Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN..................................................................................................................... 3 DEFINICIN DE VPN.............................................................................................................. 4 TIPOS DE VPN........................................................................................................................ 5 3.1. 3.2. VPN DE ACCESO REMOTO (PARA ROADWARRIORS)............................................................. 5 VPN PUNTO A PUNTO (PARA OFICINAS REMOTAS) .............................................................. 6
4.
4.1.1. 4.1.2. 5.
PROTOCOLOS ....................................................................................................................... 9 5.1. IPSEC (INTERNET PROTOCOL SECURITY) ............................................................................ 9 Autentificacin y cifrado en IPSec....................................................................... 9 Ventajas ................................................................................................................ 11 Desventajas.......................................................................................................... 11
5.4.1. 5.4.2. 6. 7.
VPN EN PANDA GATEDEFENDER INTEGRA ................................................................... 16 DEFENSA EN PROFUNDIDAD CON GATEDEFENDER INTEGRA .................................. 17 7.1. CLASIFICACIN DE LAS AMENAZAS ................................................................................... 17 Amenazas de red ................................................................................................. 17 Amenazas de contenidos ................................................................................... 18
7.1.1. 7.1.2. 8.
GLOSARIO............................................................................................................................ 20
1. Introduccin
La evolucin del mercado de trabajo en los ltimos aos ha hecho que conceptos antes impensables como teletrabajo o acceso remoto se hayan convertido en necesidades cotidianas de todo tipo de empresas. Las ventajas que plantea la incorporacin de puestos remotos y mviles a la red para usuarios que por ejemplo estn de viaje, residen en otras localidades, etc., implican costes en cuanto a equipos, alquiler de lneas y un esfuerzo suplementario de administracin que haran desestimar esta posibilidad si no existiera Internet como canal de comunicacin al alcance de todo tipo de usuarios. Sin embargo el carcter pblico de Internet hace que esta no sea el medio ms adecuado para comunicaciones fiables, seguras y privadas. Este problema es resuelto por las VPN (Virtual Private Networks o Redes Privadas Virtuales).
2. Definicin de VPN
Una VPN (Virtual Private Network o Red Privada Virtual) es una red que usa una infraestructura pblica e insegura de telecomunicaciones, que suele ser Internet, para proporcionar un acceso seguro a la red de una organizacin desde usuarios u oficinas remotas (En realidad se puede ampliar esta definicin porque nada nos impide establecer VPNs a travs de medios privados de nuestra propia organizacin). El uso de VPNs permite por lo tanto extender la red de la empresa hasta donde se encuentren estos usuarios remotos. Con una VPN se obtiene una red de datos de gran seguridad que permite la transmisin de informacin confidencial entre la empresa y sus sucursales, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisin. Mediante una VPN, cualquier organizacin est en condiciones de simular una red WAN propia, sin preocuparse de soportar la infraestructura que ese tipo de red requiere. Es posible establecer redes sobre reas geogrficas extensas (distintas ciudades o pases) reduciendo los costes dedicados a infraestructuras y a la vez simplificando la administracin. La principal ventaja de una VPN, aparte de la flexibilidad que proporcionan, es el ahorro que supone poder usar medios de libre acceso, eliminando la necesidad de usar lneas arrendadas a cortas o largas distancias, Frame Relay u otros servicios. Para implantar una VPN slo se precisa de una conexin al proveedor de servicio (ISP) ms cercano. Sobre un medio completamente pblico se logra la misma seguridad (al proporcionar privacidad, autenticidad e integridad de datos) y caractersticas de operacin que hay disponibles en los circuitos de comunicacin dedicados. Adems las VPN son arquitecturas de red ms escalables y flexibles que las WAN. Las empresas pueden agregar o eliminar sistemas localizados remotamente, de forma sencilla y barata.
3. Tipos de VPN
Segn el tipo de acceso remoto que proporcionan, se pueden clasificar las VPN en dos tipos: VPN de acceso remoto (para Roadwarriors) VPN punto a punto (para Oficinas Remotas)
El dispositivo bsico en el establecimiento y gestin de una VPN es el router que funciona como servidor VPN entre la red privada y la red pblica. Panda GateDefender Integra puede operar como tal.
