptoaafia asimetrica, por lo que normalmente se utliza para carla mayor parte de los datos que estén siendo emviados ‘através do una VPN. Un problema con fa ciptografia sética se presenta en proceso de intercambio de claves las caves deben ser intercambiadas fuera de linea pare asequrar le confidencialdad. Algoritmos comunes que implementan ta ciptogtafia simétieincluyen Digital Fneryption Standard (DES), Tine DES {@DES)y Advanced Encryption Standard (AES), Bowsish RCA, International ata Encryption Algrithm (IDEA), entre otros. Seguridad Es importante entender que las VPN 10 elminan tod ef riesgo de las redes. Sibi las VPN pueden reduc consierablemente el esgo, en particular para la comunicaciones que se producen a través de redespiblicas, no eiminan todo el riesgo para tales comunicaciones. Un problema potencial es la robustez de ta implementacin, Por ejemplo, falas en un algortmo de ciftad 0 el software que implementa el algoritmo pocrian permit a los atacantes descifar el teaficainterceptado, Ora cuestiin es la divulgacién de a clave de cired, Un atacante que descubre una clave podria no solo desta el trafco sino también hacerse pasar por un usuario legitimo. Otra are de riesgo implica la Aisponibildad. Un modelo comin para la Seguridad de la informa se basa en las, conceptos de confidencialidad,inegrdad 1 cisponibilidad. Aunque las VPN estan disetadas para apoyer la confidencaidod ‘la integridad, por lo general na mejoran la disponibilidad, la capacidad de los usuarios autorizados para acceder a los sistemas segtin sea necesari. De hecho, muchas implementaciones de VPN, en realidad, tenden a reduc Ia dsponiitded de alguna manera, ye que afiaden més componentesy senicios ala inkaestructura dered existent. Esto depende en gran medida del modelo de aruitecture VPN elegida y los detalles de la implementacén. m £2 @ VPN Gateway® VPN: funcionamiento "Smartphone con cliente VPN Las nuevas tecnologias también permite que os tletrabajadores fuedan acceder a datos alojados AMBITO te gee men sae _ HOGARENO celular o tablet. ‘Notebook con cliente VPN Los teleworkers pueden hacer su ‘trabajo desde la comodidad de su hogar usando equipos poratiles 0 de escitorio, siempre y cuando ‘tengan instalado un cliente VPN. CONEXIONES MOVILES nh AMBITO CORPORATIVO INTERNET ) VPN Firewall Dispostvo encargado de estionar la comunicacin entre los servdores intemos dela empresa ylos usuarios, conectados rematamente File Server ~ Servidor de archivos corporat vo accesible en forma segura — 10 solo po usuarios ieales mediante la red LAN, sino también por usuarios remotos, Tinel seguro Las conexiones VPN se llevan a cabo mediante un tinelvitual (que garantiza a seguridad de las transaccionesTECNICO EN REDES Y SEGURIDAD | 22 © Tipos de VPN. Ventajas y desventajas Existen distintos tipos de VPN; aqui analizaremos sus ventajas, desventajas y caracteristicas mas importantes en forma detallada. nha VPN 0 Virtual Private @PENVPN, ‘Network hace referencia @ la posibilidad de establecer un vinculo con una computadora o senvidor de esta forma, povdremas acceder a todos los servicios que Ia red rind o por el que nas canectamas ala empresa, Como ya sabemas la ‘omunicacin entre los das extremos de la ed prvada a través de la red pablica se hace creando tneles virtuales entre Te eed rarer tg los dos puntos, mediante sistemas de cencriptaciony autenticacién que aseguren la confidercialidad e integridad de los datos. Los tipos de VPN que existen san: Tunneling, VN site-tosite, VPN de acceso remoto y VEN interna requlere de forma Imprescindible Tunneling tener una cuenta de acceso seguro Esta ténica consiste en abr conexianes en la maquina con la que queremos entre dos maquinas por medio de un —_comuricat las datos, la canexién protacolo seguro, como puede ser SSH puede ser LAN O WAN (Secure Shelf, a traves de las cuales realizaremos las transferencias inseguras, VPN site-to-site {que pasarin de este modo a ser seguras. Este esquema se utiliza para conetar En una conexion segura, se envan los _ofcnas remoras con la sede central de datos por un tinel; este tipo de téenica una oxganizacén, por efemplo El equipo (#2) STE Ra ee cental VEN, que posee un vinelo a Internet en forma permanente acetals conexiones via internet qu provienen de los sts estabece el tinel PN Debemos considerar