4. vpn y ipsec
Transcript of 4. vpn y ipsec
![Page 1: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/1.jpg)
Pág. 1
Redes Privadas Virtuales, VPN
![Page 2: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/2.jpg)
Pág. 2
Índice
Virtual Private Networks (VPNs)
¿Qué es una VPN?
Tipos de Enlaces
¿Para que sirve?
Aspectos Técnicos
Alternativas a las VPN’s
Ventajas e Inconvenientes
![Page 3: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/3.jpg)
Pág. 3
¿Qué es una VPN?
Red privada y segura sobre red pública y no segura.Proporciona un túnel IP cifrado y/o encapsulado a través de Internet.Utiliza encapsulado permitido en la red pública, transportando paquetes de la red privada. Para ello utilizan el encapsulamiento IP-IP. El direccionamiento es independiente del de la red pública.A menudo conllevan un requerimiento de seguridad (encriptación con IPSec).
![Page 4: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/4.jpg)
Pág. 4
Tipos de Enlaces (I)
Enlace Cliente - Red:• El cliente se conecta remotamente a
una LAN. • Se usa PPP para establecer una
conexión entre el cliente y la LAN.LocalISP
LocalISP
![Page 5: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/5.jpg)
Pág. 5
Tipos de Enlaces (II)
Enlace Red – Red:• Se encapsula el tráfico de una red local.• Nos ahorramos el paso PPP ( las tramas se
encapsulan directamente).
Internet
![Page 6: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/6.jpg)
Pág. 6
¿Para que sirven?
Se pueden hacer servir como una Extranet.
Es más segura que una Extranet.
Permitiría conectar diferentes delegaciones de una empresa, simulando una red local de una manera transparente y económica.
Da acceso a clientes, socios i consultores a los diferentes recursos de la red de forma remota.
![Page 7: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/7.jpg)
Pág. 7
Aspectos Técnicos
Nivel 2 (OSI)• PPTP, L2F, L2TP
Nivel 3 (OSI)• IPSec
![Page 8: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/8.jpg)
Pág. 8
Aspectos Técnicos
PPTP (Point-to-Point Tunneling Protocol):• Protocolo desarrollado por Microsoft y normalizado por la IETF
(Internet Engineering Task Force, RFC 2637)• Permite el tráfico seguro de datos desde un cliente remoto a un
servidor corporativo privado.• PPTP soporta multiples protocolos de red (IP, IPX, NetBEUI,…).• Muy usado en entornos Microsoft.
![Page 9: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/9.jpg)
Pág. 9
Aspectos Técnicos
L2F (Layer 2 Forwarding):• Protocolo desarrollado por Cisco Systems. • Precursor del L2TP.• Ofrece metodos de autentificación de usuarios remotos• Carece de cifrado de datos
![Page 10: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/10.jpg)
Pág. 10
Aspectos Técnicos
L2TP (Layer 2 Tunneling Protocol):
• Estándar aprobado por la IETF (RFC 2661)• Mejora combinada de PPTP y L2F.• No posee cifrado o autentificación por paquete (ha de
combinarse con otro protocolo, como el IPSec).
• Combinado con IPSec ofrece la integridad de datos y confidencialidad exigidos para una solución VPN.
• Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI, …)
![Page 11: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/11.jpg)
Pág. 11
Aspectos Técnicos
• Tunneling:
1. Añade una cabecera IP adicional (cabecera del protocolo de transporte ) al paquete original para que éste pueda circular a través de Internet hasta el router de la empresa corporativa donde es eliminada.
2. El router que permite accesos vía tunel a una red privada se
denomina servidor de túneles.
![Page 12: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/12.jpg)
Pág. 12
Aspectos Técnicos
IPSec :
• Proporciona servicios de seguridad a nivel 3.
• Permite seleccionar protocolos de seguridad, algoritmos que se van a utilizar y las claves requeridas para dar estos servicios.
• Servicios de seguridad que proporciona:
1. Control de acceso
2. Integridad
3. Autentificación del origen de los datos
4. Confidencilidad
• Es estándar dentro de IPv6 y ha sido adaptado para IPv4.
![Page 13: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/13.jpg)
Pág. 13
Aspectos Técnicos
• Protocolos de Seguridad:
1. AH (Authentication Header): Protocolo de autenticación que usa una firma hash para integridad y autenticidad del emisor.
Datagrama IPv4:
1. ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado que usa mecanismos criptográficos para proporcionar integridad, autenticación del origen y confidencialidad.
Datagrama IPv4:
Cabecera AH Datos
Cabecera Datos encriptados
![Page 14: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/14.jpg)
Pág. 14
Aspectos Técnicos - Autentificación + Integridad
2B 2A AH Contenido de datosINTEGRIDAD
INTERNETINTERNET
WEB
Empresa EmpresaRouter
Firewall 1A
Router 1B
Delegación 0B
Cliente 2B Servidor Web 2A
1B 1A AH 0B 0A Contenido de datos
INTEGRIDAD
Modo transporte
Modo tunel
![Page 15: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/15.jpg)
Pág. 15
Aspectos Técnicos
- Autentificación + Privacidad ESP• Modo Transporte.
