1. 2. 3.

INTRODUCCIN..................................................................................................................... 3 DEFINICIN DE VPN.............................................................................................................. 4 TIPOS DE VPN........................................................................................................................ 5 3.1. 3.2. VPN DE ACCESO REMOTO (PARA ROADWARRIORS)............................................................. 5 VPN PUNTO A PUNTO (PARA OFICINAS REMOTAS) .............................................................. 6

4.

ESTABLECIMIENTO DE UNA CONEXIN VPN................................................................... 7 4.1. MTODOS DE

AUTENTIFICACIN .........................................................................................

4.1.1. 4.1.2. 5.

Usuario y contrasea ............................................................................................ 7 Infraestructura de clave pblica .......................................................................... 8

PROTOCOLOS ....................................................................................................................... 9 5.1. IPSEC (INTERNET PROTOCOL SECURITY) ............................................................................ 9 Autentificacin y cifrado en IPSec....................................................................... 9 Ventajas ................................................................................................................ 11 Desventajas.......................................................................................................... 11

5.1.1. 5.1.2. 5.1.3. 5.2.

OPENVPN....................................................................................................................... 12 Ventajas ................................................................................................................ 13 Desventajas.......................................................................................................... 13

5.2.1. 5.2.2. 5.3.

PPTP (POINT TO POINT TUNNELING PROTOCOL) .............................................................. 13 Ventajas ................................................................................................................ 14 Desventajas.......................................................................................................... 14

5.3.1. 5.3.2. 5.4.

L2TP/IPSEC (LAYER 2 TUNNELING PROTOCOL)................................................................ 14 Ventajas ................................................................................................................ 15 Desventajas.......................................................................................................... 15

5.4.1. 5.4.2. 6. 7.

VPN EN PANDA GATEDEFENDER INTEGRA ................................................................... 16 DEFENSA EN PROFUNDIDAD CON GATEDEFENDER INTEGRA .................................. 17 7.1. CLASIFICACIN DE LAS AMENAZAS ................................................................................... 17 Amenazas de red ................................................................................................. 17 Amenazas de contenidos ................................................................................... 18

7.1.1. 7.1.2. 8.

GLOSARIO............................................................................................................................ 20

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

1. Introduccin
La evolucin del mercado de trabajo en los ltimos aos ha hecho que conceptos antes impensables como teletrabajo o acceso remoto se hayan convertido en necesidades cotidianas de todo tipo de empresas. Las ventajas que plantea la incorporacin de puestos remotos y mviles a la red para usuarios que por ejemplo estn de viaje, residen en otras localidades, etc., implican costes en cuanto a equipos, alquiler de lneas y un esfuerzo suplementario de administracin que haran desestimar esta posibilidad si no existiera Internet como canal de comunicacin al alcance de todo tipo de usuarios. Sin embargo el carcter pblico de Internet hace que esta no sea el medio ms adecuado para comunicaciones fiables, seguras y privadas. Este problema es resuelto por las VPN (Virtual Private Networks o Redes Privadas Virtuales).

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

2. Definicin de VPN
Una VPN (Virtual Private Network o Red Privada Virtual) es una red que usa una infraestructura pblica e insegura de telecomunicaciones, que suele ser Internet, para proporcionar un acceso seguro a la red de una organizacin desde usuarios u oficinas remotas (En realidad se puede ampliar esta definicin porque nada nos impide establecer VPNs a travs de medios privados de nuestra propia organizacin). El uso de VPNs permite por lo tanto extender la red de la empresa hasta donde se encuentren estos usuarios remotos. Con una VPN se obtiene una red de datos de gran seguridad que permite la transmisin de informacin confidencial entre la empresa y sus sucursales, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisin. Mediante una VPN, cualquier organizacin est en condiciones de simular una red WAN propia, sin preocuparse de soportar la infraestructura que ese tipo de red requiere. Es posible establecer redes sobre reas geogrficas extensas (distintas ciudades o pases) reduciendo los costes dedicados a infraestructuras y a la vez simplificando la administracin. La principal ventaja de una VPN, aparte de la flexibilidad que proporcionan, es el ahorro que supone poder usar medios de libre acceso, eliminando la necesidad de usar lneas arrendadas a cortas o largas distancias, Frame Relay u otros servicios. Para implantar una VPN slo se precisa de una conexin al proveedor de servicio (ISP) ms cercano. Sobre un medio completamente pblico se logra la misma seguridad (al proporcionar privacidad, autenticidad e integridad de datos) y caractersticas de operacin que hay disponibles en los circuitos de comunicacin dedicados. Adems las VPN son arquitecturas de red ms escalables y flexibles que las WAN. Las empresas pueden agregar o eliminar sistemas localizados remotamente, de forma sencilla y barata.

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

3. Tipos de VPN
Segn el tipo de acceso remoto que proporcionan, se pueden clasificar las VPN en dos tipos: VPN de acceso remoto (para Roadwarriors) VPN punto a punto (para Oficinas Remotas)

3.1. VPN de acceso remoto (para Roadwarriors)

Es el modelo de VPN ms utilizado. Los usuarios se conectan con la organizacin desde sitios remotos (oficinas, domicilios, hoteles, etc.) utilizando Internet. Una vez autenticados logran un nivel de acceso similar al que tienen en la red local de la empresa.

