CAPITULO 6: SERVICIOS DE

TRABAJADORES A DISTANCIA
6.3. Tecnologa VPN
6.3.1. Las redes VPN y sus beneficios
6.3.2. Tipos de VPN
6.3.3. Componentes de la VPN
6.3.4. Caractersticas de las VPN seguras
6.3.5. Tunneling de VPN
6.3.6. Integridad de datos VPN
6.3.7. Protocolos de seguridad IPsec

Alumno:
Martin Efrain
Jazo Guevara

6.3 Tecnologa VPN

6.3.1 Redes VPN y sus beneficios
Internet es una red de acceso pblico en todo el mundo. Debido a su amplia
proliferacin global, se ha convertido en una manera atractiva de interconectar
sitios remotos. El hecho de que sea una infraestructura pblica conlleva riesgos
de seguridad para las empresas y sus redes internas. La tecnologa VPN
permite que las organizaciones creen redes privadas en la infraestructura de
Internet pblica que mantienen la confidencialidad y la seguridad. Las
organizaciones usan las redes VPN para proporcionar una infraestructura WAN
virtual que conecta sucursales, oficinas domsticas, oficinas de socios
comerciales y trabajadores a distancia a toda la red corporativa o a parte de ella.
Para que permanezca privado, el trfico est encriptado. En vez de usar una
conexin de Capa 2 exclusiva, como una lnea alquilada, la VPN usa conexiones
virtuales que se enrutan a travs de Internet.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.1 Redes VPN y sus beneficios
LAN

Analoga: Cada LAN es una isla.

LAN
LAN

Beneficios:
Escalabilidad
Flexibilidad
Productividad
Seguridad (Encriptacin)
Econmicos

LAN

LAN

INTERNET

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.2 Tipos de VPN
Las organizaciones usan las VPN de sitio a sitio para conectar ubicaciones
remotas, tal como se usa una lnea alquilada o conexin Frame Relay. Debido a
que la mayora de las organizaciones ahora tiene acceso a Internet, es lgico
aprovechar los beneficios de las VPN de sitio a sitio.
Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden
conectar la red de una sucursal a la red de la sede central corporativa.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.2 Tipos de VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.3 Componentes de VPN
Las VPN usan protocolos de tunneling criptogrficos para brindar proteccin
contra detectores de paquetes, autenticacin de emisores e integracin de
mensajes.

Los componentes necesarios para establecer una VPN incluyen lo siguiente:

Una red existente con servidores y estaciones de trabajo
Una conexin a Internet
Gateways VPN, como routers, firewalls, concentradores VPN y ASA, que
actan como extremos para establecer, administrar y controlar las conexiones
VPN
Software adecuado para crear y administrar tneles VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.3 Componentes de VPN
La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos
mediante encapsulacin o encriptacin. La mayora de las VPN puede hacer
las dos cosas.

o La encapsulacin tambin se denomina tunneling, porque transmite datos de

manera transparente de red a red a travs de una infraestructura de red
compartida.
o La encriptacin codifica los datos en un formato diferente mediante una clave
secreta.
o La decodificacin vuelve los datos encriptados al formato original sin
encriptar.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.3 Componentes de VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.4 Caractersticas de las VPN seguras
Las VPN utilizan tcnicas de encriptacin avanzada y tunneling para permitir que
las conexiones de red privadas de extremo a extremo que establezcan las
organizaciones a travs de Internet sean seguras.

Las bases de una VPN segura son:

o La confidencialidad
o La integridad de datos
o La autenticacin:

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.4 Caractersticas de las VPN seguras
Confidencialidad de datos: una cuestin de seguridad que suele despertar
preocupacin es la proteccin de datos contra personas que puedan ver o
escuchar subrepticiamente informacin confidencial. La confidencialidad de
datos, que es una funcin de diseo, tiene el objetivo de proteger los contenidos
de los mensajes contra la intercepcin de fuentes no autenticadas o no
autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de
encapsulacin y encriptacin.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.4 Caractersticas de las VPN seguras
Integridad de datos: los receptores no tienen control sobre la ruta por la que han
viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los
datos mientras viajaban por Internet. Siempre existe la posibilidad de que los
datos hayan sido modificados. La integridad de datos garantiza que no se
realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el
origen al destino. Generalmente, las VPN utilizan hashes para garantizar la
integridad de los datos. El hash es como una checksum o un sello (pero ms
robusto) que garantiza que nadie haya ledo el contenido.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.4 Caractersticas de las VPN seguras
Autenticacin: la autenticacin garantiza que el mensaje provenga de un origen
autntico y se dirija a un destino autntico. La identificacin de usuarios brinda al
usuario la seguridad de que la persona con quien se comunica es quien cree
que es. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas
inteligentes y biomtricas para establecer la identidad de las partes ubicadas en
el otro extremo de la red.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.4 Caractersticas de las VPN seguras