• Modo Túnel.
2B 2A ESP Contenido de datos
ENCRIPTACIÓN
1B 1A ESP 0B 0A Contenido de datos
Serv.0A
INTERNETINTERNET
WEB
Empresa EmpresaRouter 1A
Firewall
Router 1B
Delegacion 0B
Cliente 2B Servidor Web 2A
ENCRIPTACIÓN
![Page 16: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/16.jpg)
Pág. 16
Aspectos Técnicos
• Gestión de Claves:
1. IKE (Internet Key Exchange): Autentica a cada participante en una
transacción IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesión.
– Fase 1: Los nodos IPSec establecen un canal seguro
para realizar el intercambio de informacion (SA).
– Fase 2: Los nodos IPSec negocian por el canal
establecido:
* Algoritmo de cifrado
* Algoritmo hash
* Método de autenticación
![Page 17: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/17.jpg)
Pág. 17
Alternativas a las VPN’s RAS (Remote Acces System)
• Sistemas de acceso remoto basado en llamadas conmutadas (RTC, RDSI).
• Se produce una llamada del cliente al servidor de RAS.
• El coste de esta llamada es el de una llamada conmutada entre los dos extremos de la comunicación.
• Podremos tener tantas conexiones simultaneas como dialers (modems) tengamos disponibles.
Alquiler de líneas dedicadas:
• Son seguras ya que solo circulamos nosotros.
• Alto coste económico
• El ancho de banda del que queramos disponer va en proporción a lo que se esté dispuesto a pagar.
WAN :
• Coste elevadísimo no asumible por la mayoría de empresas.
• Ejemplo: FDDI, ATM, ...
![Page 18: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/18.jpg)
Pág. 18
Ventajas• Ahorro en costes.• No se compromete la seguridad de la red empresarial.• El cliente remoto adquiere la condicion de miembro de la LAN ( permisos, directivas de
seguridad).• El cliente tiene acceso a todos los recursos ofrecidos en la LAN (impresoras, correo electronico,
base de datos, …).• Acceso desde cualquier punto del mundo (siempre y cuando se tenga acceso a internet).
• No se garantiza disponibilidad ( NO Internet NO VPN).• No se garantiza el caudal.• Gestión de claves de acceso y autenticación delicada y laboriosa.• La fiabilidad es menor que en una línea dedicada• Mayor carga en el cliente VPN (encapsulación y encriptación)• Mayor complejidad en la configuración del cliente (proxy, servidor de correo, … )• Una VPN se considera segura pero no hay que olvidar que viajamos por Internet ( no
seguro y expuestos a ataques).
Inconvenientes
![Page 19: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/19.jpg)
Pág. 19
Conexión VPN a través de Windows 2000 Server
![Page 20: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/20.jpg)
Pág. 20
Objetivo:Configurar el acceso remoto a la red local a través de una VPN sobre Internet, autenticando al usuario en el Directorio Activo de manera transparente al igual que si lo realizara desde la red local interna.
Equípos necesarios:Servidor Windows 2000 Servidor Windows 2000 con DAWindows XP SP2
Software utilizado:• Configuración de la herramienta “Acceso Telefónico a Redes” • Servicio de “Enrutamiento y Acceso Remoto” (RRAS)• Servicio de “Autenticación en Internet” IAS (Servidor Radius
W2000).”
![Page 21: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/21.jpg)
Pág. 21
Definición de las dos máquinas virtuales a utilizar
![Page 22: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/22.jpg)
Pág. 22
XP-SP2
W2K DAIAS Server
Red VMWARE (LAN)
192.168.100.0/24
Equipo principal
Vmnet1(Host Only)
Conexión Area local
10.0.100.2
10.0.100.1
192.168.100.3
192.168.100.5
Red VMWARE (WAN)
10.0.100.0/24
10.0.100.5
W2K RRAS
Esquema de conexión de equipos y Red
![Page 23: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/23.jpg)
Pág. 23
a) Configuración del servidor Radius Interno
1. Configuración de la tarjeta de red.
![Page 24: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/24.jpg)
Pág. 24
a) Configuración del servidor Radius Interno
2. Instalar el servicio RADIUS (IAS)
![Page 25: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/25.jpg)
Pág. 25
a) Configuración del servidor Radius Interno
3. Configurar el servicio RADIUS (IAS)
![Page 26: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/26.jpg)
Pág. 26
a) Configuración del servidor Radius Interno
3. Configurar el servicio RADIUS (IAS)
![Page 27: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/27.jpg)
