Diapositivas para la disertación privada de una tesis cuyo tema versa sobre un Servidor de Redes Privadas Virtuales implementado con el software OpenVPN
1. UNIVERSIDAD NACIONAL DE LOJA
Área de la Energía, las Industrias y los Recursos Naturales no Renovables
Ingeniería en Sistemas
“IMPLEMENTACION DE UN SERVIDOR VPN QUE PERMITA LA
MOVILIDAD DE USUARIOS DE LA RED DE DATOS DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SU INTEGRACIÓN CON
EL SERVIDOR DE VoIP. “
Marco Xavier Rojas Vivanco
Manuel Agustín Valarezo Salinas
2. INTRODUCCIÓN
El presente proyecto de desarrollo ha sido efectuado en vista a la
eminente demanda de tecnología y soluciones
informáticas, enfocadas al máximo aprovechamiento de los
recursos y servicios que brinda la red de datos de la Universidad
Nacional de Loja y a la implementación de un servidor de Redes
Privadas Virtuales (VPN´s) como una herramienta fundamental
para lograr el acceso a la red con las seguridades suficientes como
para garantizar la integridad de datos y así mismo certificar que
éstos no puedan ser vulnerados.
SERVIDOR VPN
3. OBJETIVOS
OBJETIVO GENERAL
Implementar un servidor VPN que permita el acceso de
usuarios externos a la red de datos de la Universidad
Nacional de Loja y el uso de telefonía IP.
SERVIDOR VPN
4. OBJETIVOS
OBJETIVO GENERAL
Implementar un servidor VPN que permita el acceso de
usuarios externos a la red de datos de la Universidad
Nacional de Loja y el uso de telefonía IP.
OBJETIVOS ESPECÍFICOS
* Realizar un estudio que permita el conocimiento de
conceptos, requerimientos, tipos de red privada virtual
(VPN).
SERVIDOR VPN
5. OBJETIVOS
OBJETIVO GENERAL
Implementar un servidor VPN que permita el acceso de
usuarios externos a la red de datos de la Universidad
Nacional de Loja y el uso de telefonía IP.
OBJETIVOS ESPECÍFICOS
* Realizar un estudio comparativo de las diferentes
tecnologías que se pueden utilizar para implementar un
servidor VPN y, seleccionar la tecnología que mejor se
adapte a las condiciones de la red de datos de la
Universidad Nacional de Loja.
SERVIDOR VPN
6. OBJETIVOS
OBJETIVO GENERAL
Implementar un servidor VPN que permita el acceso de
usuarios externos a la red de datos de la Universidad
Nacional de Loja y el uso de telefonía IP.
OBJETIVOS ESPECÍFICOS
* Obtener, Instalar y Configurar el software para que
cumpla con la función de servidor VPN y, configurar clientes
VPN.
SERVIDOR VPN
7. OBJETIVOS
OBJETIVO GENERAL
Implementar un servidor VPN que permita el acceso de
usuarios externos a la red de datos de la Universidad
Nacional de Loja y el uso de telefonía IP.
OBJETIVOS ESPECÍFICOS
* Lograr que cinco clientes VPN puedan ser autenticados
en el servidor de Voz sobre IP para que puedan hacer uso
del servicio de Telefonía IP.
SERVIDOR VPN
8. METODOLOGÍA
Según Carlos Sabino en su libro “El Proceso de Investigación”
existen cuatro momentos en una investigación, los cuales hemos
aplicado en nuestro proyecto de desarrollo:
1 LÓGICO
Se ordenan las preguntas, se organiza la información, se
definen los sujetos y objetos.
Aplicado principalmente al momento de realizar el análisis
de los componentes activos de la red de datos universitaria.
SERVIDOR VPN
9. METODOLOGÍA
Según Carlos Sabino en su libro “El Proceso de Investigación”
existen cuatro momentos en una investigación, los cuales hemos
aplicado en nuestra investigación:
2 METODOLÓGICO
Se fijan las estrategias y formula un modelo operativo.