que los servidores de las sucusales se conecan a internet utiizando ls servicios de su roveedor local de internet, por fo genera, mediante conexiones de banda ancha VPN de acceso remoto Esta implementacin se trata de omnicaciones en las ques usuarios se conectan con la empresa desde sitios remotes (pr ejempl, desde ofcinas comerciales, casas hoteles, ene ovas ubicaciones) utilzande Intemet como medio de acceso, Una vez que han sido autentcados tienen un nivel de acceso muy similar aque poseen desde le red local dela empresa, usando un nombre de usuaio y contrast adecuados{en pte areca 3 VPN interna conexién de confianza que establecemos. Consiste en establecerredes privadas Estamos hablanda en especial de tes wirtvaes dentro de una misma red local, protocolos: PPP, IPSec yL2TP, £ objetivo titimo es aislar pates de la» PPTP (Ponto Poin Tomeling Proto red sus servicios entre si, aumentando hecho para proveer una red privada la seguridad, Una aplicacion muy tipica viral entre usuarios de acceso remoto de este modelo seutlza para aumentar _y servidores de red. PPTP ue csefiado la seguridad en redes de acceso para permitr alos usuarios conectarse inalambrico, separéndolas aside la red un servidor RAS desde cualquier punto fisica, para evita posiblesfugas de en Internet y tener la misma autenticacin, informacion 0 accesos no autrizados. _encriptacion ylos accesos de LAN coma siiscaran directamente al sevidor. SEGURIDAD, fsuno de los mas usados pr su facidad de creacién, la eleccion de protocolos CONFIABILIDAD Y de seguridad y su manipulacién, ENCRIPTACI ON: TRES > IPSec se encarga de remediar ‘> L2TP (Layer-2 TunnelingProtocol): PUNTOS CLAVE EN instances ce tds coro fe eelzeén de melng LA CONEXION A VPN, protein de os datos tansferdosy de paquetes PPP a través de ura red Ggarentia de que el eisor del paquete de datos, de manera tal que sea lo més sea el que dice el paquete I Sibien estos vansparente posible alos usuatios Caracteristicas servicios son distintas, IPSec da soporte de ambos extremos del tinel y para Si ben estos son los tinos deVN que a. ambos de una manera uniforme, las aplicaciones que estos ejecuten en se pueden crear de acuerdo con el También provee confidenciaidad, forma nonmal. Consideremos que L2TP lugar donde nos encontremes ol tipo integridad,autemtcdady proteccién a utiliza dos tipos de mensajes: de control de acceso que queramos, también es _repeticiones mediante dos protocolos, _ de datos. Los mensajes de control importante el protocol que usan, para que son Authentication rotaco/(AP) y son usados para el estableimiento, gatantzar seguridad y ablidad ala Encapsulated Securty Payload (EP) €l mantenimiento yo borrado de los ‘nelesy las lamas Ulizan un canal de control confable en L2TP para Gatantzar el envio. Los mensajes de datos encapsulan los marcos PPP y se envian através del tel, 100 4-Port VPN Rout Ee J worw-redusers.comTECNICO EN REDES Y SEGURIDAD | 22 © Tunelizacion en redes VPN Veremos qué son y cémo se establecen los tineles generados por una VPN, las recomendaciones y, también, las limitaciones de implementacién en un entorno corporativo. 1 tinel es un vinculo entre dos ubicaciones, que puede generarse sobre varias tipos de redes, ya sea sobre redes internasiprivadas o redes publica El caso mas habitual es sobre redes publicas, se usa a fin de asegurar la confidencialidad ¢ integridad de la informacintransmitida, aunque por definicidn no es necesario que un tine esté encriptado, Una de las principales motivaciones para utilizar un tinel igenerado por una VPN consisteen encriptar una comunicackin TCPIP de aplicaciones clietelservidor Can el auge de las conexianes y los dispostvos mevils, el uso de las VPN se ha populaizado para permitr que las aplicaciones clienteiservidor ppuedan funcionar de manera segura, Usarun tinel es una forma no solo de hacer més segura la conexién, sino también de que resulte més sencllo de establecer para el usuario final Uso Todas las conesiones VPN utiizan tineles. Un tne es un recanismo ara enviar infrmacién por medio de un protocolo «ue, de otra manera, no seta soportado por lated. fl caso ‘pico consiste en utzar el protocoo IP para enviar oto protocol en a seccidn de dates dl datagrama i Por eemplautiizamos una VPN para ganar acceso aura apicacin oaceder a una base de datos