Fig. 1 - Esquema de VPN para Roadwarriors

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

3.2. VPN punto a punto (para Oficinas Remotas)

Este modelo se emplea para conectar oficinas remotas con la sede central de la empresa. El servidor VPN, permanentemente conectado a Internet, acepta las conexiones procedentes de las oficinas y establece el tnel VPN. Los servidores de las oficinas remotas se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite ahorrarnos los caros vnculos punto a punto (sobre todo en las comunicaciones internacionales).

Fig. 2 - Esquema de VPN para oficinas remotas

El dispositivo bsico en el establecimiento y gestin de una VPN es el router que funciona como servidor VPN entre la red privada y la red pblica. Panda GateDefender Integra puede operar como tal.

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

4. Establecimiento de una conexin VPN

Una VPN debe poder verificar la identidad de los usuarios y restringir el acceso a aquellos usuarios que no estn autorizados. Tambin debe crear registros estadsticos que muestren quin accede, a qu informacin y cundo. La base de las VPNs es el uso de protocolos de tnel: Para el establecimiento de un tnel el primer paso necesario es la autentificacin de ambos extremos y de los usuarios de la conexin. Primero debe existir un mecanismo de autentificacin que se implementa en ambos extremos de la VPN para que las mquinas que se encargan del establecimiento del tnel (dos concentradores VPN o un concentrador y un cliente) se puedan autentificar una contra otra. Respecto a la autentificacin, son varios los mecanismos que se pueden emplear para establecer una conexin segura entre cliente y servidor de acceso. Autentificacin de usuario y contrasea utilizando los protocolos EAP, PAP, CHAP o MS-CHAP (versin 1 y 2), Infraestructura de clave pblica (PKI) empleando certificados X.509, claves precompartidas (preshared keys), tarjetas inteligentes (smart cards), Mezclas de los mecanismos anteriores, certificados X.509 ms validacin por usuario y contrasea, etc.

4.1. Mtodos de autentificacin

4.1.1. Usuario y contrasea
El Challenge Handshake Authentication Protocol (CHAP) es un protocolo usado comnmente para la autentificacin de usuarios a travs de conexiones PPP. Las claves se cifran de forma automtica y transparente. Las diferentes versiones de Microsoft CHAP son variaciones de CHAP usadas para autentificar usuarios contra un Mdulo de Acceso de Seguridad (SAM) Windows. Estos protocolos de autenticacin se emplean en las tecnologas VPN que utilizan PPP: PPTP y L2TP. El Password Authentication Protocol (PAP) ofrece autentificacin por contrasea en claro, no se recomienda su uso si no es sobre un canal cifrado como sucede en L2TP cuando funciona sobre IPsec.

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes 4.1.2. Infraestructura de clave pblica
El uso de claves precompartidas simplemente establece que ambos extremos conozcan una clave secreta antes de establecerse la conexin. La autentificacin mediante certificados X.509 se basa en una infraestructura de clave pblica en la que los certificados de todos los participantes estn firmados por una autoridad de certificacin. La validacin se realiza comprobando que el otro extremo de la conexin tiene un certificado vlido firmado por la autoridad de certificacin, que su identificador se corresponde con el esperado y asegurndose de que el otro participante conoce la clave privada correspondiente a la clave pblica de su certificado. Completada esta fase se procede al establecimiento del canal seguro. La informacin transmitida a travs del medio pblico debe ir cifrada de forma que no sea legible por personas no autorizadas. La informacin se cifra en un extremo, se transmite protegida dentro de un tnel y se descifra al recibirlo en el otro. El cifrado de la informacin se basa en el uso de algoritmos de cifrado simtricos con claves de sesin negociadas entre ambos extremos mediante un intercambio Diffie-Hellman o, en el caso de PPTP, derivadas de las credenciales de los participantes. En IPsec y SSL se pueden realizar renegociaciones de estas claves a lo largo de la sesin. Normalmente el algoritmo de cifrado utilizado es 3DES o AES. Adems de todo esto se debe asegurar la autenticidad e integridad de los datos transmitidos; se usan algoritmos de hash (MD5, SHA1,...) que firman cada paquete transmitido de forma que en la recepcin mediante esta firma se pueda asegurar que el paquete no ha sido modificado.

Panda Software 2006

El uso de VPN como medio de ampliacin segura de redes

5. Protocolos
De los cuatro protocolos soportados por GateDefender Integra el ms extendido y estndar es IPsec, pero cada uno de estos protocolos presenta ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.

5.1. IPsec (Internet Protocol Security)

Es una extensin al protocolo IP para permitir servicios de autenticacin y cifrado y asegurar las comunicaciones IP. Inicialmente fue desarrollado para usarse con el nuevo estndar IPv6, aunque posteriormente se adapt a IPv4. IPsec es un conjunto de protocolos muy robusto, adecuado para organizaciones que precisan un alto grado de seguridad. La arquitectura de IPsec se describe en el RFC 2401. IPsec acta a nivel de capa de red, protegiendo y autentificando los paquetes IP entre los equipos participantes. No est ligado a ningn algoritmo de cifrado o autenticacin, tecnologa de claves o algoritmos de seguridad especfico. Es un marco de estndares que permite que cualquier nuevo algoritmo sea introducido sin necesitar de cambiar los estndares. IPsec combina mecanismos criptogrficos para ofrecer confidencialidad, integridad y autenticidad a los datagramas IP. No establece los algoritmos especficos a utilizar, sino que proporciona un mecanismo para que se negocien aquellos que van a ser utilizados en la comunicacin.