Pág. 27
b) Configuración del servidor RRAS
1. Configuración las tarjetas de red.
Tarjeta interna (LAN) Tarjeta externa (WAN)
![Page 28: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/28.jpg)
Pág. 28
b) Configuración del servidor RRAS
2. Instalación del servicio RRAS.
![Page 29: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/29.jpg)
Pág. 29
b) Configuración del servidor RRAS
2. Asignación del direccionamiento IP para clientes VPN.
![Page 30: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/30.jpg)
Pág. 30
b) Configuración del servidor RRAS
2. Configurar autenticación Radius.
![Page 31: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/31.jpg)
Pág. 31
b) Configuración del servidor RRAS
![Page 32: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/32.jpg)
Pág. 32
c) Configuración del Acceso Remoto en el cliente XP (I)
![Page 33: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/33.jpg)
Pág. 33
c) Configuración del Acceso Remoto en el cliente XP (II)
![Page 34: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/34.jpg)
Pág. 34
c) Configuración del Acceso Remoto en el cliente XP (III)
![Page 35: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/35.jpg)
Pág. 35
c) Conexión desde el cliente XP
![Page 36: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/36.jpg)
Pág. 36
d) Registro de la conexión en el servidor RRAS
![Page 37: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/37.jpg)
Pág. 37
Establecimiento de conexiones cifradas con IPSEC
![Page 38: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/38.jpg)
Pág. 38
Objetivo:Configurar conexiones IPSEC para él establecimiento de un tunel cifrado entre dos equipos Windows tanto en modo transporte como en modo tunel
Equípos necesarios:2 Servidores Windows 2000 Windows XP SP2
Software utilizado:• Configuración de las directivas de seguridad IP en los equipos.• Software de monitorización de IPSEC• Sniffer de red (opcional)
![Page 39: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/39.jpg)
Pág. 39
Definición de las imágenes VMware.
![Page 40: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/40.jpg)
Pág. 40
XP-SP2W2K DARed VMWARE
192.168.100.0/24
Equipo principal
Vmnet1(Host Only)
Conexión Area local
192.168.100.3
192.168.100.2
Esquema de conexión de equipos y Red
192.168.100.5
![Page 41: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/41.jpg)
Pág. 41
a) Configuración de las tarjetas de red de los equipos
* Tarjeta de red equipo Servidor * Tarjeta de red equipo XP
![Page 42: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/42.jpg)
Pág. 42
a) Configuración IPSEC en el servidor
![Page 43: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/43.jpg)
Pág. 43
a) Configuración IPSEC en el XP
![Page 44: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/44.jpg)
Pág. 44
a) Monitorización de conexión IPSEC
IpsecMon en el equipo servidor
Consola Monitor Seguridad IP en XP
![Page 45: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/45.jpg)
Pág. 45
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 46: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/46.jpg)
Pág. 46
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 47: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/47.jpg)
Pág. 47
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 48: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/48.jpg)
Pág. 48
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 49: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/49.jpg)
Pág. 49
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 50: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/50.jpg)
Pág. 50
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
![Page 51: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/51.jpg)
Pág. 51
b) Definición de reglas IPSEC específicasConexión Telnet cifrada desde el XP al Servidor
Asignar nueva directiva
![Page 52: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/52.jpg)
Pág. 52
b) Definición de reglas IPSEC específicasDetalle Conexión Telnet desde el XP al Servidor
Monitor Seguridad IPSEC
![Page 53: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/53.jpg)
Pág. 53
c) Conexión IPSEC en modo Tunel
Definición de las imagenes
![Page 54: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/54.jpg)
Pág. 54
XP-SP2
W2k-Left
Equipo principal
Vmnet1(Host Only)
Conexión Area local
192.168.100.3
192.168.200.5
192.168.100.5
192.168.10.3
192.168.10.2192.168.200.2
Conexión IPSEC (modo Tunel)
W2k-Right
![Page 55: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/55.jpg)
Pág. 55
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
![Page 56: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/56.jpg)
Pág. 56
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
![Page 57: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/57.jpg)
Pág. 57
a) Definir filtro para la activación del tunel
Conexión IPSEC (modo Tunel)
![Page 58: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/58.jpg)
Pág. 58
b) Configurar filtro de activación del tunel
Conexión IPSEC (modo Tunel)
![Page 59: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/59.jpg)
Pág. 59
c) Crear la directiva IPSEC del tunel
Conexión IPSEC (modo Tunel)
![Page 60: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/60.jpg)
Pág. 60
c) Crear la directiva IPSEC del tunel
1
2
3
4
Conexión IPSEC (modo Tunel)
![Page 61: 4. vpn y ipsec](https://reader033.fdocuments.in/reader033/viewer/2022061616/5588f9f9d8b42a0b688b46cb/html5/thumbnails/61.jpg)
Pág. 61
c) Crear la directiva IPSEC del tunel
1
2
3
4
Conexión IPSEC (modo Tunel)