Este documento describe las redes privadas virtuales (VPN), las cuales permiten compartir información de forma privada entre usuarios en diferentes ubicaciones a través de Internet. Explica que las VPN usan encriptación para crear un túnel privado a través de Internet y proteger la privacidad de los datos. También describe varios métodos y protocolos comunes de encriptación utilizados en las VPN, incluyendo clave pública y privada, DES, IDEA, PPTP e IPSec.

1. RED PRIVADA VIRTUAL Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas. La tecnología de VPN proporciona un medio para usar el canal público de Internet como un canal apropiado para comunicar los datos privados. Con la tecnología de encriptación y encapsulamiento, una VPN básica, crea un pasillo privado a través de Internet. Una Red Privada Virtual es una red privada que se extiende, mediante un proceso de encapsulación, y en su caso, de encriptacion, de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras publicas de transporte. Los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras públicas de transporte. En el caso de acceso remoto, la VPN permite al usuario acceder a su red corporativa, asignándole a su ordenador remoto las direcciones y privilegios de la misma, aunque la conexión la haya realizado por medio de un acceso a Internet publico.

2. Esquema habitual de una VPN:

3. CONFIGURACIONES: VPN de Servidor a Workstation (End to End): VPN instalado en todos los PC's.La ruta completa desde el servidor al cliente está encriptada. VPN de Sitio a Sitio (Site to Site): VPN instalado en un Gateway de cada LAN.El tráfico en redes públicas (entre las redes) está encriptado.El tráfico dentro de la red está en PlainText (texto legible). VPN de Servidor/Workstation a Gateway (End to Gateway) VPN instalado en un Gateway de la red y en todas las estaciones remotas.El tráfico en las redes públicas está encriptado (tráfico entre la red y las estaciones remotas).

4. ENCRIPTACIÓN La encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser: cros. de tarjetas de crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.

5. Proceso de codificación que mediante algoritmos transforma plaintext (texto legible) en cibertexto (texto codificado). Es el proceso mediante el cual una rutina es codificada de tal manera que no pueda ser interpretada fácilmente. Es una medida de seguridad utilizada para que al momento de transmitir la información ésta no pueda ser interceptada por intrusos. La información se encripta o codifica con complejos algoritmos y viaja encriptada al servidor de destino donde sólo mediante una clave es capaz de ser desencriptada, es decir, de ser legible y entendible al ojo humano de nuevo.

6. PARA LAS VPNs En las VPNs la encriptación debe ser realizada en tiempo real. Por eso los flujos encriptados a través de una red son encriptados utilizando encriptación de clave secreta con claves que son solamente buenas para sesiones de flujo.

7. METODOS DE ENCRIPTACION: ENCRIPTACION DE CLAVE SECRETA En la encriptación de clave secreta, se utiliza una contraseña secreta conocida por todos los participantes que necesitan acceso a la información encriptada. Dicha contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de encriptación posee el problema que, como la contraseña es compartida por todos los participantes y debe mantenerse secreta, al ser revelada, debe ser cambiada y distribuida a los participantes, con lo cual se puede crear de esta manera algún problema de seguridad.

8. EJEMPLO DE CLAVE SECRETA:

9. Conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave. Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los principales algoritmos simétricos actuales son DES, IDEA y RC5. Las principales desventajas de los métodos simétricos son la distribución de las claves, el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes.

10. DES: Inicialmente el texto a cifrar se somete a una permutación, con bloque de entrada de 64 bits (o múltiplo de 64), para posteriormente ser sometido a la acción de dos funciones principales, una función de permutación con entrada de 8 bits y otra de sustitución con entrada de 5 bits, en un proceso que consta de 16 etapas de cifrado. En general, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son usados para la encriptación, mientras que los 8 restantes son de paridad, y se usan para la detección de errores en el proceso.

11. IDEA: Trabaja con bloques de texto de 64 bits, operando siempre con números de 16 bits usando operaciones como XOR y suma y multiplicación de enteros. El algoritmo de desencriptación es muy parecido al de encriptación, por lo que resulta muy fácil y rápido de programar, y hasta ahora no ha sido roto nunca, aportando su longitud de clave una seguridad fuerte ante los ataques por fuerza bruta (prueba y ensayo o diccionarios). Este algoritmo es de libre difusión y no está sometido a ningún tipo de restricciones o permisos nacionales, por lo que se ha difundido ampliamente, utilizándose en sistemas como UNIX y en programas de cifrado de correo como PGP.

12. Clave pública (asimétrica) También llamada asimétrica, se basa en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Una de las claves de la pareja, llamada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta.