5.1.1. Autentificacin y cifrado en IPSec

Previamente al establecimiento de un tnel IPsec, se realiza la autenticacin de los participantes y la negociacin de los parmetros de funcionamiento del tnel, tales como las subredes entre las cuales se quiere proteger el trfico, los algoritmos de cifrado y validacin de paquetes, el tiempo de vida de las claves, deteccin de NATTraversal, etc. Todo esto se hace en el protocolo IKE (Internet Key Exchange o Intercambio de claves de Internet). La negociacin IKE se realiza en dos fases, en la primera fase se lleva a cabo la autenticacin de ambos extremos, mediante claves precompartidas o certificados X509, y se produce un intercambio Diffie-Hellman para obtener claves de sesin que se utilizarn para proteger la segunda fase. Tras finalizar con xito la fase 1, se establece una Asociacin de Seguridad (SA) ISAKMP (Internet Security Association and Key Management Protocol) entre los dos participantes, crendose un canal seguro. En la segunda fase se establecen las Asociaciones de Seguridad (SA) para IPsec. Una vez terminada la fase 2, es posible enviar trfico a travs del tnel IPsec Panda Software 2006 9

El uso de VPN como medio de ampliacin segura de redes

utilizando los algoritmos y claves acordados por ambos participantes durante dicha fase. Para proteger el trfico que se enva por el tnel IPsec se pueden utilizar dos protocolos de seguridad, ESP (Encapsulating Security Payload) o AH (Authentication Header). La diferencia entre ESP y AH es que el primero cifra los paquetes con algoritmos de cifrado definidos y los autentica, en tanto que AH slo los autentica, aportando por ello una menor seguridad. Existen dos modos distintos de conexiones IPsec: modo transporte y modo tnel. En modo transporte se protegen los protocolos de capas superiores a IP; incluye mecanismos de autentificacin y cifrado para los equipos que operan en la conexin, pero no se forma tnel entre ellos. En este modo slo se establece una comunicacin segura punto a punto. Bajo esta modalidad no existe realmente una VPN, simplemente se establecen los parmetros de seguridad que han de cumplir los equipos que se interconectan. En este caso, se fuerza a que todas las mquinas de la red deban soportar IPsec. Si IPsec opera en modo tnel, protege el datagrama IP completo encapsulndolo dentro de otro datagrama IP, En este modo, la autentificacin y cifrado de datos se produce slo entre los extremos declarados en la definicin del tnel, que sern las dos pasarelas, independientemente de que los dispositivos intermedios tengan o no configurado este protocolo. Bajo este modo es cuando se crea una VPN.

Los participantes en la comunicacin usan las Asociaciones de Seguridad (SA) para guardar la informacin necesaria para encapsular y desencapsular los paquetes IPsec. En cada SA encontramos entre otros: El tipo de protocolo IPsec (AH o ESP). El algoritmo y la clave secreta para el cifrado. La direccin IP de origen y la direccin IP de destino.

Una asociacin de seguridad slo protege el trfico en una de las dos direcciones de la comunicacin, por lo que son necesarias dos SA para proteger el trfico entre los dos extremos: una en cada sentido.

Panda Software 2006

10

El uso de VPN como medio de ampliacin segura de redes

Adems, existen las polticas de seguridad SP (Security Policy) que especifican cundo hay que proteger el trfico. Una SP define cosas como: Direccin IP de origen y destino de los paquetes. Protocolos y puertos a proteger. La SA

Las SA y las SP se almacenan en la SADB (Base de Datos de Asociaciones de Seguridad) y SPDB (Base de Datos de Polticas de Seguridad) respectivamente. En funcin de ambas se establecen un conjunto de mtodos de seguridad y cundo deben ser aplicados. Pese a todas sus ventajas en cuanto a seguridad IPsec tiene varios inconvenientes, entre ellos la necesidad de definir un tnel para cada pareja de subredes que se quieran proteger (no es posible hacer pasar trfico por un tnel si no hay una SP definida para el mismo) y los problemas que puede acarrear la existencia de dispositivos NAT situados entre los extremos del tnel.

5.1.2. Ventajas
Es un estndar del que existen mltiples implementaciones en el mercado. Est ampliamente implantado. Proporciona un elevado nivel de seguridad.

5.1.3. Desventajas
La configuracin es compleja. Requiere la creacin de un tnel para cada pareja de redes que se quieren proteger. Puede haber problemas en implantaciones para RoadWarriors que se encuentren detrs de dispositivos NAT.

Panda Software 2006

11

El uso de VPN como medio de ampliacin segura de redes

5.2. OpenVPN
OpenVPN es una solucin para VPNs basada en TLS/SSL; SSL (Secure Socket Layer) es un protocolo estndar que permite asegurar las transferencias de datos en Internet. TLS es una implementacin posterior basada en SSL 3.0. El protocolo SSL es un sistema diseado por Netscape Communications Corporation. OpenVPN ofrece dos mecanismos para realizar la autenticacin, el primero es utilizar claves estticas para el cifrado de datos, la clave se instala en los dos participantes en la conexin y stos pueden enviar trfico por el tnel sin ninguna negociacin previa. Utilizando claves estticas es trivial establecer un tnel OpenVPN, sin embargo no es lo recomendado al tener algunas desventajas importantes: Con el uso de claves estticas no existe Perfect Forward Secrecy (PFS). En otras palabras, si la clave esttica es revelada a un tercero, ste puede utilizarla para descifrar todo el trfico que haya pasado previamente por el tnel. Las claves no se refrescan mientras no se haga manualmente, y esto hay que hacerlo simultneamente en ambas mquinas.