poraue, de ora manera potas hacta ya que os purtos TCP esn bloqueedos Encriptado — |-— Trama ppp ——-| www.redusers.com y no pueden ser accedidos desde Intemet, al no ser permitidos por los routers de borde. También los paquetes destinados a ‘Active Directory (puerto 445) se envian encapsulados dentro de los paquetes de VPN. Cuando llegan al server de VPN, se desempaquetan y se reenvian 2a red inteina. De esta ‘manera al desplazarse por un tinel, cuando la informacién viaja por Internet esta encriptada, pero, al legar a la red interna, se desempaqueta y desencripta. Debemos tener en cuenta que la encriptacin no es end-to-end como puede ser, por ejemplo, en una aplicacién web SSL. EL PROCESO DE TUNELIZACION CONSISTE EN INTRODUCIR UN PAQUETE DENTRO DE OTRO. CConceptualmente, lo que se genera son paquetes dentro de otros Paquetes. Entonces, un paquete IP en su porcién de datos contends ‘oto paquete en forma completa. esto seo lama IPP tunnel (Ping in IP packets), Arora bien, l encapsular un paquete dentro e ot, deberos tener presente que el header se esta duplcando y, de esta manera, se transporta menor carga utiles dec el MTU. (Max Tansfr Unit disminuye, La cabecera IP usa 20 bytes, por lo ‘que cada paquete consumird un overhead de 20 bytes Componentes ‘A continuacin, nos encargamos de enumerar los componentes que permiten generar ura VPN y entregamos una caracterizacién de cada una de ellos: > Servidor VPN: un equipo cue acepta conexones VPN, provenientes de clientes. Se encarga de empaquetarfencriptar y desempaquetar/desencriptar los paquetes. > cliente VPN: es un equipo que inica la conexién hacia tun servidor VPN, Puede ser una computadora o un route. > Tanel: se trata de la porcién de la conexién donde los datos se encuentran encapsulados.> Conexién VW: es la porcin de la conexién donde los datos estén encriptads. En una VPN tipca, los datos se enciptan y encapsulan en el mismo punto de la conexién, Siempre debemos tener presente que es posible generar un tinel sin encriptar Jos datos; por ejemple, una red MPLS tunelza los datos sin enciptaros. En ese 280, no se considera como una VPN, ya {que no se encriptan los datos, Existen diversas protocolos para adminstrar tineles y encapsular datos. Enel mundo Windows, se utlizan PPTP y L2TP como protocolas de tunelzacion, peo sin dudas el protacolo mas difundido es IPSec. NAT (Network Address Translation) y PAT (Port Address Translation) proveen una capa de seguridad accional sobre la YPN y conservan las direcciones pblicas, ‘aunque presentan algunos desafios. ISAKMP (Internet Key Management Protocol se basa en drecciones IP Individuals para generar laencriptacin, sin embargo, PAT trabaja generanda miltiples llaves criptogrficas para una sola direccion IP La funcionalidad NATT UPSec NAT Traversa) viaja a través de dispositivos NAT o PAT encapsulando el tefico IPSec e ISAKMP en UDP (User Datagram Frotaco. NAT- fue inroducido por el software Cisco 10S a partir de su version 12.2 yes detectado en forma automtica por los dispositive VPN, No es necesaro realizar ninguna configuracién, ya que se habilita por defecto como un comand global. NATT detecta un dispositivo PAT entre los etemos y negacia NAT si es soportado. Aumento de tineles Debernos tener en cuenta que, al aumenta a cantidad de tineles que se encuentran en funcionamiento, el ancho de banda tiende a decrecer Cuando un router recibe un paquete desde un par del cual no ha desencriptado un paguete recientemente, se encargaré de realizar una bisqueds, para elo se basa en los parémetros de seguridad que corresponden al paquet. Para este nuevo paquete, se negocia una llave de desencriptaciin, ue se envi al motor de desencriptaci por hardware para ser procesado, Tener tafico que proviene de numerosos tineles tiende a afectar en forma negativa la performance Las plataformas can acelerador por hardware de enciptacin IPSec son cada vez mas comunes para reduc a sobrecarga de procesamiento, lo que redunda en un procesariento lineal més predecile sin importa la canted de ‘tunees Por eempl, a linea de equipos sco 7600 tiene un procesamiento ‘elatvamente lineal sin impotar la catia de carga, tant si posee unos pocos tuneles como miles de ellos. El crecimiento de los tieles es una funcién que depende, por lo genera, dela cantidad de sucursaes que se