Académique Documents
Professionnel Documents
Culture Documents
Informática
Unidad 1
Ingeniería en Sistemas Computacionales
“Introducción a la Seguridad
Informática”
Balancan Tabasco a 03 de
1.1 El valor de la información
El nuevo escenario socio-económico ha conllevado infinitos cambios, pero quizás el
mayor se sitúa en la información, en los datos. El crecimiento de la información
durante la última década ha sido exponencial y así seguirá siendo en el futuro. Esto
indica la obligatoriedad de disponer no ya de unos eficaces sistemas de
almacenamiento sino de establecer una estrategia concreta que marque pautas
perfectamente definidas sobre la gestión de esa información. No se trata de
almacenar, sino de gestionar. Es algo crucial. No hay que olvidar, que son muchos
los valores que definen a una compañía, pero por encima de todos está la
información.
La información y, esto es algo asumido por todos– es el valor más preciado de
cualquier empresa. De su correcta gestión depende la viabilidad de la propia
empresa u organización. Cierto es que la complejidad tecnológica es importante,
pero también lo es el que la mayoría de empresas comprometidas con este
segmento de almacenamiento son capaces de gestionar esa complejidad
haciéndola prácticamente invisible para el usuario, y además, permitir la generación
de eficiencias en la empresa. Es lo que ya se define como almacenamiento
inteligente, un concepto que articula la criticidad de los datos en base a una
jerarquía concreta y específica según las necesidades de las empresas.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema en
general para que el uso por parte de ellos no pueda poner en entredicho la
seguridad de la información y tampoco que la información que manejan o
almacenan sea vulnerable.
La información: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre
los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica
que consiste en la aplicación de barreras y procedimientos que resguardan el
acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para
hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en
la mayoría de los casos es una combinación de varios de ellos)
Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso
para todo el software que se implante en los sistemas, partiendo de estándares
y de personal suficientemente formado y concienciado con la seguridad.
Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de
los centros de proceso de datos, sistemas de protección contra inundaciones,
protecciones eléctricas contraapagones y sobretensiones, sistemas de control
de accesos, etc.
Codificar la información: criptología, criptografía y criptociencia. Esto se debe
realizar en todos aquellos trayectos por los que circule la información que se
quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos
de una base muy confidencial se han protegido con dos niveles de firewall, se
ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios
servidores, se utilizan certificados y sin embargo se dejan sin cifrar las
impresiones enviadas a la impresora de red, tendríamos un punto de
vulnerabilidad.
Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a
partir de los datos personales del individuo o por comparación con un diccionario,
y que se cambien con la suficiente periodicidad. Las contraseñas, además,
deben tener la suficiente complejidad como para que un atacante no pueda
deducirla por medio de programas informáticos. El uso de certificados
digitales mejora la seguridad frente al simple uso de contraseñas.
Vigilancia de red. Las redes transportan toda la información, por lo que además
de ser el medio habitual de acceso de los atacantes, también son un buen lugar
para obtener la información sin tener que acceder a las fuentes de la misma. Por
la red no solo circula la información de ficheros informáticos como tal, también
se transportan por ella: correo electrónico, conversaciones telefónica (VoIP),
mensajería instantánea, navegación Internet, lecturas y escrituras a bases de
datos, etc. Por todo ello, proteger la red es una de las principales tareas para
evitar robo de información. Existen medidas que abarcan desde la seguridad
física de los puntos de entrada hasta el control de equipos conectados, por
ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de vulnerar la
seguridad es mayor y deben adoptarse medidas adicionales.
Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso
fuertes entre los usuarios y servidores no públicos y los equipos publicados. De
esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y
nunca a los datos, que quedarán tras dos niveles de seguridad.
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de
intrusos - antispyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información con las actualizaciones que más impacten
en la seguridad.
Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten
mantener la información en dos ubicaciones de forma asíncrona.
Controlar el acceso a la información por medio de permisos centralizados y
mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los
medios para conseguirlo son:
Restringir el acceso (de personas de la organización y de las que no lo son) a
los programas y archivos.
Redundancia y descentralización.
2.1 Definición de criptografía
La Criptología (del griego criptos= oculto y logos= tratado, ciencia) es la ciencia que
trata las escrituras ocultas, está comprendida por la Criptografía, el Criptoanálisis y
la Esteganografía.