Utilizado en el momento de obtener, instalar y configurar el
software que cumpla como servidor VPN
SERVIDOR VPN
10. METODOLOGÍA
Según Carlos Sabino en su libro “El Proceso de Investigación”
existen cuatro momentos en una investigación, los cuales hemos
aplicado en nuestra investigación:
3 TÉCNICO
Se recolecta y organiza la información.
Necesario al momento de realizar las comparaciones entre
las diferentes tecnológias existentes para dar
cumplimiento con el objetivo general.
SERVIDOR VPN
11. METODOLOGÍA
Según Carlos Sabino en su libro “El Proceso de Investigación”
existen cuatro momentos en una investigación, los cuales hemos
aplicado en nuestra investigación:
4 ANÁLISIS Y REFORMULACIÓN TEÓRICA
Se analizan los resultados, se aceptan o rechazan las
hipótesis y se confirma las teorías.
Momento aplicado para la elaboración del documento de
tésis.
SERVIDOR VPN
13. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
INTRODUCCIÓN SERVICIOS
La Universidad Nacional de Loja se ha visto inmersa en procesos de
modernización tanto en su estructura organizacional como en el
soporte tecnológico a las diferentes actividades académico
administrativas, lo que ha dado paso a la implementación de una
red de datos que permite la comunicación de los usuarios, así
como la necesidad de estar inmersos en el mundo de la
información global como Internet.
Teniendo en cuenta la necesidad de comunicación de los usuarios
el presente proyecto propone la implementación de un servidor
de redes privadas virtuales.
SERVIDOR VPN
14. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ADMINISTRACIÓN CENTRAL SERVICIOS
La Jefatura de Informática es el punto central de la red
universitaria.
Elementos activos principales:
1 Router Cisco 1800
1 Switch D-Link, Gigabit
1 Switch D-Link des-1016r
1 Switch principal Intel Express 410T Standalone
1 Firewall
1 Servidor Web
1 Servidor de Correo
1 Servidor de Telfonía IP
1 Servidor DHCP
SERVIDOR VPN
15. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ADMINISTRACIÓN CENTRAL SERVICIOS
La Jefatura de Informática es el punto central de la red
universitaria.
Elementos activos secundarios:
1 Switch catalyst 2950
1 Switch 3com 3300
2 Switch des – 3624
1 Transaiver mc102xl fast Ethernet media converter
2 Transaiver d-link def-855
SERVIDOR VPN
16. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA AGROPECUARIA SERVICIOS
Y RECURSOS NATURALES RENOVABLES
La interconexión con esta área es por intermedio de fibra óptica
1 caja multimedia
1 transaiver d-link def-855
1 Switch 3Com
1 switch D-link de 16 puertos (Switch Principal).
1 servidor Proxy
SERVIDOR VPN
17. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA DE ENERGÍA, SERVICIOS
LAS INDUSTRIAS Y LOS RECURSOS NATURALES NO RENOVABLES
La conexión hacia ésta área es por medio de hilos de cobre
1 Modem Cisco – 673
1 servidor Proxy
SERVIDOR VPN
18. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA DE EDUCACIÓN, SERVICIOS
ARTE Y COMUNICACIÓN
La interconexión con esta área es por intermedio de fibra óptica
Biblioteca del Área Educativa:
2 Cajas multimedia
2 Un transaiver d-link def-855
1 switch D-Link de 8 puertos
1 Switch 3Com de 16 puertos (Switch Principal)
1 Servidor Proxy
SERVIDOR VPN
19. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA DE EDUCACIÓN, SERVICIOS
ARTE Y COMUNICACIÓN
La interconexión con esta área es por intermedio de fibra óptica
Centro de Cómputo del Área Educativa:
3 cajas multimedia donde llega la fibra óptica
1 transaiver d-link def-855
1 switch D-Link de 8 puertos (Switch Principal)
SERVIDOR VPN
20. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA JURÍDICA SERVICIOS
SOCIAL Y ADMINISTRATIVA
La interconexión con esta área es por intermedio de fibra óptica
Biblioteca del Área Jurídica:
1 caja multimedia
2 transaiver D-Link def-855
1 switch D-Link
1 Servidor Proxy
SERVIDOR VPN
21. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA JURÍDICA SERVICIOS
SOCIAL Y ADMINISTRATIVA
La interconexión con esta área es por intermedio de fibra óptica
Nivel de Postgrado del Área Jurídica, Social y Administrativa
2 cajas multimedia donde llega la fibra óptica.