conectan a la casa central, Por esta razin la cantidad de tnelestrminados debe considerarse al realizar el diseio y escoger las dispasitivos por utilizar. Para esto, deben tenerse en cuenta tanto los tineles primarios como los tineles secundatios, que cada central debe generar en caso de flla. Recordemos ‘que la cantidad de tineles por generar es un factor primordial ala hora de seleccionar la plataforma adecuada, pero los requerimientos de encriptacion € interoperabilidad también son importantes y deben ser considerados. m Encriptado por IPSec worwredusers.com‘TECNICO EN REDES V SEGURIDAD | 22 © VPN en modo tunel y en modo transporte En estas paginas, nos encargaremos de analizar las VPN en modo tunel y, también, en modo transporte. Ademas, veremos sus ventajas, desventajas, y los problemas mas comunes. xisten distintos tipos de VPN, pero, en nuestro caso, Seseibiemos ls més VPN Client 5.0.03,0560 comunes, y que por esta Installation Wizard ano SU ea AF (nis ory seconmended hat ou et Windows programs frecuencia: la VPN en modo tine y la Seloeneren cep separ YP en modo transport Cie aed tp aoa nce ay ep ame Jhovoannng’ Ce New oconiucthe haan Modo tinel La VPN en modo tinel es aquella en la que todo el paquete IP es ciado ‘oautenticado. Para que este método funcione obviamente el paquete resltante debe ser encapsulado en otra paquete IP (que puede ser Pv 0 Pv6) Welcome to the Cisco Systems WANING. he roa eet ceo ad ‘que contenga los datos del emisor yal receptos y pueda ser enrutado Este moda lo utizamas en as VPN site-tosite, on las que dos res cstirtas cdeben ser conectadas por un media que informacion interna, Ora punto a favor deserriptad para protoclos que son de brinde seguridad en la comunicacion, es que puede utlizase en casi cualquier temo rea, tal como la VoP (Voz sobre I). Una de as principales venizjas de utiizar ambiente, incluso eridonde se encuentra Esto se debe alos retardos que incrementan cesta configurcion es su alisima resistencia _configureda la funcionalida de NAT. estas operaciones en los equipamientos IPsec VPN: es la opcidn més comin para establecer VPN site-to-site, Provee encriptacion avanzada para asegurar la informacion en transito y soporta Qos, Debernos tener en cuenta que es recomendable ulizarla cuando se requera imteroperabllidad entre productos de distintos proveedores, > Easy VPN: esta es una soluciin econémica, ideal para ppequeras sucusales, con un soporte de IT limitado, Resulta perfect para grandes implementaciones, en as que no es posible realizar configuraciones en cada uno de los cispastivas remotes, Su principal benefcio radca en la posiildad de implementar configuraciones de polticas que se aplican de manera dindmica en los equipos. También soporta QoS. Su uso es recomendado para simpifiar la configuracn yadministracin de numerosos dispositivos, pero las caracteristicas yflexibilidad que ofrece son limitadas, Se aconseja su uso solamente en los casos en los que se utlice un mix de productos Cisco y se requiera un répida deploy. Esta tecnologia esté disponible cnicamente en firewalls y VPN concentrators Cisco. > Dynamic Multipoint VPN: est tio de VPN es aconseable cuando las dstntas sucursles requieran comunicarse ent ellas através de un enlace WAN ptblico, Internet. En estos casos, DM VPN es la Solucin indicada, Los benefici que ofrece son configuracon y administracin simplicada para tuneles Generic Routing Encapsulation) punto a punto, GRE protocol desarollado por Cisco, que offece encapsulamiento de varios protocolos sobre un vinculo punta & punta, Petite generar tineles spoke-to-spoke, que permiten rutear datos entre AistintostUneles, Soporta QoS, multicast y ruteo, Es recomendable utlizarlo cuando se requiea ruteo entre distintostaneles. Este tipo de VPN solo esté disponible en routers Cisco, >» Group Encrypted Transport (GET) VPN’ se trata de una solucién conocida como tunnel-less, que es til en redes can redes WAN privadas, también en sitios temotos que necesitan establecer una comunicacién con los otros drectamente, GET VPN proveeeficiancia en el uso del ancho de handa sin que se vea afectada la encrigtacin de los datos. demas, simplifia la integracion de la encrptacion sobre redes MPLS (Multgrotacot Label Switching, que na proveen esta funcionaldad. Solo esté Aisponibe sobre routers