El uso de VPN como medio de ampliacin segura de redes 4.1.2. Infraestructura de clave pblica
El uso de claves precompartidas simplemente establece que ambos extremos conozcan una clave secreta antes de establecerse la conexin. La autentificacin mediante certificados X.509 se basa en una infraestructura de clave pblica en la que los certificados de todos los participantes estn firmados por una autoridad de certificacin. La validacin se realiza comprobando que el otro extremo de la conexin tiene un certificado vlido firmado por la autoridad de certificacin, que su identificador se corresponde con el esperado y asegurndose de que el otro participante conoce la clave privada correspondiente a la clave pblica de su certificado. Completada esta fase se procede al establecimiento del canal seguro. La informacin transmitida a travs del medio pblico debe ir cifrada de forma que no sea legible por personas no autorizadas. La informacin se cifra en un extremo, se transmite protegida dentro de un tnel y se descifra al recibirlo en el otro. El cifrado de la informacin se basa en el uso de algoritmos de cifrado simtricos con claves de sesin negociadas entre ambos extremos mediante un intercambio Diffie-Hellman o, en el caso de PPTP, derivadas de las credenciales de los participantes. En IPsec y SSL se pueden realizar renegociaciones de estas claves a lo largo de la sesin. Normalmente el algoritmo de cifrado utilizado es 3DES o AES. Adems de todo esto se debe asegurar la autenticidad e integridad de los datos transmitidos; se usan algoritmos de hash (MD5, SHA1,...) que firman cada paquete transmitido de forma que en la recepcin mediante esta firma se pueda asegurar que el paquete no ha sido modificado.
5. Protocolos
De los cuatro protocolos soportados por GateDefender Integra el ms extendido y estndar es IPsec, pero cada uno de estos protocolos presenta ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.
Los participantes en la comunicacin usan las Asociaciones de Seguridad (SA) para guardar la informacin necesaria para encapsular y desencapsular los paquetes IPsec. En cada SA encontramos entre otros: El tipo de protocolo IPsec (AH o ESP). El algoritmo y la clave secreta para el cifrado. La direccin IP de origen y la direccin IP de destino.
Una asociacin de seguridad slo protege el trfico en una de las dos direcciones de la comunicacin, por lo que son necesarias dos SA para proteger el trfico entre los dos extremos: una en cada sentido.
10
Las SA y las SP se almacenan en la SADB (Base de Datos de Asociaciones de Seguridad) y SPDB (Base de Datos de Polticas de Seguridad) respectivamente. En funcin de ambas se establecen un conjunto de mtodos de seguridad y cundo deben ser aplicados. Pese a todas sus ventajas en cuanto a seguridad IPsec tiene varios inconvenientes, entre ellos la necesidad de definir un tnel para cada pareja de subredes que se quieran proteger (no es posible hacer pasar trfico por un tnel si no hay una SP definida para el mismo) y los problemas que puede acarrear la existencia de dispositivos NAT situados entre los extremos del tnel.
5.1.2. Ventajas
Es un estndar del que existen mltiples implementaciones en el mercado. Est ampliamente implantado. Proporciona un elevado nivel de seguridad.
5.1.3. Desventajas
La configuracin es compleja. Requiere la creacin de un tnel para cada pareja de redes que se quieren proteger. Puede haber problemas en implantaciones para RoadWarriors que se encuentren detrs de dispositivos NAT.
11
5.2. OpenVPN
OpenVPN es una solucin para VPNs basada en TLS/SSL; SSL (Secure Socket Layer) es un protocolo estndar que permite asegurar las transferencias de datos en Internet. TLS es una implementacin posterior basada en SSL 3.0. El protocolo SSL es un sistema diseado por Netscape Communications Corporation. OpenVPN ofrece dos mecanismos para realizar la autenticacin, el primero es utilizar claves estticas para el cifrado de datos, la clave se instala en los dos participantes en la conexin y stos pueden enviar trfico por el tnel sin ninguna negociacin previa. Utilizando claves estticas es trivial establecer un tnel OpenVPN, sin embargo no es lo recomendado al tener algunas desventajas importantes: Con el uso de claves estticas no existe Perfect Forward Secrecy (PFS). En otras palabras, si la clave esttica es revelada a un tercero, ste puede utilizarla para descifrar todo el trfico que haya pasado previamente por el tnel. Las claves no se refrescan mientras no se haga manualmente, y esto hay que hacerlo simultneamente en ambas mquinas.