1 transaiver d-link def-855
1 Switch D-Link
SERVIDOR VPN
22. FUNDAMENTACIÓN TEÓRICA
DESCRIPCIÓN DE LA RED INTERNA DE LA
UNIVERSIDAD NACIONAL DE LOJA Y SUS
ÁREA DE LA SALUD HUMANA SERVICIOS
Con el área de la Salud Humana se tiene una conexión inalámbrica
2 BackHoul Canopy
1 switch 3Com (Switch Principal)
1 Servidor Proxy
SERVIDOR VPN
24. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
INTRODUCCIÓN
La Red Privada Virtual (RPV), en inglés Virtual Private Network
(VPN), es una tecnología de red que permite una extensión de la
red local sobre una red pública o no controlada , como por ejemplo
Internet.
Las VPN’s representan una enorme ventaja de negocios para las
empresas. Una VPN ayuda a las empresas a reducir costos de
capital y operación ya que convergen redes tradicionales
heterogéneas en una VPN, y aumentan la productividad
soportando aplicaciones como VoIP, mensajería
unificada, videoconferencias, y aplicaciones de servicio para los
clientes.
SERVIDOR VPN
25. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
INTRODUCCIÓN
Topología de una Red Privada Virtual
SERVIDOR VPN
26. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Definición
Una VPN es una red privada desplegada sobre una infraestructura
pública compartida que proporciona niveles de
privacidad, seguridad, QoS, y administración en forma similar a
las redes construidas sobre instalaciones dedicadas, arrendadas o
que son propiedad privada.
SERVIDOR VPN
27. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Arquitecturas de conexión VPN:
VPN de sitio-a-sitio
Conectan las instalaciones de la oficina central y de las
sucursales sobre una infraestructura compartida de un
proveedor de servicios o a través de Internet utilizando una
conexión siempre activa
SERVIDOR VPN
28. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Arquitecturas de conexión VPN:
VPN de acceso remoto
Consiste en usuarios o proveedores que se conectan con la
empresa desde sitios remotos (oficinas comerciales,
domicilios, hoteles, aviones preparados, etcétera)
utilizando Internet como vínculo de acceso.
SERVIDOR VPN
29. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Requisitos básicos de una VPN
AUTENTIFICACIÓN DE USUARIOS
Verificar la identidad de los usuarios, para poder restringir
el acceso a la VPN solo a los usuarios autorizados.
SERVIDOR VPN
30. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Requisitos básicos de una VPN
AUTENTIFICACIÓN DE USUARIOS
ADMINISTRACIÓN DE DIRECCIONES
Debe asignar una dirección del cliente sobre la red privada,
y asegurar que las direcciones privadas se mantienen
privadas.
SERVIDOR VPN
31. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Requisitos básicos de una VPN
AUTENTIFICACIÓN DE USUARIOS
ADMINISTRACIÓN DE DIRECCIONES
ENCRIPTACIÓN DE DATOS
los datos que viajan por la red pública, deben ser
transformados para que sean ilegibles para los usuarios no
autorizados.
SERVIDOR VPN
32. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Requisitos básicos de una VPN
AUTENTIFICACIÓN DE USUARIOS
ADMINISTRACIÓN DE DIRECCIONES
ENCRIPTACIÓN DE DATOS
ADMINISTRACIÓN DE CLAVES
Debe mantener un almacenamiento de claves de
encriptación para los clientes y los servidores.