13. EJEMPLO DE ENCRIPTACION:

14. Conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. Conocida la clave pública y el texto en claro no se puede generar un criptograma correcto encriptado con la clave privada. Dado un texto encriptado con una clave privada sólo existe una pública capaz de desencriptarlo, y viceversa. El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976, y fue la base para el desarrollo de los que después aparecieron, entre los que cabe destacar el RSA (el más utilizado en la actualidad).

15. Diffie-Hellman: Este algoritmo de encriptación de Whitfield Diffie y Martin Hellman fue el punto de partida para los sistemas asimétricos, basados en claves pública y la privada. Su importancia se debe sobre todo al hecho de ser el inicio de los sistemas asimétricos, ya que en la práctica sólo es válido para el intercambio de claves simétricas, y con esta funcionalidad es muy usado en los diferentes sistemas seguros implementados en Internet, como SSL (Secure Socket Layer) y VPN (Virtual Private Network). Matemáticamente se basa en las potencias de los números y en la función (módulo discreto).

16. RSA: RSA es el más conocido y usado de los sistemas de clave pública, y también el más rápido de ellos. Presenta todas las ventajas de los sistemas asimétricos, incluyendo la firma digital, aunque resulta más útil a la hora de implementar la confidencialidad el uso de sistemas simétricos, por ser más rápidos. El sistema RSA se basa en el hecho matemático de la dificultad de factorizar números muy grandes. Para factorizar un número el sistema más lógico consiste en empezar a dividir sucesivamente éste entre 2, entre 3, entre 4,..., y así sucesivamente, buscando que el resultado de la división sea exacto, es decir, de resto 0, con lo que ya tendremos un divisor del número.

17. Protocolos utilizados en las VPNs

18. PPTP: Como protocolo de túnel, PPTP encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS desde cualquier punto en Internet para tener la misma autenticación, encriptación y los mismos accesos de LAN como si discaran directamente al servidor. En vez de discar a un modem conectado al servidor RAS, los usuarios se conectan a su proveedor y luego "llaman" al servidor RAS a través de Internet utilizando PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y aceptar cualquier tipo, inclusive texto plano. Para la encriptación, PPTP utiliza el sistema RC4 de RSA, con una clave de sesión de 40 bits.

19. IPSec: IPSec trata de remediar algunas falencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). AH provee autenticación, integridad y protección a repeticiones pero no así confidencialidad. La diferencia más importante con ESP es que AH protege partes del header IP, como las direcciones de origen y destino. ESP provee autenticación, integridad, protección a repeticiones y confidencialidad de los datos, protegiendo el paquete entero que sigue al header. AH sigue al header IP y contiene diseminaciones criptográficas tanto en los datos como en la información de identificación. Las diseminaciones pueden también cubrir las partes invariantes del header IP. El header de ESP permite rescribir la carga en una forma encriptada. Como no considera los campos del header IP, no garantiza nada sobre el mismo, sólo la carga. Es posible, en el modo de túnel, hacer una encapsulación arbitrariamente recursiva para que el orden no sea el especificado.

20. L2TP : Layer-2 Tunneling Protocol (L2TP) facilita el entunelamiento de paquetes PPP a través de una red de manera tal que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel. En la autenticación de L2TP, tanto el LAC como el LNS comparten un secreto único. Cada extremo usa este mismo secreto al actuar tanto como autenticado como autenticador. Sobre la seguridad del paquete L2TP, se requiere que el protocolo de transporte de L2TP tenga la posibilidad de brindar servicios de encriptación, autenticación e integridad para el paquete L2TP en su totalidad. Como tal, L2TP sólo se preocupa por la confidencialidad, autenticidad e integridad de los paquetes L2TP entre los puntos extremos del túnel, no entre los extremos físicos de la conexión.

21. EL CIFRADO ENDEBLE: Es un método que no proporciona mayor protección, por eso es utilizado en sistemas que requieren en sistemas de seguridad media. Consisten en la utilización de una clave que permite hasta 240 combinaciones distintas. LOS SISTEMAS CORRECTOS DE GESTIÓN DE CLAVES Consiste en la división de la clave en varias personas, cada una de las cuales es custodiada por una persona, de forma que los datos solo se podrán descifrar si todas estas personas se ponen de acuerdo. SISTEMA HIBRIDO DE ENCRIPTACIÓN Es un algoritmo simétrico con una llave de sesión aleatoria que es utilizada para encriptar el menaje que se va a enviar, la llave publica del receptor es utilizada para encriptar la llave de sesión aleatoria, logrando así un mensaje cifrado con llave cifrada.