El segundo mecanismo de autenticacin, ms seguro y escalable, es la utilizacin de certificados X509, al igual que en IPsec. Una vez autenticados ambos participantes, el tnel se crea de una manera parecida a IPsec, se lleva a cabo un intercambio Diffie-Hellman para generar claves de sesin que se utilizan para cifrar el trfico y se refrescan peridicamente. La ventaja de OpenVPN es que los datos viajan dentro de la misma conexin UDP o TCP por la que se negocia la conexin, eliminando problemas con dispositivos NAT. OpenVPN funciona sobre los sistemas operativos ms extendidos: Linux, Windows, Mac OS X, BSD, Solaris, etc. Gracias a esto, en general, no debera presentar problemas de interoperabilidad, exceptuando aquellos casos donde ya exista otra solucin implantada y no sea deseable sustituirla. OpenVPN funciona en espacio de usuario y emplea un nico puerto UDP o TCP. El uso de TCP permite establecer el tnel a travs de proxies HTTP y firewalls, pero en determinadas circunstancias puede provocar problemas en el rendimiento de la comunicacin al encapsularse paquetes TCP dentro de paquetes TCP. Se puede encontrar ms informacin sobre OpenVPN en http://openvpn.net

Panda Software 2006

12

El uso de VPN como medio de ampliacin segura de redes 5.2.1. Ventajas

Es ms sencillo de utilizar que IPsec, proporcionando una funcionalidad equivalente. Funciona en la mayor parte de sistemas operativos. A pesar de no estar estandarizado est basado en protocolos que s lo estn y son muy maduros: SSL y ESP. No tiene ningn problema para funcionar a travs de dispositivos NAT. Es capaz de funcionar a travs de proxies HTTP.

5.2.2. Desventajas
No est estandarizado y slo existe una implementacin: OpenVPN.

5.3. PPTP (Point to Point Tunneling Protocol)

El Point-to-Point Tunneling Protocol o Protocolo de Tnel Punto a Punto encapsula paquetes PPP en datagramas IP. PPTP usa una conexin TCP para mantener el tnel y para poder rutar los paquetes PPP sobre redes IP utiliza una versin modificada de GRE (Generic Routing Encapsulation o Encapsulacin Genrica de Rutado). La autenticacin PPTP est basada en el sistema de acceso de Windows NT, en el cual todos los clientes deben proporcionar un par login/password. Los mecanismos de autentificacin que soporta PPTP para establecer el tnel pueden ser: EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP (MS-CHAP y MS-CHAPv2 son propios de redes Microsoft). Para que se genere un tnel PPTP el cliente genera una comunicacin TCP saliendo por cualquier puerto TCP de su maquina al puerto TCP 1723 del servidor VPN. La creacin del tnel slo se llevar a cabo si las negociaciones de seguridad (la autentificacin) han sido satisfactorias. A continuacin se debe autentificar el usuario para ver si tiene los derechos de acceso VPN.

Panda Software 2006

13

El uso de VPN como medio de ampliacin segura de redes

Una vez establecido el tnel, los paquetes que son enviados sobre este medio, deben ser cifrados para poder ser transmitidos sobre redes publicas. El trfico en PPTP se cifra mediante Microsoft Point to Point Encription (MPPE) que puede ser definido a 40 o 128 bits de longitud de clave. Cliente y servidor deben emplear la misma codificacin. Si un servidor requiere de ms seguridad de la que soporta el cliente, ste rechaza la conexin. Sera posible realizar conexiones sin cifrado, pero ya no se tratara de una VPN. PPTP opera sobre redes IP, IPX, y NetBEUI. PPTP es un estndar propuesto por Microsoft. Su utilizacin slo es aconsejable cuando slo se requiere autentificacin de usuario, no de mquina, y cuando el cliente es NT o Windows 9X. Utiliza el protocolo MSCHAP, versin 1 o versin 2. La implementacin PPTP de Microsoft ha presentado problemas en cuanto a seguridad.

5.3.1. Ventajas
En escenarios donde sea necesaria compatibilidad con instalaciones previas puede resultar necesario.

5.3.2. Desventajas
No es seguro.

5.4. L2TP/IPsec (Layer 2 Tunneling Protocol)

L2TP (Layer 2 Tunneling Protocol o Protocolo de Tnel de Nivel 2) encapsula los paquetes PPP para ser enviados sobre IP, X.25, Frame Relay o ATM, aunque solo IP esta definido como estndar. Este protocolo es una combinacin de PPTP y Layer 2 Forwarding de Cisco Systems. Para la creacin de VPNs en internet L2TP se encapsula sobre un tnel IPsec, que es el que asegura la privacidad, integridad y autenticidad de los datos. Junto a PPTP es la implementacin ms utilizada en Windows. L2TP/IPsec es en realidad una variacin de un protocolo de encapsulado IP. Un tnel L2TP se crea encapsulando una trama L2TP en un paquete UDP, el cual es encapsulado a su vez en un paquete IP, cuyas direcciones de origen y destino definen los extremos del tnel. Siendo IP, el protocolo de encapsulado ms externo, los protocolos IPsec pueden ser utilizados sobre este paquete, protegiendo as la informacin que se transporta por el tnel. La autentificacin en L2TP sobre IPsec (L2TP/IPsec) es a nivel de usuario y maquina. La autentificacin entre las maquinas (que es la que hace segura la creacin del tnel y los extremos de la conexin) se hace intercambiando los certificados de las mquinas.