Las raíces etimológicas de la palabra Criptografía son criptos (oculto), y graphos
(escritura). Una definición clásica de Criptografía es la siguiente:
Arte de escribir mensajes en clave secreta o enigmáticamente
Anteriormente la Criptografía era considerada como un arte pero en la actualidad
se considera una ciencia gracias a su relación con la estadística, la teoría de la
información, la teoría de los números y la teoría de la complejidad computacional.
La Criptografía es la ciencia que se encarga del estudio de técnicas para transformar
la información a una forma que no pueda entenderse a simple vista; sin embargo,
el objetivo de la Criptografía no es sólo mantener los datos secretos, sino también
protegerlos contra modificación y comprobar la fuente de los mismos.
AC(k) = (A - F) / T
Características de la secuencia cifrante S para una clave binaria segura.
1Periodo:
La clave deberá ser tanto o más larga que el mensaje. En la práctica se usará una
semilla K de unos 120 a 250 bits en cada extremo del sistema para generar períodos
superiores a 10.
En el ciclo , las diversas rachas son de longitud , esto es: Al menos la mitad
de las rachas tienen longitud 1, al menos la cuarta parte, longitud 2, al menos un
octavo longitud 3, etc. Además para cada una de esas rachas hay la misma cantidad
de huecos y de bloques.
La función de autocorrelación tiene sólo 2 valores racionales:
En 1967 Golomb, formulo tres postulados que en una secuencia finita debe
satisfacer para denominarse secuencia pseudoaleatoria o PN (Pseudo Noise).
Estos postulados pueden resumirse de la siguiente manera, en cada periodo de la
secuencia considerada:
Registro de
Desplazamiento
Podemos ver que hay una entrada de datos ( Data In ), 4 puntos donde leer el
estado actual del registro (Q1-Q4) y una entrada de reloj que se encarga de
governar el registro, indicando en qué momento se debe pasar de un estado al
siguiente.
Registros de desplazamiento con realimentación lineal (LFSRs)
Bien, una vez sabemos qué son los registros de desplazamiento es muy sencillo
entender cómo funciona un LFSR. Simplemente, tomamos el registro anterior y
hacemos que la entrada sea una función lineal de las distintas celdas. Puesto que
hay un bucle que alimenta el registro en base a su estado anterior,
tenemos realimentación. Además, como esto se hace con una función lineal,
tenemos realimentación lineal, lo cual explica el nombre de estas
construcciones .
LFSR
2.4 Criptosistemas de Clave Pública
Este sistema se basa en una función que es fácil de calcular en una dirección
(llamada función trapdoor de único sentido) y que, matemáticamente, resulta muy
difícil de invertir sin la clave privada (llamada trapdoor).
Para ilustrarlo con un ejemplo, sería como si un usuario creara de forma aleatoria
una pequeña llave metálica (la clave privada) y luego produjera una gran cantidad
de candados (claves públicas) que guarda en un casillero al que puede acceder
cualquiera (el casillero sería el canal no seguro). Para enviarle un documento, cada
usuario puede usar un candado (abierto), cerrar con este candado una carpeta que
contiene el documento y enviar la carpeta al dueño de la clave pública (el dueño del
candado). Sólo el dueño podrá abrir la carpeta con su clave privada.
2.4.2 Protocolo de Diffie y Hellman para el intercambio de claves.
El protocolo criptográfico Diffie-Hellman,1 debido a Whitfield Diffie y Martin
Hellman (autores también del problema de Diffie-Hellman o DHP), es un protocolo
de establecimiento de claves entre partes que no han tenido contacto previo,
utilizando un canal inseguro, y de manera anónima (no autentificada).
Se emplea generalmente como medio para acordar claves simétricas que serán
empleadas para el cifrado de una sesión (establecer clave de sesión). Siendo no
autenticado, sin embargo, provee las bases para varios protocolos autenticados.
Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de
calcular logaritmos discretos en un cuerpo finito.
E l sistema se basa en la idea de que dos interlocutores pueden generar
conjuntamente una clave compartida sin que un intruso que esté escuchando las
comunicaciones pueda llegar a obtenerla.
Para ello cada interlocutor elige un número público y un número secreto. Usando
una fórmula matemática, que incluye la exponenciación, cada interlocutor hace una
serie de operaciones con los dos números públicos y el secreto. A continuación los
interlocutores se intercambian los resultados de forma pública. En teoría revertir
esta función es tan difícil como calcular un logaritmo discreto (Un millón de millones
de cuadrillones más costosa que la exponenciación usada para transformar los
números). Por eso se dice que este número es el resultado de aplicar una función
unidireccional al número secreto.