SERVIDOR VPN
33. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Requisitos básicos de una VPN
AUTENTIFICACIÓN DE USUARIOS
ADMINISTRACIÓN DE DIRECCIONES
ENCRIPTACIÓN DE DATOS
ADMINISTRACIÓN DE CLAVES
SOPORTE MULTIPROTOCOLO
Capaz de manejar protocolos comunes, usando las red
pública, por ejemplo IPX, IP, etc.
SERVIDOR VPN
34. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos
Han sido implementados varios protocolos de red para el uso de
las VPN. Estos protocolos continúan compitiendo por la
aceptación, ya que ninguno de ellos ha sido más admitido que
otro.
SERVIDOR VPN
35. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos
Han sido implementados varios protocolos de red para el uso de
las VPN. Estos protocolos continúan compitiendo por la
aceptación, ya que ninguno de ellos ha sido más admitido que
otro.
Point-to-Point Tunneling Protocol (PPTP)
Layer Two Tunneling Protocol (L2TP)
Internet Protocol Security (Ipsec)
VPN SSL
SERVIDOR VPN
36. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
El PPTP es un protocolo de Nivel 2 que encapsula las tramas
del PPP en datagramas del IP para transmisión sobre una
red IP, como la de Internet. También se puede utilizar el
PPTP en una red privada de LAN a LAN.
Protocolo de túnel de punto a punto (PPTP) utiliza una
conexión TCP para mantenimiento del túnel y tramas del
PPP encapsuladas por medio de Encapsulación de
enrutamiento genérico (GRE) para datos de túnel.
SERVIDOR VPN
37. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
Se pueden encriptar y/o comprimir las cargas útiles de las
tramas del PPP encapsulado.
SERVIDOR VPN
38. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
SERVIDOR VPN
39. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
LAYER TWO TUNNELING PROTOCOL (L2TP)
L2TP es una combinación del PPTP y L2F. Sus diseñadores
esperan que el L2TP represente las mejores funciones del
PPTP y L2F.
L2TP es un protocolo de red que encapsula las tramas del
PPP que se enviarán sobre redes IP, X.25, Frame Relay o
modo de transferencia asíncrona (ATM).
SERVIDOR VPN
40. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
LAYER TWO TUNNELING PROTOCOL (L2TP)
Cuando está configurado para utilizar al IP como su
transporte de datagrama, L2TP se puede utilizar como un
protocolo de túnel sobre Internet.
El L2TP también utiliza UDP para enviar tramas del PPP
encapsuladas del L2TP como los datos enviados por el
túnel.
SERVIDOR VPN
41. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 2
LAYER TWO TUNNELING PROTOCOL (L2TP)
SERVIDOR VPN
42. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Modo del túnel de seguridad de protocolo para Internet
(IPsec)
El IPSec es un estándar de protocolo de Nivel 3 que da
soporte a la transferencia protegida de información a través
de una red IP
SERVIDOR VPN
43. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Un túnel IPSec consiste en un cliente de túnel y un servidor
de túnel, ambos configurados para utilizar los túneles IPSec
y un mecanismo negociado de encriptación.
El modo del túnel del IPSec utiliza el método de seguridad
negociada (de existir) para encapsular y encriptar todos los
paquetes IP para una transferencia segura a través de una
red privada o pública IP.
SERVIDOR VPN
44. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Tiene algunas limitaciones y funciones:
* Sólo da soporte a tráfico IP
* Funciona en el fondo de la pila IP
* Controlado por una política de seguridad
* Espera la existencia de tráfico.
SERVIDOR VPN
45. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Seguridad
La IPSec define dos funciones que aseguran la
confidencialidad: encriptación de datos e integridad de
datos:
SERVIDOR VPN
46. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Seguridad
* Encabezado de autenticación (AH)
Para proporcionar la autenticación e integridad de la
fuente sin encriptación.