El segundo mecanismo de autenticacin, ms seguro y escalable, es la utilizacin de certificados X509, al igual que en IPsec. Una vez autenticados ambos participantes, el tnel se crea de una manera parecida a IPsec, se lleva a cabo un intercambio Diffie-Hellman para generar claves de sesin que se utilizan para cifrar el trfico y se refrescan peridicamente. La ventaja de OpenVPN es que los datos viajan dentro de la misma conexin UDP o TCP por la que se negocia la conexin, eliminando problemas con dispositivos NAT. OpenVPN funciona sobre los sistemas operativos ms extendidos: Linux, Windows, Mac OS X, BSD, Solaris, etc. Gracias a esto, en general, no debera presentar problemas de interoperabilidad, exceptuando aquellos casos donde ya exista otra solucin implantada y no sea deseable sustituirla. OpenVPN funciona en espacio de usuario y emplea un nico puerto UDP o TCP. El uso de TCP permite establecer el tnel a travs de proxies HTTP y firewalls, pero en determinadas circunstancias puede provocar problemas en el rendimiento de la comunicacin al encapsularse paquetes TCP dentro de paquetes TCP. Se puede encontrar ms informacin sobre OpenVPN en http://openvpn.net
12
5.2.2. Desventajas
No est estandarizado y slo existe una implementacin: OpenVPN.
13
5.3.1. Ventajas
En escenarios donde sea necesaria compatibilidad con instalaciones previas puede resultar necesario.
5.3.2. Desventajas
No es seguro.
14
5.4.1. Ventajas
Ofrece el mismo nivel de seguridad que IPsec simplificando su implantacin.
5.4.2. Desventajas
Obliga a los clientes a tener al mismo tiempo, certificados X509 y un nombre de usuario y contrasea. Tiene los mismos problemas que IPsec con NAT transversal.
15
16
7.1.
Las posibles amenazas procedentes de Internet se dividen en dos tipos. Los dos tipos principales de amenazas son Amenazas a nivel de red y Amenazas a nivel de contenidos.
17
18
Ofrece un sistema de proteccin a nivel de Gateway diseado para implantarse en cualquier red de una forma sencilla y evitando que las amenazas que proceden de Internet lleguen a entrar en la red de la compaa.
El mdulo Anti-malware incluye proteccin contra virus, spyware, gusanos, troyanos, phishing, jokes, dialers y otros riesgos, adems del anlisis heurstico contra malware no catalogado todava..
19
8. Glosario
VPN: Virtual Private Network o Red Privada Virtual, ISP: Siglas de Internet Solution Provider (Proveedor de soluciones de Internet). Son compaas que ofrecen una conexin a Internet, servicios de correo electrnico y otros servicios relacionados, tales como la construccin de pginas web o el alquiler de pginas y sitios Web en sus servidores. Frame Relay: Es un sistema o mecanismo de transmisin de datos que permite conectar y compartir informacin entre redes locales LAN separadas geogrficamente. Este servicio de comunicacin permite que dos redes locales estn conectadas y que se pueda acceder y compartir la informacin entre distintos centros o delegaciones de una empresa, construyendo as una red privada propia, una Intranet, con una elevada capacidad y velocidad en la transmisin de la informacin. WAN: Siglas de Wide Area Network (Red de rea amplia). Es una red de enrutadores conectados entre s y distribuida por un rea grande (ciudad, provincia, pas, etc.). Su caracterstica definitoria es que no tiene lmites en cuanto a su amplitud tecnolgica. EAP: Siglas de Extensible Authentication Protocol. Es un protocolo enviado a un servidor para la autenticacin del usuario o el equipo utilizado, para dar permiso de acceso a distintos servicios y contenidos. Puede soportar mltiples mecanismos de autenticacin tales como: smart cards, claves pblicas de encriptacin, one-time passwords, certificados, etc. PAP: Siglas de Password Authentication Protocol (Protocolo de autenticacin por password). Permite al sistema verificar la identidad del otro punto de la conexin mediante password. CHAP/MSCHAP: Siglas de Challenge-Handshake Authentication Protocol. Es un protodcolo de autenticacin para PPP donde la contrasea no slo se exige al empezar la conexin sino tambin se requiere durante la conexin, un fallo proporcionando la contrasea correcta durante el login o el desafio producir la desconexin SAM: Siglas de Software Asset Management. Es una herrramienta concebida para ayudar a las organizaciones a tener control sobre sus activos de software durante todo el ciclo de vida del mismo: desde la adquisicin hasta su desinstalacin o actualizacin, pasando por las fases de implementacin, soporte, mantenimiento y formacin para su total aprovechamiento. La administracin de activos de software afecta a toda la empresa e implica a todos los departamentos de la misma, desde la direccin general y la financiera, hasta el ltimo de los trabajadores que gestionan y trabajan con informacin.
20
22
25