Cisco. m AMAT UT Tee OpenVPN site-to-site Dean cy Caer u nme acd Crea ee aM ede Cece Ce ice ee para que reciban y reenvien todo el trafico hacia Pee a eee eed ee crane tener rutas hacia este equipo a fin de direccionar el trafico que va hacia un equipo detras de Tome E Tec se recomienda que el host OpenVPN sea tambien el gateway de Internet; de esta forma, se utilizaria PreeceTECNICO EN REDES Y SEGURIDAD | 22 © Seguridad en redes VPN Las VPN son un recurso de gran valor en los escenarios donde necesitamos vincular nuestros sitios o equipos a través de redes no seguras. as redes privadas virtales (VPN) nos permite establecer conexiones sequras a través de redes 19 segura, como Internet. Las VPN protegen la informacion que transferimos a través de lls mediante un conjnto de potoclas y nos periten realizar diversas configuraiones, como por ejemplo, conectar de foxma segura dos redes a raves de Internet como si estiiesen conectadas en un mismo sitio en forma deca El hecho de realizar conexiones segura através de reds inseguas nos brinda grandes benefcos;quzés los més sigrificativos son la flexbilidad y el costo, Ea Connection name: [ VPN PPTP 7) connect automatically VPN | Ipvasettings General Gateway: {miservidorpptp.miempresa.com ‘optional username: [marcelos Password: [some show password NT Doman: X Advanced. @ available to all users, Cancel ‘wow redusers.com Mediante VPN, los usuarios de ruesta red pueden seauir conectados a través de conesiones segura por medio de Internet, ‘aungue no se encuentren fisicamente en su lugar habitual, logrando de este modo la independencia de su ubicacin geogistica y aumentando as la flexibilidad de nuestra infaestuctur, ‘Al realizar conexiones seguras a través de Internet, evitamos los altos costos relacionados con los vinculs privads, siempre ‘que el ancho de banda contratado sea el adecuado, LAS VPN INDEPENDIZAN _ AL USUARIO DE SU UBICACION, FLEXIBILIZANDO LA RED. IPSec Los tos de VPN son basicamente tes VEN IPSec, VPN SSLy VPN PPTP. Nos centraremos en las VPN del tipo IPSec, ya que son el estndar para redespivadas virtuale y, por cnsiguente, «stn india en todos los sistemas operatives y dspositvs dedicados que implementan conexiones VPN. Una VEN implementa con IPSec nos asequa tres conceptos fundamentals para protege a informacion que transferimos a vavts de ela. continuacon los descrbimas: > Autenticacin: IPSec eliza veicacn de as idertidades de ambos extremos de las VPN mediante métodos de autenticacion Existe un gran nimera de modaldades de autenticacién con as que contamos a lahore de configure nuestra des prvadas virtues las més utlzadas son las caves precompartdas as claves RSA y las cericados digitale. > Integridad: las conexiones VPN aplicn mecanismos cspecalzados en la preservacién de la interidad de os datos 2 finde protager a informacién de meficaciones por parte de inrusos duane la ransfrenci. La protecion dela imegyidad se reaiza mediante algoitmas denominados HASH, cua apicacén se expla 8 continuacin. A cada paquete de datos que se vaa cemviar desde un extemo a otro de la red prvada tual, se le agtega informacion de vercacin (HASH) generada apart de su contenido, Una vez rebidos los datos en el extrem destino,fb.com/R chiles se recalcula el HASH a partir de la informacién recibida y se compara el resutado con el HASH calcuiado en el extremo origen. En caso de detecta diferencias, se informa una anomaia dela intecridad de las datos al extremo que eri a informacion, Los algoritmos de HASH que podemos utilizar son el Digesto de Mensaje (MOS) el Algoritmo de Hash Seguro (SHA): IMDS es el pratocolo mas antiguo de los dos y se encuentra en proceso de reempazo por SHA. > Confidencialidad: uno de los requistos més importantes para ua VPN es la proteccidn de la informacién ante el aceso por parte de usuarios no autorizados; este es un requst vital ya que fa informacion vieja através de redes no seguras, como internet. ‘Algunos dels algortmas que se utlizan para la enciptacién de los datos a finde protegeros de usuarios no autorizados son el Estndar de Encriptacion de Datos (DES) y su veri triple (Tile DES), como también e Estndar de Encritacién Avanzada (AES) Modos de funcionamiento de IPSec Es posible realizar la configuracién de las redes privadas virtuales 0 VPN con tecnologia IPSec, de esta