CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament d’Arquitectura de Computadors
Virtual Private Network (VPN’s)
(Seminaris de CASO)
Autors
Miguel Ángel Sánchez Gómez
Joan Delgado Alcalá
Introducción
¿Qué es una VPN?
 Tipos de Enlaces
 ¿Para que sirve?
 Aspectos Técnicos
 Firewalls
 Alternativas a las VPN’s
 Ventajas e Inconvenientes
 Webgrafía

Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
2
¿Qué es una VPN?
Red privada y segura sobre red pública y no segura.
 Proporciona un túnel ip encriptado y/o encapsulado a través
de internet.

Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
3
Tipos de Enlaces (I)

Enlace Cliente - Red:
– El cliente se conecta remotamente a una LAN.
– Se usa PPP para establecer una conexión entre el cliente y la
LAN.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
4
Tipos de Enlaces (II)

Enlace Red - Red:
– Se encapsula el tráfico de una red local.
– Nos ahorramos el paso PPP ( las tramas se encapsulan
directamente).
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
5
¿Para que sirven?
Se pueden hacer servir como una Extranet.
 Es más segura que una Extranet.
 Permitiría conectar diferentes delegaciones de una
empresa, simulando una red local de una manera
transparente y económica.
 Da acceso a clientes, socios i consultores a los diferentes
recursos de la red de forma remota.

Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
6
Aspectos Técnicos (I)

Nivel 2 (OSI)
– PPTP, L2F, L2TP

Nivel 3 (OSI)
– IPSec
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
7
Aspectos Técnicos (II)

PPTP (Point-to-Point Tunneling Protocol):
– Protocolo desarrollado por Microsoft y normalizado por
la IETF (Internet Engineering Task Force, RFC 2637)
– Permite el tráfico seguro de datos desde un cliente
remoto a un servidor corporativo privado.
– PPTP soporta multiples protocolos de red (IP, IPX,
NetBEUI, … ).
– Tiene una mala reputación en seguridad.
– Muy usado en entornos Microsoft.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
8
Aspectos Técnicos (III)

L2F (Layer 2 Forwarding):
– Protocolo desarrollado por Cisco Systems.
– Precursor del L2TP.
– Ofrece metodos de autentificación de usuarios remotos
– Carece de cifrado de datos
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
9
Aspectos Técnicos (IV)

L2TP (Layer 2 Tunneling Protocol):
– Estándar aprobado por la IETF (RFC 2661)
– Mejora combinada de PPTP y L2F.
– No posee cifrado o autentificación por paquete (ha de combinarse
con otro protocolo, como el IPSec).
– Combinado con IPSec ofrece la integridad de datos y
confidencialidad exigidos para una solución VPN.
– Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI,
…)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
10
Aspectos Técnicos (V)
– Tunneling:
• Añade una cabecera IP adicional (cabecera del protocolo de transporte )
al paquete original para que éste pueda circular a través de Internet hasta
el router de la empresa corporativa donde es eliminada.
• El router que permite accesos vía tunel a una red privada se denomina
servidor de túneles.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
11
Aspectos Técnicos (VI)

IPSec :
– Proporciona servicios de seguridad a nivel 3.
– Permite seleccionar protocolos de seguridad, algoritmos que se
van a utilizar y las claves requeridas para dar estos servicios.
– Servicios de seguridad que proporciona:
• Control de acceso
• Integridad
• Autentificación del origen de los datos
• Confidencilidad
– Es estándar dentro de IPv6 y ha sido adaptado para IPv4.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
12
Aspectos Técnicos (VII)
– Protocolos de Seguridad:
• AH (Authentication Header): Protocolo de autenticación que usa una firma
hash para integridad y autenticidad del emisor.
Datagrama IPv4:
Cabecera
AH
Datos
• ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado
que usa mecanismos criptográficos para proporcionar integridad,
autenticación del origen y confidencialidad.
Datagrama IPv4:
Cabecera
Datos encriptados
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
13
Aspectos Técnicos (VIII)
– Gestión de Claves:
• IKE (Internet Key Exchange): Autentica a cada participante en una
transacción IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesión.
– Fase 1: Los nodos IPSec establecen un canal seguro para realizar el
intercambio de informacion (SA).
– Fase 2: Los nodos IPSec negocian por el canal establecido:
* Algoritmo de cifrado
* Algoritmo hash
* Método de autenticación
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
14
Firewall

Como medida adicional de seguridad se recomienda utilizar
firewall para garantizar que solo tendrán acceso a la LAN
los clientes autorizados.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
15
Alternativas a las VPN’s

RAS (Remote Acces System)
– Sistemas de acceso remoto basado en llamadas conmutadas
(RTC, RDSI).
– Se produce una llamada del cliente al servidor de RAS.
– El coste de esta llamada es el de una llamada conmutada entre
los dos extremos de la comunicación.
– Podremos tener tantas conexiones simultanias como dialers
(modems) tengamos disponibles.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
16
Alternativas a las VPN’s

Alquiler de linias dedicadas:
– Son seguras ya que solo circulamos nosotros.
– Alto coste económico
– El ancho de banda del que queramos disponer va en proporción a
lo que se esté dispuesto a pagar.

WAN :
– Coste elevadisimo no asumible por la mayoria de empresas.
– Ej: FDDI, ATM, ...
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
17
Ventajas e Inconvenientes (I)

Ventajas:
– Ahorro en costes.
– No se compromete la seguridad de la red empresarial.
– El cliente remoto adquiere la condicion de miembro de la LAN (
permisos, directivas de seguridad).
– El cliente tiene acceso a todos los recursos ofrecidos en la LAN
(impresoras, correo electronico, base de datos, …).
– Acceso desde cualquier punto del mundo (siempre y cuando se
tenga acceso a internet).
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
18
Ventajas e Inconvenientes (II)

Inconvenientes:
–
–
–
–
–
–
No se garantiza disponibilidad ( NO Internet --> NO VPN).
No se garantiza el caudal.
Gestión de claves de acceso y autenticación delicada y laboriosa.
La fiabilidad es menor que en una linia dedicada
Mayor carga en el cliente VPN (encapsulación y encriptación)
Mayor complejidad en la configuración del cliente ( proxy, servidor
de correo, … )
– Una VPN se considera segura pero no hay que olvidar que
viajamos por Internet ( no seguro y expuestos a ataques).
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
19
Webgrafía







http://www.disc.ua.es/assignatures/rc/inginf/labvirtual/manualppto.html
http://www.canalsw.com/ayudas/glosario/glosario2.asp?id=805&ic=4
http://www.uv.es/ciuv/cas/vpn/index.html
http://www.rediris.es/rediris/boletin/54-55/ponencia2.html
http://teleline.terra.es/personal/jralcala/web/redes/vpn/vpn1.htm
http://support.microsoft.com
http://www.w2000mag.com (Windows 2000 Magazine)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
20
Descargar

Aspectos Técnicos