SERVIDOR VPN
47. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Seguridad
* Carga útil de seguridad encapsulada (ESP)
Para proporcionar la autenticación y la integridad
junto con la encriptación
SERVIDOR VPN
48. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 3
INTERNET PROTOCOL SECURITY (IPSEC)
Seguridad
Con la Seguridad IP, sólo el remitente y el receptor conocen
las llaves de seguridad.
Si los datos de autenticación son válidos, el receptor sabe
que la comunicación provino del remitente, y que no se
cambió en su tránsito.
SERVIDOR VPN
49. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Protocolos implementados sobre capa 7
Es posible establecer túneles en la capa de aplicación .
Algunas soluciones son SSL6 y TLS7.
El usuario accede a la VPN de la organización a través de un
browser iniciando la conexión en un sitio web seguro (HTTPS-
Secured website).
La seguridad es lograda mediante cifrado del tráfico usando
mecanismos SSL/TLS.
SERVIDOR VPN
50. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Implementación OpenVPN
OpenVPN es una excelente nueva solución para VPN que
implementa conexiones de capa 2 o 3, usa los estándares de la
industria SSL/TLS para cifrar y combina todos las características
mencionadas anteriormente en las otras soluciones VPN.
Su principal desventaja por el momento es que hay muy pocos
fabricantes de hardware que lo integren en sus soluciones.
SERVIDOR VPN
51. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Clientes y Servidor VPN
SERVIDOR
Un servidor VPN debe estar siempre conectado y
esperando a que clientes VPN se conecten a él.
SERVIDOR VPN
52. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Cliente y Servidor en una VPN
SERVIDOR
Un servidor VPN debe estar siempre conectado y
esperando a que clientes VPN se conecten a él.
CLIENTE
Un Cliente VPN es en la mayoría de los casos un
componente software
Un cliente realiza una llamada al servidor y se conecta.
SERVIDOR VPN
53. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Ventajas y Desventajas
VENTAJAS
* Bajo coste de implementación de una VPN
* Escalabilidad de las VPN
SERVIDOR VPN
54. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Ventajas y Desventajas
VENTAJAS
DESVENTAJAS
* Una VPN requiere conocimientos de seguridad en redes
* Dependen de un área externa a la organización y sus
políticas de seguridad
* Las diferentes tecnologías VPN no podrían trabajar bien
juntas
* Las VPN`s necesitan diferentes protocolos que los de IP
SERVIDOR VPN
55. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Seguridad con VPN
Uno de los sistemas más utilizados por las empresas para
garantizar el secreto de las comunicaciones con empleados
remotos son las Redes privadas virtuales.
VPN tiene dos modos considerados seguros, uno basado en claves
estáticas precompartidas y otro en SSL/TLS usando certificados y
claves RSA.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las
claves estáticas cuentan con la ventaja de la simplicidad.
SERVIDOR VPN
56. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN SIMÉTRICA (Claves pre-compartidas)
Ambos lados usan la misma clave para encriptar y
desencriptar los datos.
Cualquiera que posea la clave podrá desencriptar el
tráfico, por lo que si un atacante la obtuviese
comprometería el tráfico completo de la organización ya
que tomaría parte como un integrante más de la VPN
SERVIDOR VPN
57. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN SIMÉTRICA (Claves pre-compartidas)
SERVIDOR VPN
58. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)
SSL/TLS usa una de las mejores tecnologías de encriptación
para asegurar la identidad de los integrantes de la VPN.
Cada cliente tiene 2 claves: 1 pública y 1 privada.
La pública es distribuida y usada por cualquiera para
encriptar los datos que serán enviados.
La privada es la única que sirve para desencriptar los datos.
SERVIDOR VPN
59. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)
SERVIDOR VPN
60. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)
Secure Sockets Layer (SSL) -- Protocolo de Capa de
Conexión Segura -- y Transport Layer Security (TLS)--
Seguridad de la Capa de Transporte--, su sucesor, son
protocolos criptográficos que proporcionan
comunicaciones seguras por una red, comúnmente
Internet.