forma nos aseguramos que funcinen en ds madaidadessegin nuestras rnecesidades: modo tnely modo transporte. Si deseamos utilizar el modo tine pare nuestra VPN, se esablece en los ‘equipos que se ubican en los extremos de las redes que estamos vineulando mediante IPSec, Pr ejemplo podemosaplicr este tipo de red privada virtual cuando necesita conectar dos redes LAN que se ubican en sitios distnts. Par ova pare sila ‘que buscamos es proteger la conexién desde su origen hasta su fin es necesario utilizar e| modo transporte, en éste caso la VPN IPSec se establece de exttemo aextemo desde el lente hacia el servidor donde se require acceder deforma segura. Establecimiento de la conexién El establecimiento dela conexién es un punto clave en la ‘tecnologia IPSec, ya que deben intercambiarse datos de configuracion a través de redes no confiables, como Internet, El establecimiento de una VPN IPSec se realiza mediante el protocalo IKE (intercambio de claves de Internet), el cual efectda la negociacin de a conexén prada vital en dos fases > Fase 1~ Canal de administracién En la primera fase, se utilizan algoritmos especiales para realizar el intercambio de datos entve los exirerios de la VPN a fin de realizar rad de cet: (Requerecfrado (Geeconectar ee weridorno aceptala cones ~ ‘Auerticacén (© User al protocole de ateticacon exten (EAP) Propiedades: (© Une coticados de equipo su autenticacin ylograrestablecer una asociacién de seguridad (GA)en a que se gestionarn los canales de datos mediante los, cuales se enviar la informacin entre los extrema de la VPN. >> Fase 2~ Canales de comunicacion Una vez establecdo el canal de administracién entre los exremas de la VPN, este se utiliza para gestionar as asociaciones de seguridad (5A) que tienen como finldad la transferenca segura de datos entre los extremos dela ted privade virtual. Consideraciones de configuracién ‘Debemos tener en cuenta que, para que una VPN IPSec se establezcacorectamente, es necesario configura los métodos de autenticacion, y los algoritmos de integridad y encriptacion de _ambas fases del protocolo IKE de manera coherente en ambos cextremos de la VPN; en caso contrario, a negociacion de la red privada virtual no sera posible. 1PSec 0s el estandar de Internet para la implementacin de redes privadas virtuales, por lo que tiene que ser la primera ‘opcién para considerarse en el caso de que necesitemos implementar VPN en nuestra red. m ewntxeram [77]TECNICO EN REDES Y SEGURIDAD | 22 © Software recomendado: Hamachi Se trata de una aplicacion cliente VPN muy facil de usar que se encarga de establecer una conexién segura entre varias computadoras mediante P2P, a través de Internet. lamachi es una pequetia aplicacion gratuita (hasta 5 clientes) que fue concebida por un desarrolador Secor han ce art nee Seeeeeetrs, independiente y, luego, ereetenmmsenat tenets adquitida por LogMeln,orentada al mbito gamer, aunque muy pronto logs desembarcaren otros ambiente, coma uso deredes VPN caseras, en PES incuso, en entornas corporativos. Esta practica herramienta tiene la = particularidad de no ser afectada por posibles obstaculs tipicos, como routers, ran nen anger en ee o firewalls; yest disponible tanto para ‘Windows como para Mac OS, yuna reciente versin Beta para entarnos Linux Podremos conectar la PC de casa con la dela oficina, ola de oto familiar o amigo (@ incluso todas elas juntas), como si estuviesen en la misma red local, Los usos que podemos darle son valadas: compartir archivos, impresoras o aplicaciones (sistemas contables, de stock o de control) Instalacién Puesta en marcha entre a casa y la oficina, oentre dos 0 _Lainstalaciénes simple Solo debemos Del lado iquierd, en la parte superior mds sucusales de la oficin, jugar en red ir confimano las stints pasos del del panel principal se uica el botén con juegos que no tienen la posiblidad _asstente con el boton Siguiente, hasta que permite encender los servicios de ser jugados via Internet, pero si Terminar el proceso. Hamachi instalaré de Hamachi, los cuales al arrancar mediante la red local un adaptador virtual deed, es deci, nse activan en forma automatica; Todas las comunicaciones que Hamachi en el administrador de dispostvos tendremos que hacer clic sabre realza estén cadiicadas pr algoitmos de apareceré una placa de ed extra, la para