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.5 Tunneling de VPN
El tunneling permite el uso de redes pblicas como Internet para transportar
datos para usuarios, siempre que los usuarios tengan acceso a una red privada.
El tunneling encapsula un paquete entero dentro de otro paquete y enva por
una red el nuevo paquete compuesto.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.5 Tunneling de VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Si por Internet pblica se transporta texto sin formato, puede ser interceptado y
ledo. Para mantener la privacidad de los datos, es necesario encriptarlos. La
encriptacin VPN encripta los datos y los vuelve ilegibles para los receptores no
autorizados.
Para que la encriptacin funcione, tanto el emisor como el receptor deben
conocer las reglas que se utilizan para transformar el mensaje original en la
versin codificada. Las reglas de encriptacin de la VPN incluyen un algoritmo y
una clave. Un algoritmo es una funcin matemtica que combina mensaje, texto,
dgitos o los tres con una clave. El resultado es una cadena de cifrado ilegible. El
descifrado es extremadamente difcil o imposible sin la clave correcta.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Algunos de los algoritmos de encriptacin ms comunes y la longitud de claves que se
utilizan son los siguientes:
Algoritmo Estndar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza una
clave de 56 bits para garantizar una encriptacin de alto rendimiento. El DES es un
sistema de encriptacin de clave simtrica.
Algoritmo Triple DES (3DES): una variante ms reciente del DES que realiza la
encriptacin con una clave, descifra con otra clave y realiza la encriptacin por ltima vez
con otra clave tambin diferente. 3DES le proporciona mucha ms fuerza al proceso de
encriptacin.
Estndar de encriptacin avanzada (AES): el Instituto Nacional de Normas y Tecnologa
(NIST) adopt el AES para reemplazar la encriptacin DES en los dispositivos
criptogrficos. AES proporciona ms seguridad que DES y es ms eficaz en cuanto a su
clculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256
bits.
Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave asimtrica. Las claves
utilizan una longitud de bits de 512, 768, 1024 o superior.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Encriptacin simtrica
Los dos equipos deben conocer la clave para decodificar la informacin. Con la
encriptacin de clave simtrica, tambin llamada encriptacin de clave secreta, cada
equipo encripta la informacin antes de enviarla por la red al otro equipo. La encriptacin
de clave simtrica requiere el conocimiento de los equipos que se comunicarn para poder
configurar la misma clave en cada uno.
Ejemplo:

