VPN: Virtual Private Network Red Privada Virtual

VPN = “Virtual Private Network” o Red Privada Virtual [endif]

Utilizar una infraestructura pública compartida para ofrecerle a un cliente las facilidades y ventajas de una red privada.

VPN a pesar de usar un medio publico para conectarse a la red local, ya sea internet o una red no controlada, esta funciona mediante usuarios que envían su información por protocolos de encriptación. Además todo usuario deberá ser creado con una contraseña para poder hacer uso de esta y conectarse a la red local deseada.

Características de las VPN:

•Se requiere de un encapsulado capaz de proveernos de:

–Autenticación

•Usuario

•Equipo

•Datos

–Compresión de datos

–Cifrado de datos

–Direccionamiento dinámico

–Resolución de nombres

–Gestión de claves

–Soporte Multiprotocolo (IP, IPX, etc…)

Encapsulado:

•Poner un paquete dentro de otro

•Se encapsulan o envuelven los datos con otra cabecera con información de enrutamiento para que puedan atravesar una red publica hasta su destino.

•Puede encapsularse trafico a dos niveles del modelo OSI.

–Nivel 2: encapsulan tramas al nivel de conexión

•PPTP

•L2F

•L2TP

–Nivel 3: encapsulan paquetes al nivel de red

•IPSEC

Protocolos de encapsulado Nivel 2:

•Point to Point Tunneling Protocol (PPTP)

–Microsoft, Ascend, otros..

•Layer Two Forwarding (L2F)

–Propuesto por Cisco

•Layer Two Tunneling Protocol (L2TP)

–Unifica PPTP y L2F en un único estándar para VPN

Microsoft y las VPN:

PPP: Protocolo punto a punto:

•Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.

•Encapsula Paquetes IP

•Cuatro fases en la negociación de la conexión:

1.Establecimiento de la conexión (LCP)

2.Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)

3.Control de devolución de llamada (CBCP)

4.Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

•Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4.

•PPTP

–Desarrollado por Microsoft, es un estándar de facto

–Esta ampliamente implementado y existen varias implementaciones compatibles

–Suficientemente seguro para casi todas las aplicaciones

•L2TP

–Estándar de la “Internet Engineering Task Force” (IETF)

–Unión

–Algunos problemas de interoperabilidad.

•Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

PPTP:

•Proporciona Tunelizado a las tramas PPP.

•Utiliza la seguridad de PPP para asegurar las comunicación sobre el túnel.

–Autenticación de usuario PPP (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)

–Confidencialidad y cifrado PPP (MPPE). RC4 con claves de 40 o 128 bits.

PPTP-Tipos de Tramas:

Control

1.Creación de un control de conexión PPTP

•Conexión lógica que representa el túnel PPTP.

•El servidor utiliza el puerto TCP 1723 y el cliente un puerto dinámico.

•Determina los ID de la cabecera GRE entre cliente y servidor que identifican el túnel PPTP específico.

2.Mantenimiento del control de conexión PPTP

3.Finalización del control de conexión PPTP

Datos

•Encapsulado y transmisión de datos PPP mediante (GRE). Generic Routing Encapsulation

L2TP:

•Combina PPTP y L2F en un único estándar para VPN propuesto por la IETF

–Encapsula tramas PPP que pueden ser enviadas a través de IP, X.25, Frame Relay o ATM

–El estándar permite que se pueda utilizar la seguridad de PPP para asegurar las comunicación sobre el túnel.

•Autenticación PPP

•Confidencialidad y cifrado PPP (MPPE)

•La Implementación de Microsoft, no utiliza PPP para asegurar las comunicaciones. Utiliza IPSEC, lo que da lugar a L2TP/IPSec.

L2TP/IPSec:

•Encapsulado L2TP de la trama PPP

•Encapsualdo IPSec del mensaje L2TP

•Cifrado IPSEc del contenido de los paquetes L2TP

•De los protocolos de IPSec (AH y ESP) se utiliza ESP (Encapsulating Security Payload)

L2TP/IPSec: Fases:

1.Negociación de las SA de IPSec para el trafico L2TP

•SA en modo principal

•Autenticación IPSec

•SA en modo secundario

•Se establece el nivel y modo de cifrado de los datos.

2.Negociación de la Conexión L2TP

•Se establece el control de conexión y la sesión L2TP

3.Negociación de la Conexión PPP

•Establecimiento de la conexión (LCP)

•Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)

•Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

Autenticación:

•PPTP

–Autenticación a nivel de Usuario proporcionada por PPP

•L2TP/IPSec

–Autenticación a nivel de Usuario proporcionada por PPP

–Autenticación a nivel de máquina proporcionada por IPSec

•Claves preestablecidas (No recomendado)

•Certificados Digitales de máquina.

Metodos de Autenticación NO RECOMENDADOS:

•Password Authentication Protocol (PAP)

–Envía la password en texto claro.

–NO RECOMEDADO

•Shiva Password Authentication Protocol (SPAP)

–Utiliza cifrado reversible

–NO RECOMNDADO

•Challenge Handshake Authentication Protocol (CHAP)

–Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta

–Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC)

–NO RECOMENDADO

•MS-CHAP

–Existen debilidades conocidas NO RECOMENDADO.

Metodos de Autenticación RECOMENDADO:

•MS-CHAP v2

–Versión mejorada de MS-CHAP

–Usada frecuentemente

–Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP

–Recomendada cuando no es posible implementar EAP-TLS

•EAP

–Extensible Authentication Protocol

–Soporta varios tipos de Autenticación

•EAP-MD5: Desafió/Respuesta. No muy seguro.

•EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards

•EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS

–El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

•PEAP: Protected EAP

–Proteje las negociaciones EAP envolviendolas con TLS

–Se usa solo para conexiones wireless 802.11

•Soporta reconexiones rapidas para entornos grandes con roaming

–Puede usar PEAP plus

•EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.

•EAP-TLS: Muy seguro; requiere una infraestructura PKI.