ponerlo en marcha. Mis ariba, enciptacén,porlo tanto son totalmente cual simula Hamachi, parallevar a cabo aparece el meni Red, debemos ingresar segura. La interfaz del programa es una __las conexiones con su nodo principaly en él para Crear una nueva red equefia ventana muy faci de tlizer. con las PCs que deseemos conectarnos, 0 Unirmos a una red existente. Se puede descarga la itima version luego, apareceréen nuestra pantalla un Al crear una nueva re, ingresamas un dlsporible de Hamachi desde su sitio pequefa panel, en el cul figura (ariba, nombre cualquiera dentro del recuadro oficial https//secure.logmein.com/ en nleros grandes) la dreccin IP 1D de Red y tecleamos una contrasea products/hamachi/downloadaspx. virtual que nos han esignado de acceso en el campo de abajo. wuww.redusers.comVatias redes pueden ser cread das ellas aparecerdn en a ventana del Hamachi Estas pueden se eliminadas cuando yao las necesitemas, haciendo un clic derecho sobre lard deseo y Biminat Poctemos uniros @ una red exstente solo si conocemos su nombre y su contrasefi, teniendo m ta escribir de manera correcta el nombre de la red (mayisculas, mindsculas ¥ espacios son tenidos en cuenta). ve pane princpal aparecerdn as redes alas cuales nos hemos conectado, junto ls usuarios que pertenecen a llas estén actualmente conectados 0 no y su correspondiente IP virtu Dichos usuarios apareceran en verde si estan actualmente conectados a esa red 'n desconectados en gis claro, sie Ante cualquier problema de conesin o para vtifiar que la creacién de la red y la comunicacién con los demas equipos se reliz6 covrectamente ppodemos hacer cic d echo sobre cada tno de las demas clientes y elegir le ‘opcién Hacer ping. Ante nosotros, se abrirS una ventana de consola en la que se dispara un comando ping a esa IP en forma reterada, para comprobar sila conexin es satistactoria, Para ingresar en ls recursos compartidos de otro ciente de nuestra re, debemos hacer clic derecho en el equipo deseado ¥, luego, ingesar en Examinar.. A instante, aparece Exploradar de Windows que muestra fas ese impresoras que estan siendo ompartidas con esta red en el otro exttemo, Ademas, Hamachi permite enviar aber hat ‘mensajes instanténeos & los usuatios de las redes alas cuales nos hemos desde el meni contextual ida usuario y Chat Configuracién Desde e! mend Sistema es posible ingresar en el panel Peferencias, desde donde podremos activar 0 desactivar las tes funciones principales del programa: > Compresién: disminuye la cantidad {de datos por transferir entre los nodos de la misma red, pero requiere mayor cantidad de recursos (en especial procesador) para comptimir la informacién al enviara y recibiria, > Gifrado: requere también mayor consumo de recursos el sistema, pero es altamente recomendable que est® acivada para que los datos transferidos entre ( mosvarpataa de resend ioe mao a _Actuateaiones de software los nados de nuestra red no pued n ser rpretados si se logra inerceptarlos. > Actualizaciones autométicas: se recomienda dejar activada esta opcién, ya que Hamachi se actualiza en forma Constante, mejorando su Ventajas A diferencia de otros clientes para redes privadas virtues, con Hamachi no es necesari abrir puertos en el route, nl configuaro desactvar firewalls. demas, no altera la canfguracin del adaptador de red principal: i deseamos desconec tarnos de esa red, simplemente basta con certar el programa. m ra acheter ate UTIL? Pen: coe! ee eet) oer - Serer) eae CT eee ore eC Orta worw-redusers.comTECNICO EN REDES Y SEGURIDAD | 22 © OpenVPN Una solucion robusta que nos permite establecer conexiones VPN SSL multiplataforma y sin preocuparnos por los costos de licenciamiento. io que necestamos es una heramienta que nos pemitaimpementarredes privadas vituales (VEN) 4 forma flexible y sin costos de lceniamiento, una ‘pein que no poiemos dejar de tener en cuenta es ‘OpenVPN. Se trata de una slucin con capacidades a desplevar VPN Sst; se bas en la utizaién dela misma tecnclogia que protege les accesos alos sitios web seguros en Internet. La solucin es desartllads por una comunidad intemacional de progamadores yest disponible para una amplia gama de sistemas operativos, entre los que poderos nombrar a GNUlLinu, Solas FreeBSD, NetBSD, Mac OS Xy Miosott Windows desde la versin 2000 en adelante