Palabra SECRETO
Palabra clave saltar 2
Codificado UGETGVQ

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Encriptacin asimtrica
Utiliza diferentes claves para la encriptacin y el descifrado. El conocimiento de una de las
claves no es suficiente para que un pirata informtico deduzca la segunda clave y
decodifique la informacin. Una clave realiza la encriptacin del mensaje y otra, el
descifrado. No es posible realizar ambos con la misma clave.
Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan
que personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin
denominado message digest, es un nmero generado a partir de una cadena de texto. El
hash es menor que el texto. Se genera mediante una frmula, de forma tal que es
extremadamente improbable que otro texto produzca el mismo valor de hash.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Encriptacin asimtrica
El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El
receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y
compara los dos hashes. Si son iguales, puede estar seguro de que la integridad del
mensaje no ha sido afectada.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Las VPN utilizan un cdigo de autenticacin de mensajes para verificar la integridad y la
autenticidad de un mensaje, sin utilizar mecanismos adicionales. Un cdigo de
autenticacin de mensajes de hash (HMAC) en clave es un algoritmo de integridad de
datos que garantiza la integridad del mensaje.
El HMAC tiene dos parmetros: un mensaje de entrada y una clave secreta que slo
conocen el creador del mensaje y los receptores adecuados. El emisor del mensaje utiliza
una funcin HMAC para producir un valor (el cdigo de autenticacin del mensaje) que se
forma al condensar la clave secreta y el mensaje de entrada. El cdigo de autenticacin
del mensaje se enva junto con el mensaje.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Hay dos algoritmos HMAC comunes:
o Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje
de longitud variable y la clave secreta compartida de 128 bits se combinan y se
ejecutan mediante el algoritmo de hash HMACMD5. El resultado es un hash de 128
bits. El hash se agrega al mensaje original y se enva al extremo remoto.
o Algoritmo de hash seguro 1 (SHA1): utiliza una clave secreta de 160 bits. El mensaje
de longitud variable y la clave secreta compartida de 160 bits se combinan y se
ejecutan mediante el algoritmo de hash HMACSHA1. El resultado es un hash de 160
bits. El hash se agrega al mensaje original y se enva al extremo remoto.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.6 Integridad de datos VPN
Hay dos mtodos pares de autenticacin:
o Clave compartida previamente (PSK): una clave secreta compartida entre dos partes
que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan
algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par
manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina
con otra informacin para formar la clave de autenticacin.
o Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El
dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado
(firma digital) se adjunta al mensaje y se enva al extremo remoto. En el extremo
remoto, el hash encriptado se descifra mediante la clave pblica del extremo local. Si el
hash descifrado coincide con el hash recalculado, la firma es verdadera.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec

El IPsec es un conjunto de protocolos para la seguridad de las

comunicaciones IP que proporciona encriptacin, integridad y
autenticacin. IPsec ingresa el mensaje necesario para proteger las
comunicaciones VPN, pero se basa en algoritmos existentes.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec
Existen dos protocolos de estructura IPsec.
o Encabezado de autenticacin (AH): se utiliza cuando no se requiere o no se permite la
confidencialidad. AH proporciona la autenticacin y la integridad de datos para
paquetes IP intercambiados entre dos sistemas. AH no proporciona la confidencialidad
de datos (encriptacin) de los paquetes. Si se lo utiliza solo, el protocolo AH
proporciona poca proteccin. Por lo tanto, se lo utiliza junto con el protocolo ESP para
brindar las funciones de seguridad de la encriptacin de los datos y el alerta contra
alteraciones.
o Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y
autenticacin mediante la encriptacin del paquete IP. La encriptacin del paquete IP
oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP
interno y el encabezado ESP. La autenticacin proporciona autenticacin del origen de
datos e integridad de datos. Aunque tanto la encriptacin como la autenticacin son
opcionales en ESP, debe seleccionar una como mnimo.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec
Algunos de los algoritmos estndar que utiliza IPsec son:
o DES: encripta y descifra los datos del paquete.
o 3DES: proporciona una fuerza de encriptacin importante superior al DES de 56 bits.
o AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte segn la
longitud de la clave utilizada.
o MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits.
o SHA1: autentica datos de paquetes con una clave secreta compartida de 160 bits.
o DH: permite que dos partes establezcan una clave secreta compartida mediante la
encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de
comunicaciones no seguro.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec
Existen cuatro apartados de estructura IPsec que deben completarse.
o Cuando configura un gateway de IPsec para proporcionar servicios de seguridad,
primero elija un protocolo IPsec. Las opciones son ESP o ESP con AH.
o El segundo apartado es un algoritmo de encriptacin si IPsec se implementa con ESP.
Seleccione el algoritmo de encriptacin adecuado para el nivel de seguridad deseado:
DES, 3DES o AES.
o El tercer apartado es la autenticacin. Seleccione un algoritmo de autenticacin para
proporcionar la integridad de los datos: MD5 o SHA.
o El ltimo apartado es el grupo de algoritmos DiffieHellman (DH). Establece que los
pares compartan la informacin de clave. Seleccione el grupo que desea utilizar: DH1 o
DH2.

{ # Efrain Jazo }

6.3 Tecnologa VPN

6.3.7 Protocolos de seguridad IPsec

{ # Efrain Jazo }