A continuación ambos interlocutores utilizan por separado una fórmula matemática
que combina los dos números transformados con su número secreto y al final los
dos llegan al mismo número resultado que será la clave compartida.
En todo cortafuegos existen tres componentes básicos para los cuales se ha de implementar los
3.3.2 Componentes mecanismos necesarios para hacer cumplir la política de seguridad: 1. El filtrado de paquetes. 2. El
3.3 Cortafuegos proxy de aplicación. 3. La monitorización y detección de actividad sospechosa.
(firewalls)
El filtrado de paquetes, además de utilizarse para reducir la carga de red, también se emplea para
3.3.3 Filtros de paquetes implementar distintas políticas de seguridad en una red. Respecto al objetivo principal de dichas
políticas de seguridad, es habitual el hecho de evitar el acceso no autorizado entre dos redes,
manteniendo los accesos autorizados.
3.3.4 Filtro de servicios
La forma más habitual de permitir o denegar cierto tipo de tráfico es abriendo y cerrando puertos.
Con abrir y cerrar queremos decir añadir reglas al cortafuegos que permitan que los paquetes
destinados a ciertos puertos puedan circular o no. Esto puede conseguirse de dos formas: una
permisiva y otra restrictiva.
4.1 Cortafuegos
Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está
diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
autorizado.
Se trata de u n dispositivo o conjunto de dispositivos configurados para permitir,
limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un
conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una
combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas
a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a través del cortafuego, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. También es
frecuente conectar al cortafuego a una tercera red, llamada Zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
Un cortafuego correctamente configurado añade una protección necesaria a la red,
pero que en ningún caso debe considerarse suficiente. La seguridad informática
abarca más ámbitos y más niveles de trabajo y protección.
El término "firewall / fireblock" significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología
de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de
los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de
1980, que mantenían a las redes separadas unas de otras. La visión de Internet
como una comunidad relativamente pequeña de usuarios con máquinas
compatibles, que valoraba la predisposición para el intercambio y la colaboración,
terminó con una serie de importantes violaciones de seguridad de Internet que se
produjo a finales de los 80:
§ Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje
alemán.
§ Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar
a un atacante.
§ En 1988, un empleado del Centro de Investigación Ames de la NASA, en California,
envió una nota por correo electrónico a sus colegas que decía:
El filtrado de paquetes llevado a cabo por un cortafuego actúa en las tres primeras
capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza
entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado
por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que
lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando
el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo
y un número de puerto base (GSS). Por ejemplo, si existe una norma en los
cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número
de puerto 23.
Segunda generación – cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores
de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la
colocación de cada paquete individual dentro de una serie de paquetes. Esta
tecnología se conoce generalmente como la inspección de estado de paquetes, ya
que mantiene registros de todas las conexiones que pasan por el cortafuegos,
siendo capaz de determinar si un paquete indica el inicio de una nueva conexión,
es parte de una conexión existente, o es un paquete erróneo. Este tipo de
cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos
ataques de denegación de servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de
un cortafuegos de aplicación es que puede entender ciertas aplicaciones y
protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación
web), y permite detectar si un protocolo no deseado se coló a través de un puerto
no estándar o si se está abusando de un protocolo de forma perjudicial.
Tipos de cortafuegos
Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones específicas, tales como
servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación
del rendimiento.
Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los
computadores de una organización entren a Internet de una forma controlada. Un
proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuego personal
Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de la
red. Se usa por tanto, a nivel personal.
Componentes de un cortafuegos
· En todo cortafuegos existen tres componentes básicos para los cuales se ha de
implementar los mecanismos necesarios para hacer cumplir la política de seguridad:
El filtrado de paquetes.
El proxy de aplicación.
La monitorización y detección de actividad sospechosa.
4.1.3. Filtrado de paquetes
Los sistemas de filtrado de paquetes encaminan los paquetes entre los hosts de
una red interna y los hosts de una red externa. De modo selectivo, permiten o
bloquean ciertos tipos de paquetes de acuerdo a una política de seguridad. El tipo
de router que se usa en el filtrado de paquetes se conoce con el nombre de
screening router.