Funcionamiento En el momento dela instalacién, OpenVPN crea en el equipo una interfaz virtual, medante la cual se enviar y rein los dates enciptados con el oo extrema de la VPN. Can fn de adaptarse a restras necesdades, OpenVPN puede funconar en «os motos: el mado router Tun) y el modo bridge (Tp). El primer modo es el més utlizado y establece una conexién punto @ punto virtual a nivel, es decir los paquetes ingresan por la interaz virtual en uno de los extremos de la VPN, y son encrptados y ruteados hacia el otro extrema, donde son oe cH NET OE.0} SE o mcs www.redusers.com desenctiptads yruteados hasta el destino. El modo bridge establece una conexién segura entre ls interfaces vrtuales de ambos extremos dela VPN a nivel Ethernet. Este tipo de conexiones se utiiza para cenectar dos sitios remotosa nivel de apa de enlace, coma sestuvesenenlazads a un mismo sith, Métodos de autenticacién COperVPN ns permite utilizar dos métodos para la autenticacién eos exremas dela VPN: mediante una dave precompatida 6 utlizanda cetfcados cigitales emtdos por ura autoridad certiticante (CA). La primera opcin es la mas sencilla de configura, simplemente se comparte una clave entre el extremo que tiene el rol de cliente y el que tiene el rol de servidor, presenta como desventaj la necesidad de escribir en texto plano la cave precompartida en os archivos de configuracin, Ya poce escalabilidad, ya que necesitamos crear una nueva conexién entre el sevidory cada ciente. El método de autenticacin mediante cerficados digtales es a solucon mas robusta y esclable en escenaris con maltiples lentes ya que deleg la emision de cedenciales de acceso en une autorided certfcante (CA). bien esta ima aternatia nos ‘ge un ese adcioale a mejor opcn para ls escenarios nde la cartidad de lentes VPN es importante Configuracién Si bien existen interfaces gaficas para ini o detenet as conexiones VPN, debemas realizar la configuacién de ia herramienta al estilo Linux mediante archives de texto, Administracién ‘OpenVPN nos permite la gestion centralzada de las conexiones| en nuestra servidores VPN mediante una inerfaz de consola telnet oa través de interfaces grficas como OpenVPNConttol. Las ventajas de esta interaz son las siguientes: > No tiene costas de licenciamiento. > Multiplataorma, > Las conexiones VPN no presentan inconvenientes cuando atvaviesan por un frewall ni cuando nos encargamos de aplicar traduccion de direcclanes (NAT) Como OpenVPN todavia no es un estndar, como silo es IPSec, ‘ain no esta sopartado en fa mayoria de ls dispostivos de seguridad dedicados, como los fewals empresriles. mPROXIMA ENTREGA TELEFONIA IP En este fasciculo veremos los alcances de la tecnologia VoIP y las ventajas que ofrece sobre la telefonia convencional. También conoceremos las plataformas mas utilizadas y los peligros que existen, como el sniffing.Técnico en &SEGURIDAD > PROFESORES EN LINEA profesor@redusers.com > SERVICIOS PARA LECTORES usershop@redusers.com SOBRE LA COLECCION ‘CURSO VISUAL ¥ PRECTICO QUE APORTA LDS SABERES NECESARIOS PARA FORNAR TECNICOS FEXPERTOS El REDES ¥ SEGURIDAD. INCLUYE (Us GRAN CANTIDAD DE RECURSOS DIDACTICOS ‘COMO INFOGRAFIAS,GUiAS VSUALES 'Y PROCEDINIENTOS REALIZADOS PASO A PASO Con fa mejor metodologia para llevar adelante el montaje y mantenimiento de las redes informéticas y con los aspectos clave para brindarles la proteccin necesaria, esta obra es ideal para aquellos aficionados que deseen profundizar tos y para quienes ‘quieran profesionalizar su actividad, REDES ih 9 WN CONTENIDO DE LA OBRA 1 Introduccién alas redes informaticas 2 Tipos de redes y topologias 3 pispositivos de red 4 instatacidn de redes cableadas 5 Puesta en marcha de una red cableada Contiguraciin de redes cableadas 7 Instalacién de redes inatémbricas B Configuracién de redes inaldmbricas 9 Seguridad en redes cableadas e inalémbricas 10 contiguracién avanzada de routers 11 Recursos compartidos y dispositives multimedia 12 Seguridad tisica de a red 13 impresoras de red 14 Hardware de servidores 15 Administrcién de Windows Server 1 dministracién de sistemas Linux 17 dwinistracin y asistencia remota 18 servidores web y FIP 19 servidores de mait 2D Servidores de archivos e impresién 21 Servidores adicion 22 vian, ven ¥ TRABAJO REMOTO 23 Teletonia iP 24 cimaras ie SHHHHNHNHGHAEALA AHHH HEEFT