Panda Software 2006

14

El uso de VPN como medio de ampliacin segura de redes

Los mecanismos de autentificacin a nivel de usuario son los mismos que para PPTP (EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP ). En Windows 2000 y posteriores, el establecimiento del tnel se realiza a travs del puerto UDP 1701. L2TP es ms adecuado que PPTP cuando la seguridad es crtica, ya que proporciona una excelente plataforma en la que acomodar IPsec.

5.4.1. Ventajas
Ofrece el mismo nivel de seguridad que IPsec simplificando su implantacin.

5.4.2. Desventajas
Obliga a los clientes a tener al mismo tiempo, certificados X509 y un nombre de usuario y contrasea. Tiene los mismos problemas que IPsec con NAT transversal.

Panda Software 2006

15

El uso de VPN como medio de ampliacin segura de redes

6. VPN en Panda GateDefender Integra

Una red privada virtual (VPN) precisa en ambos extremos de un software capaz de cifrar el trfico saliente a la red pblica y de descifrar el trfico entrante. Este software puede ser ejecutado en un dispositivo hardware dedicado, o en un PC con un sistema operativo de propsito general, como Linux o Windows. Los ordenadores corren otras tareas que adems pueden presentar agujeros de seguridad por lo que ms seguro y eficaz es emplear un dispositivo dedicado. Panda GateDefender Integra implementa la gestin de VPNs IPsec, L2TP/IPsec, PPTP y OpenVPN para Roadwarriors y de VPNs IPsec y OpenVPN para oficinas remotas. Adems, tiene la ventaja aadida de aplicar al trfico que circula por las VPNs las mismas protecciones que al resto de conexiones que atraviesan el appliance: firewall, sistema de prevencin contra intrusiones (IPS) y proteccin antimalware para protocolos HTTP, FTP, SMTP, POP3, IMAP, NNTP. El mdulo destinado a tal efecto permite pues cifrar trfico VPN y dirigirlo mediante tneles a o otros servidores o clientes VPN para comunicar de forma segura Roadwarriors u Oficinas Remotas con la red corporativa de una empresa u organizacin. Panda GateDefender Integra incluye el sistema VPN para la creacin, gestin y monitorizacin de sus propias redes privadas virtuales, ampliando el alcance de la red y asegurando la confidencialidad de las conexiones.

Panda Software 2006

16

El uso de VPN como medio de ampliacin segura de redes

7. Defensa en profundidad con GateDefender Integra

Panda GateDefender Integra es una solucin destinada a la defensa en profundidad de una red empresarial. Si bien este white paper es objeto de la funcionalidad VPN de GateDefender Integra, es importante aclarar que la defensa en profundidad es una estrategia que consiste en utilizar mltiples capas de seguridad para proteger las redes frente a mltiples riesgos o amenazas, que se describen a continuacin..

7.1.

Clasificacin de las amenazas

Las posibles amenazas procedentes de Internet se dividen en dos tipos. Los dos tipos principales de amenazas son Amenazas a nivel de red y Amenazas a nivel de contenidos.

7.1.1. Amenazas de red

Las amenazas a nivel de red son aquellas que representan un peligro por el slo hecho de poder darse en un momento dado. Es decir, son transmisiones que, con slo establecerse entraan un riesgo para la red interna de la compaa. Se dividen en Conexiones no permitidas.: Todas las conexiones entre equipos de la red y el exterior deben ser permitidas y conocidas por el administrador de red. De este modo se asegura que no habr personas ajenas a la organizacin que puedan acceder al interior de la red. Como se ha visto, la tecnologa necesaria para evitar este tipo de amenazas es un Firewall capaz de bloquear las conexiones no necesarias. Robo de informacin en las transmisiones. Las comunicaciones entre los puestos remotos y la red corporativa se realizan utilizando Internet como medio de transporte de la informacin, que es un medio de acceso pblico al que tambin tienen acceso multitud de personas malintencionadas que podran interceptar las transmisiones realizadas entre la red corporativa y los puestos remotos. Para evitar el robo de la informacin en la red pblica se puede cifrar la informacin que viaja por Internet, para descifrarla al llegar a su destino. Para realizar este cifrado y descifrado es necesario disponer de una tecnologa llamada VPN.

Panda Software 2006

17

El uso de VPN como medio de ampliacin segura de redes

Intrusiones y ataques de hackers. Las intrusiones son amenazas difciles de detectar porque se producen haciendo un mal uso de los puertos, protocolos y conexiones que estn autorizados y son conocidos por los administradores de la red. Suelen estar asociadas a aplicaciones de uso corriente. Estas aplicaciones diseadas para una tarea especfica permiten realizar otras tareas que, si son utilizadas con habilidad pueden permitir el acceso a la red por parte de personas ajenas a la misma y realizar todo tipo de operaciones sin que el administrador de la red sea consciente. Para evitar que estas situaciones se produzcan se utiliza una tecnologa conocida como IDS/IPS o Sistema de Deteccin/Prevencin contra Intrusiones.