SERVIDOR VPN
61. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)
SSL proporciona autenticación y privacidad de la
información entre extremos sobre Internet mediante el uso
de criptografía.
SSL implica una serie de fases básicas:
* Negociar entre las partes el algoritmo que se usará en la
comunicación
SERVIDOR VPN
62. FUNDAMENTACIÓN TEÓRICA
RED PRIVADA VIRTUAL
RED PRIVADA VIRTUAL
Encriptación de Tráfico
ENCRIPTACIÓN ASIMÉTRICA (SSL/TLS)
SSL proporciona autenticación y privacidad de la
información entre extremos sobre Internet mediante el uso
de criptografía.
SSL implica una serie de fases básicas:
* Intercambio de claves públicas y autenticación basada en
certificados digitales.
* Cifrado del tráfico basado en cifrado simétrico.
SERVIDOR VPN
63. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Introducción
OpenVPN, es un excelente producto de software creado por James
Yonan en el año 2001 y que ha estado siendo mejorado desde
entonces.
OpenVPN es una solución de conectividad basada en software: SSL
(Secure Sockets Layer) VPN Virtual Private Network (red virtual
privada).
Está publicado bajo la licencia GPL, de software libre.
SERVIDOR VPN
64. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Ventajas / Desventajas
VENTAJAS
* OpenVPN provee seguridad, estabilidad y comprobados
mecanismos de cifrado.
* Se puede implementar en capa 2 o 3.
* Protección de usuarios remotos.
* Conexión a través de casi cualquier firewall.
* Soporte para Proxy
* Sólo requiere un puerto
* Las interfaces virtuales permiten reglas de iptables
específicas.
SERVIDOR VPN
65. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Ventajas / Desventajas
VENTAJAS
* Alta flexibilidad y posibilidades de extensión mediante
scripting.
* Soporte transparentes par IP`s dinámicas.
* Compatibilidad con NAT
* Instalación y uso relativamente fácil.
SERVIDOR VPN
66. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Ventajas / Desventajas
DESVENTAJAS
* No tiene compatibilidad con IPsec
* Todavía existe poca gente que conoce cómo usar
OpenVPN
* Actualmente sólo se puede conectar a otras
computadoras.
* Falta de maza crítica.
SERVIDOR VPN
67. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
IPsec OpenVPN
Aún desconocida y no compatible
Estándar de la tecnología VPN
con IPsec
Solo en computadoras, pero en
Plataformas de hardware
todos los sistemas operativos
(dispositivos, aparatos)
disponibles
SERVIDOR VPN
68. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
Tecnología nueva y aún en
Tecnología conocida y probada
crecimiento
Sin interfaces gráficas
Muchas interfaces gráficas
profesionales, aunque ya existen
disponibles
algunos proyectos prometedores
Modificación compleja del stack
Tecnología sencilla
IP
SERVIDOR VPN
69. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
Necesidad de modificaciones Interfaces de red y paquetes
críticas al kernel estandarizados
Necesidad de permisos de Ejecuta en el espacio del usuario
administrador y puede ser chroot-ed
Diferentes implementaciones de
Tecnologías de cifrado
distintos proveedores pueden ser
estandarizadas
incompatibles entre si
SERVIDOR VPN
70. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
Facilidad, buena estructuración,
Configuración compleja y
tecnología modular y facilidad de
tecnología compleja
configuración
Curva de aprendizaje muy Fácil de aprender y éxito rápido
pronunciada para principiantes
Necesidad de uso de muchos
Utiliza solo un puerto del firewall
puertos y protocolos en el firewall
SERVIDOR VPN
71. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
Trabaja con servidores de
nombres dinámicos como
Problemas con direcciones
DynDNS o No-IP con
dinámicas en ambas puntas
reconecciones rápidas y
transparentes
Problemas de seguridad de las SSL/TLS como estándar de
tecnologías IPsec criptografía
SERVIDOR VPN
72. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN vs IPSec
* Control de tráfico (Traffic shaping)
* Velocidad (más de 20 Mbps en máquinas de 1Ghz)
* Compatibilidad con firewall y proxies
*Ningún problema con NAT
SERVIDOR VPN
73. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Formas de Conexión
HOST a HOST
* Es el método mas simple de conexión.