Ventajas:
Inconvenientes:
ü Al procesarse los paquetes de forma independiente, no se guarda ninguna
información de contexto (no se almacenan históricos de cada paquete), ni se puede
analizar a nivel de capa de aplicación, dado que está implementado en los routers.
ü Son difíciles de seguir en ejecución
Los cortafuegos permisivos son los que por defecto dejan circular todo el tráfico y
prohíben sólo cierto tipo de comunicaciones que se considera peligrosa. Los
cortafuegos restrictivos hacen justo lo contrario: por defecto no dejan circular ningún
tipo de tráfico excepto el que se considera seguro. Los cortafuegos restrictivos son
mucho más difíciles de programar aunque también son mucho más seguros.
#!/bin/bash
# reglas de entrada
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
Este cortafuego permite la conexión desde el exterior a nuestro servidor SSH. Este
es otro ejemplo de cortafuegos basado en estado. Funciona porque deja pasar todo
paquete entrante que intente crear una nueva conexión con el puerto 22, el del
servidor SSH. En lugar del número 22 podríamos haber utilizado el nombre del
protocolo, SSH, tal y como aparecen listados en el fichero /etc/services. Para poder
utilizar esta forma de filtrado es necesario conocer cómo funciona el servicio o la
aplicación que deseamos permitir o limitar. De todas formas este ejemplo de
cortafuegos es bastante poco restrictivo puesto que deja salir todo el tráfico saliente
sin ninguna restricción. Podemos dejar pasar sólo las comunicaciones que tengan
que ver con el protocolo SSH y nada más de forma parecida a esta:
#!/bin/bash
# regla de entrada
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# regla de salida
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# regla de entrada
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # petición al servidor web
iptables -A INPUT -s 10.10.10.10 -j ACCEPT # administración (entrada)
# regla de salida
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # respuesta del servidor web
iptables -A OUTPUT -d 10.10.10.10 -j ACCEPT # administración (salida)
Este ejemplo tiene dos cosas interesantes: por una parte es muy estricto con el tipo
de tráfico que permite, al igual que el ejemplo anterior, sólo deja comunicaciones
entrantes con el servidor web a través del puerto 80. En cambio, deja abierto los
cortafuegos a cualquier tipo de comunicación con la máquina con dirección IP
10.10.10.10, que supondremos que es la dirección IP del ordenador del
administrador. Observe como curiosidad que la primera vez se utiliza como "-s
10.10.10.10" para permitir la entrada desde cierto origen y después "-d 10.10.10.10"
para establecer a la salida la misma máquina de destino.
4.1.5. IPtables. Cortafuego
En está situación iptables tiene tres reglas configuradas. Estas cadenas son las
cadenas principales de iptables, con un significado especial que se explica a
continuación.
INPUT. Esta cadena designa a todo paquete de red que tenga como dirección de
destino a la computadora local.
FORWARD. Esta cadena es utilizada en gran parte por sistemas que sirvan de
firewall para un segmento de red. Todo paquete de red que tenga como dirección
destino una computadora distinta del local es renviada.
OUTPUT. Se utiliza en ocasiones para contener o limitar los paquetes que pueden
salir de una computadora.
Cuando un paquete de red llega por el cable, Linux puede discriminar el paquete,
antes de ser procesador por un programa. Dependiendo de la situación, se ocupará
una de las tres cadenas principales antes listadas y se procesarán por los filtros
configurados. Se pueden crear cadenas de usuario que se agregan a la cadena
principal. Esto es útil para mejorar la configuración del firewall.
Se definirá que por defecto se confié en los paquetes generados por la computadora,
pero denegamos todo lo demás.
Referencia
http://geneura.ugr.es/~gustavo/cortafuegos/filtrado.html
Una VPN es una tecnología de red que permite una extensión de la red local sobre
una red pública o no controlada, como por ejemplo Internet.
Para hacerlo posible de manera segura es necesario proveer los medios para
garantizar la autenticación, integridad y confidencialidad de toda la comunicación:
Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel
de acceso debe tener.
Integridad: La garantía de que los datos enviados no han sido alterados. Para ello
se utiliza un metodo de comparación (Hash).Los algoritmos comunes de
comparacion son Message Digest(MD) y Secure Hash Algorithm (SHA).
Requerimientos Básicos
Codificación de Datos: Los datos que se van a transmitir a través de la red pública
(Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea
se realiza con algoritmos de cifrado como DES o 3DES.