7.1.2. Amenazas de contenidos

Las amenazas a nivel de contenidos siempre van asociadas a datos que alcanzan el interior de la red, tales como ficheros, textos, imgenes, etc. Las formas en que afectan a las redes son muy variadas y van desde el cdigo malicioso, que destruye la informacin contenida en la red, a contenidos de las pginas web que no estando relacionados con el trabajo, hacen a los empleados perder productividad, pasando por el correo basura que satura los recursos de la red y entorpece el trabajo de los empleados. Segn esto las amenazas a nivel de contenidos son: Malware (Cdigo malicioso). Se trata d programas que son capaces de causar diferentes tipos de daos en la red. Dentro del malware se pueden distinguir virus, gusanos, troyanos, spyware, phishing, dialers, jokes, herramientas de hacking, riesgos de seguridad y las amenazas combinadas que utilizan varios tipos de malware a la vez. Para evitar los efectos causados por el malware es necsario disponer de una tecnologa Antivirus (o antimalware) que pueda proteger la red de dichas amenazas. Contenidos Potencialmente peligrosos. Son ficheros o correos que llegan a la red y que, a juicio del administrador de red, podran suponer un riesgo o un dao a la compaa si entran o salen de la red corporativa. Se trata de la aplicacin prctica de la personalizacin de las polticas de seguridad de la empresa. Para poder definir estas polticas, el administrador ha de disponer de una tecnologa llamada Content Filter o Filtrado de Contenidos.

Panda Software 2006

18

El uso de VPN como medio de ampliacin segura de redes

Spam (Correo Basura). Es el correo no deseado o no solicitado que satura la red con trfico innecesario, reduciendo, por un lado, la eficiencia de los recursos y la productividad de los empleados por otro, al obligarles a leer y borrar una cantidad de correo que no es interesante para ellos. La tecnologa capaz de discriminar el correo no deseado se denomina Antispam. Contenidos web no deseados. El acceso a pginas web con contenidos no relevantes para el desarrollo del trabajo, por parte de los usuarios de la red, reduce la productividad de los trabajadores y la disponibilidad de recursos para ser usados por otros compaeros de la misma red. La tecnologa que evita los accesos a las pginas web con contenidos no interesantes para la empresa se llama Filtrado web o Filtrado URL. Panda GateDefender Integra es un dispositivo Hardware de proteccin perimetral que est diseado para ofrecer una proteccin unificada en un solo punto de administracin contra todo tipo de amenazas provenientes de Internet. Las funcionalidades incluidas en Panda GateDefender Integra son las siguientes Firewall VPN IPS Anti-malware 1 Content-Filter Anti-spam Filtrado web

Ofrece un sistema de proteccin a nivel de Gateway diseado para implantarse en cualquier red de una forma sencilla y evitando que las amenazas que proceden de Internet lleguen a entrar en la red de la compaa.

El mdulo Anti-malware incluye proteccin contra virus, spyware, gusanos, troyanos, phishing, jokes, dialers y otros riesgos, adems del anlisis heurstico contra malware no catalogado todava..

Panda Software 2006

19

El uso de VPN como medio de ampliacin segura de redes

8. Glosario
VPN: Virtual Private Network o Red Privada Virtual, ISP: Siglas de Internet Solution Provider (Proveedor de soluciones de Internet). Son compaas que ofrecen una conexin a Internet, servicios de correo electrnico y otros servicios relacionados, tales como la construccin de pginas web o el alquiler de pginas y sitios Web en sus servidores. Frame Relay: Es un sistema o mecanismo de transmisin de datos que permite conectar y compartir informacin entre redes locales LAN separadas geogrficamente. Este servicio de comunicacin permite que dos redes locales estn conectadas y que se pueda acceder y compartir la informacin entre distintos centros o delegaciones de una empresa, construyendo as una red privada propia, una Intranet, con una elevada capacidad y velocidad en la transmisin de la informacin. WAN: Siglas de Wide Area Network (Red de rea amplia). Es una red de enrutadores conectados entre s y distribuida por un rea grande (ciudad, provincia, pas, etc.). Su caracterstica definitoria es que no tiene lmites en cuanto a su amplitud tecnolgica. EAP: Siglas de Extensible Authentication Protocol. Es un protocolo enviado a un servidor para la autenticacin del usuario o el equipo utilizado, para dar permiso de acceso a distintos servicios y contenidos. Puede soportar mltiples mecanismos de autenticacin tales como: smart cards, claves pblicas de encriptacin, one-time passwords, certificados, etc. PAP: Siglas de Password Authentication Protocol (Protocolo de autenticacin por password). Permite al sistema verificar la identidad del otro punto de la conexin mediante password. CHAP/MSCHAP: Siglas de Challenge-Handshake Authentication Protocol. Es un protodcolo de autenticacin para PPP donde la contrasea no slo se exige al empezar la conexin sino tambin se requiere durante la conexin, un fallo proporcionando la contrasea correcta durante el login o el desafio producir la desconexin SAM: Siglas de Software Asset Management. Es una herrramienta concebida para ayudar a las organizaciones a tener control sobre sus activos de software durante todo el ciclo de vida del mismo: desde la adquisicin hasta su desinstalacin o actualizacin, pasando por las fases de implementacin, soporte, mantenimiento y formacin para su total aprovechamiento. La administracin de activos de software afecta a toda la empresa e implica a todos los departamentos de la misma, desde la direccin general y la financiera, hasta el ltimo de los trabajadores que gestionan y trabajan con informacin.

Panda Software 2006

20

El uso de VPN como medio de ampliacin segura de redes

PPP: Siglas de Point to point Protocol o Protocolo punto a punto. Protocolo utilizado en Internet para establecer enlace entre dos ordenadores remotos. PPTP: Siglas de Point to Point Tunneling Protocol. Es un protocolo desarrollado por Microsoft y normalizado por la IETF (Internet Engineering Task Force) como RFC 2637 para el acceso a redes privadas virtuales (VPN). Se emplea en situaciones en las que los usuarios de una red privada corporativa precisan de un acceso a la red privada desde un lugar remoto. L2TP: Siglas de Layer 2 Tunneling Protocol. Es un protocolo que utiliza PPP para proporcionar acceso telefnico que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F. El transporte de L2TP est definido por una gran variedad de tipos de paquete, incluyendo X25, Frame relay y ATM. IPsec: Siglas de Internet Protocol Security. Es una extensin al protocolo IP que aade un cifrado fuerte para permitir servicios de autenticacin y cifrado y, de esta manera, asegurar las comunicaciones a travs de dicho protocolo. Inicialmente fue desarrollado para usarse con el nuevo estndar IPv6, aunque posteriormente se adapt a IPv4. SSL: Siglas de Secure Sockets Layer. Protocolo diseado por Netscape Communications, que permite cifrar la conexin, incluso garantiza la autenticacin. Se basa en la criptografa asimtrica y en el concepto de los certificados. 3DES: Es una triple version fuerte de la criptografa estndar DES (Data Encryption System). Se trata de un algoritmo o clave de fuerte encriptacin simtrica, es decir un mtodo para cifrar informacin, donde tres son las claves utilizadas para proporcionar una seguridad adicional. AES: Advanced Encryption Standard. Es un algoritmo de encriptacin simtrica que utiliza claves de bloqueo, fue usado para reemplazar el mtodo de encriptacin DES. Hash: Un hash o funcin resumen se refiere a una funcin o mtodo para generar claves o llaves que representen de manera unvoca a un documento, registro, archivo, etc. Estos mtodos son muy variados, pueden llegar a tomar en cuenta diversos parmetros tales como el nombre de un archivo, su longitud, hora de creacin, datos que contenga, etc. aplicndole diversas transformaciones y operaciones matemticas. MD5: Acrnimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5 es un algoritmo de reduccin criptogrfico de 128 bits ampliamente usado. El cdigo MD5 fue diseado por Ronald Rivest en 1991. Durante el ao 2004 fueron divulgados ciertos defectos de seguridad, lo que har que en un futuro cercano se cambie de este sistema a otro ms seguro. SHA1: Secure-Hash Algorithm 1 - Algoritmo 1 de Tabla Segura Panda Software 2006 21

El uso de VPN como medio de ampliacin segura de redes

IPv6: Es la versin 6 del Protocolo IP (Internet Protocol). Es la versin que sustituye a la actual estndar IPv4 IPv4: Es la versin 4 del Protocolo IP (Internet Protocol). Esta fue la primera versin del protocolo que se implemento extensamente, y forma la base de Internet. Usa direcciones de 32 bits, limitndola a 232 = 4.294.967.296 direcciones nicas, muchas de las cuales estn dedicadas a redes locales (LANs). RFC: Acrnimo de Request For Comments. Conjunto de notas tcnicas y organizativas donde se describen los estndares o recomendaciones de Internet (originalmente ARPANET), comenzado en 1969. Estn hechos para hacer compatibles los programas entre s y que se pueda usar diferente software para la misma funcin. Definen protocolos y lenguajes, se garantiza la interoperabilidad entre sistemas si ambos cumplen el mismo RFC. IP: Internet Protocol (Protocolo de Internet) Cada uno de los ordenadores del mundo que estn conectados a la red de Internet, tiene asociado un determinado nmero que le identifica a l exclusivamente dentro de dicha Red. IP es un cdigo de Identificacin o nmero de pasaporte, aplicado al ordenador. NAT: Network Address Translation o Traduccin de Direccin de Red) es un estndar creado por la Internet Engineering Task Force (IETF) el cual utiliza una o ms direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tienen una direccin IP completamente distinta (normalmente una IP no vlida de Internet definida por el RFC 1918). Por lo tanto, se puede utilizar para dar salida a redes pblicas a computadores que se encuentran con direccionamiento privado o para proteger mquinas pblicas. TLS: Transport Layer Security o Capa de Transporte Segura. Es una versin estandarizada del protocolo SSL que pretende abarcar toda la capa de transporte de la pila OSI. UDP: User Datagram Protocol (Protocolo de Datagrama de Usuario) Es un protocolo de conexin de redes informticas alternativo a TCP. Es, como el protocolo TCP, un protocolo de datagramas (paquetes que contienen informacin, que se transportan por la red, y que contienen las direcciones de origen y de destino) usado en el intercambio de informacin a travs de Internet. Tiene una cabecera: el software de gestin de red pone esta cabecera delante de la informacin a enviar del mismo modo. TCP/ IP: Siglas de las palabras inglesas Transmisin Control Protocol / Internet Protocol (Protocolo de control de transmisin / Protocolo de Internet) Se trata de un estndar de comunicaciones, protocolos o tipos de lenguaje muy extendido y de uso muy frecuente para software de red, y en ellos se basa buena parte de Internet. El primero, TCP, se encarga de dividir la informacin en paquetes en el punto de origen de la transmisin para luego recomponerla en el

Panda Software 2006

22

El uso de VPN como medio de ampliacin segura de redes

punto de destino. El segundo, IP, se responsabiliza de dirigir la informacin adecuadamente en su viaje por Internet. HTTP: HyperText Transfer Protocol (Protocolo de Transferencia de Hipertexto) Es el protocolo de comunicacin que se usa para entrar, moverse por Internet y bajarse las pginas de los distintos sitios de la Web. Se usa este protocolo para las pginas con extensin HTML o HTM. FTP: File Transfer Protocol (Protocolo de Transferencia de Ficheros) Es el protocolo (forma en que se entienden los ordenadores para comunicarse entre s) que usamos en Internet para transferir ficheros entre ordenadores. Tambin, por analoga, se le suele llamar as a las aplicaciones o programas que sirven para transferir ficheros en Internet y que usan este tipo de protocolo para hacerlo SMTP: Simple Mail Transfer Protocol (Protocolo Simple de Transferencia de Correo) Es el protocolo (tipo de lenguaje entre ordenadores) que se usa para transferir correo electrnico entre ordenadores que actan como servidores. Es un protocolo de servidor a servidor, de tal manera que para acceder a los mensajes desde los clientes es preciso utilizar otros protocolos. POP3: Post Office Protocol (Protocolo de Oficina de Correos). Se trata de un protocolo para recibir u obtener los mensajes de correo electrnico desde un Servidor de Correo. Un cliente de correo POP establece una conexin con el servidor slo el tiempo necesario para enviar o recibir correo, y luego cierra la conexin. IMAP: Internet Massage Access Protocol. Protocolo de red de acceso a mensajes almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrnico desde cualquier equipo que tenga una conexin a Internet. Una vez configurada la cuenta IMAP, puede especificar las carpetas que desea mostrar y las que desea ocultar, esta caracterstica lo hace diferente del protocolo POP NNTP: Network News Transport Protocol, Protocolo de transferencia de noticias a travs de la red. Es el protocolo usado para distribuir mensajes de noticias de red a servidores NNTP y a clientes NNTP (lectores de noticias) en Internet. Proporciona distribucin, consulta, recuperacin y exposicin de artculos de noticias mediante el uso de una transmisin confiable basada en secuencias de noticias en Internet. Est diseado de forma que los artculos de noticias se almacenan en un servidor en una base de datos centralizada, de manera que los usuarios pueden seleccionar elementos especficos que leer. Tambin se proporciona indizacin, las referencias cruzadas y la caducidad de mensajes antiguos. IDS: Intrusion Detection System o Sistema de deteccin de intrusos. Es un programa usado para detectar accesos no autorizados a un ordenador o una red. Se basa en el anlisis pormenorizado del trfico de red el cual es comparado con firmas de ataques conocidos o comportamientos sospechosos. Panda Software 2006 23

El uso de VPN como medio de ampliacin segura de redes

IPS: Acrnimo que corresponde a las siglas inglesas Intrusion Prevention System o Sistema de Prevencin contra Intrusiones. Estos sistemas consisten en blindar las redes o los equipos de la misma contra intrusiones ajenas a la propia red, que puedan darse a travs de programas ejecutados desde el interior de la red. Virus: Los virus son programas que se pueden introducir en los ordenadores y sistemas informticos de formas muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables. Gusano (Worm): Es un programa similar a un virus que, a diferencia de ste, solamente realiza copias de s mismo, o de partes de l, pudiendo propagarse y replicarse por todo un equipo o por toda la red. Troyano / Caballo de Troya: Se trata de programas que llegan al ordenador (por cualquier medio), se introducen en l, se instalan y realizan determinadas acciones para tomar el control del sistema afectado. La historia mitolgica El Caballo de Troya ha inspirado su nombre. Spyware.- Los programas espa, tambin conocidos como spyware, son aplicaciones que recopilan datos sobre los hbitos de navegacin, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien despus de ser almacenados en el ordenador. Dialers.- Los Dialers son programas de marcacin telefnica automtica que cambian la configuracin de acceso telefnico a redes de los ordenadores con conexin va mdem y hacen que se conecte a nmeros telefnicos de pago. Phishing.- Consiste en el envo de correos electrnicos que, aparentando provenir de fuentes fiables (por ejemplo, de entidades bancarias), tratan de conseguir los datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a pginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la informacin solicitada que, en realidad, va a parar a manos del estafador. Jokes.- Los Jokes o bromas son un tipo de malware que no causan daos reales. Generalmente avisan sobre vulnerabilidades o ataques de virus que no son reales pero que provocan la prdida de tiempo de los usuarios que los reciben, al intentar comprobar su veracidad. Amenazas combinadas.- En los ltimos aos, han aparecido este tipo de amenazas que son capaces de atacar las redes desde varios frentes a la vez. En una amenaza combinada se mezclan los peores aspectos de los gusanos, los virus y los troyanos y se les dota de tcnicas avanzadas de pirateo informtico. Hacking tools son todas aquellas herramientas que se puedan utilizar para robar informacin, accesos no permitidos, etc. Panda Software 2006 24

El uso de VPN como medio de ampliacin segura de redes

Security risks son aplicaciones que suponen una amenaza clara para la seguridad, y que sin embargo no pueden ser catalogados como virus. Por ejemplo, un programa dedicado a la creacin de virus o troyanos.

Panda Software 2006

25