* Permite encriptar la comunicación entre dos PC las cuales
deberán solamente tener conexión entre sí o alcanzables
desde Internet.
* En el caso de una conexión host a host, podemos
sencillamente generar una clave compartida en el
servidor, y copiarla hacia el cliente.
SERVIDOR VPN
74. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Formas de Conexión
ROAD WARRIOR
* Es el método de conexión más usado.
* Permite encriptar la comunicación entre una o varias
máquinas a un servidor VPN. Una vez autenticados los
clientes VPN podrán hacer uso de los servicios de la red
* Para esta conexión necesitamos una serie de claves y
certificados para la autentificación y encriptación de datos
desde y hacia cliente / servidor
SERVIDOR VPN
75. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Formas de Conexión
RED a RED
* Mediante ésta forma dos redes separadas en el espacio
pueden comunicarse como si estuvieran unidas por un
cable virtual.
* Se emplea casi las mismas configuraciones de cliente y
servidor de la forma de conexión Road Warrior.
SERVIDOR VPN
76. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Relación con Iptables
Hay que habilitar el tráfico hacia las interfaces TUN/TAP para que
se conecten las máquinas sin problema alguno.
-- Permitir el tráfico por el tunel --
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
-- permitir el trafico openvpn protocolo UDP puerto 1194 --
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
SERVIDOR VPN
77. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
Windows - Linux
OpenVPN puede trabajar tanto como cliente o como servidor en
máquinas Windows y Linux.
Es decir puede quedar cualquier combinación:
Windows Windows
Windows Linux
Linux Windows
Linux-Linux.
SERVIDOR VPN
78. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN GUI
OpenVPN es una solución completamente equipada SSL VPN que
puede dar cabida a una amplia gama de configuraciones.
OpenVPN normalmente se ejecuta en una ventana de consola.
OpenVPN GUI le permite ejecutar OpenVPN sin la ventana de
consola.
OpenVPN GUI maneja la conexión desde un icono de red rojo.
OpenVPN GUI es un proyecto Open Source y está licenciado
bajo GPL.
SERVIDOR VPN
79. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN GUI
CARACTERÍSTICAS:
* Permite mostrar un icono en el área de notificación.
* Admite manejar múltiples conexiones simultáneas.
* Oculta la ventana de la consola.
* Es un visor de archivos de registro.
* Permite editar las configuraciones.
* Tiene la opción Start/Stop/ Restart el Servicio OpenVPN.
* Proporciona diálogos para introducir la contraseña de
clave privada.
SERVIDOR VPN
80. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN GUI
CARACTERÍSTICAS:
* Pone a disposición el diálogo para introducir nombre de
usuario / contraseña de autenticación de credenciales.
* Soporta cambiar la contraseña utilizada para proteger la
clave privada (Ambos PEM y PKCS # 12 archivos).
* Se puede configurar proxy de la GUI.
* Utilizar Internet Explorer proxy (sólo en caso de
configurar manualmente en IE).
* Ejecutar un archivo por lotes antes / después de conectar
y antes de desconectar.
SERVIDOR VPN
81. FUNDAMENTACIÓN TEÓRICA
OpenVPN
OpenVPN
OpenVPN GUI
CARACTERÍSTICAS:
* Cmd-line que es una opción para una conexión
automática en el inicio (- conectar).
* Cmd-line opciones para anular la configuración del
Registro.
* Mostrar la información de conexión en el icono de cuadro
de herramientas.
SERVIDOR VPN