Administración de claves: Las VPN's deben actualizar las claves de cifrado para los
usuarios.
Soporte a protocolos múltiples: Las VPN's deben manejar los protocolos comunes,
como son el Protocolo de Internet (IP), intercambio de paquetes interred (IPX), etc.
Tipos de VPN
Tunneling
¿Qué es el tunneling?
El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos,
es que cualquier persona que tenga acceso físico a la red en la que se sitúan
nuestras máquinas puede ver dichos datos. Es tan simple como utilizar un sniffer,
que básicamente, es una herramienta que pone nuestra tarjeta de red en modo
promiscuo (modo en el que las tarjetas de red operan aceptando todos los paquetes
que circulan por la red a la que se conectan, sean o no para esa tarjeta). De este
modo, alguien que conecte su máquina a una red y arranque un sniffer recibirá y
podrá analizar por tanto todos los paquetes que circulen por dicha red. Si alguno de
esos paquetes pertenece a un protocolo que envía sus comunicaciones en claro, y
contiene información sensible, dicha información se verá comprometida.
Una forma de evitar el problema que nos atañe, sin dejar por ello de utilizar todos
aquellos protocolos que carezcan de medios de cifrado, es usar una útil técnica
llamada tunneling. Básicamente, esta técnica consiste en abrir conexiones entre dos
máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell),
a través de las cuales realizaremos las transferencias inseguras, que pasarán de
este modo a ser seguras. De esta analogía viene el nombre de la técnica, siendo la
conexión segura (en este caso de ssh) el túnel por el cual enviamos nuestros datos
para que nadie más aparte de los interlocutores que se sitúan a cada extremo del
túnel, pueda ver dichos datos. Ni que decir tiene, que este tipo de técnica requiere
de forma imprescindible que tengamos una cuenta de acceso seguro en la máquina
con la que nos queremos comunicar.
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse
en una forma segura a un servidor corporativo remoto, mediante la infraestructura
de entubamiento que proporciona una red pública (como Internet).
Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la
computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la
red intermedia es irrelevante para el usuario, debido a que aparece enviando como
si los datos se estuvieran enviando sobre un enlace privado dedicado.
La tecnología VPN también permite que una compañía se conecte a las sucursales
o a otras compañías (extranets) sobre una red pública (como Internet), manteniendo
al mismo tiempo comunicaciones seguras.
La tecnología de la VPN está diseñada para tratar temas relacionados con la
tendencia actual de negocios hacia mayores telecomunicaciones, operaciones
globales ampliamente distribuidas y operaciones con una alta interdependencia de
socios, donde los trabajadores deben conectarse a recursos centrales y entre sí.
Bajo costo. Reduce el costo del servicio de comunicación o del ancho de banda de
transporte, y también el de la infraestructura y operación de las comunicaciones.
Características:
· Extiende la conectividad a proveedores y clientes
· Sobre una infraestructura compartida
· usando conexiones virtuales dedicadas
· Los pharters tienen diferentes niveles de autorización
· accses control lists, firewalls, filtros, según decida la empresa
TECNOLOGÍA DE LAS REDES PRIVADAS VIRTUALES
La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnología
para proteger la privacidad, mantener la calidad y confibilidad, y asegurar la
operatoria de la red en toda la empresa. Estos elementos son:
4.2.1.2 PPTP
PPTP (POINT – TO - POINT TUNNELING PROTOCOL)
Protocolo de túnel de punto a punto (PPTP): El PPTP es un protocolo de Nivel 2
que encapsula las tramas del PPP en datagramas del IP para transmisión sobre una
red IP, como la de Internet.El PPTP se documenta en el RFC preliminar, “Protocolo
de túnel de punto a punto”.
Este proyecto se presentó ante el IETF en junio de 1996 por parte de las compañías
miembros del Foro PPTP incluyendo Microsoft Corporation, Ascend
Communications,3Com/Primary Access, ECI Telematics y US Robotics (ahora
3Com).
Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para
mantenimiento del túnel y tramas del PPP encapsuladas de Encapsulación de
Enrutamiento Genérico (GRE) para datos de túnel (puerto 1723). Se pueden
encriptar y/o comprimir las cargas útiles de las tramas del PPP encapsulado.
Una vez que la conexión TCP está establecida, PPTP utiliza una serie de mensajes
de control para mantener la conexión VPN.
Algunos de estos mensajes son los siguientes: