8Construcción de VPN con IPSec - Ejemplos y soluciones

El acceso remoto es ahora una parte indiscutible de la gestión de los dispositivos de red de cualquier vasta red de área local, especialmente en lo que se refiere a la necesidad de una intervención rápida de un administrador de red en caso de que se produzca una situación repentina y en relación con la reducción del coste total de tal acción. Por lo tanto, el administrador de red debe estar conectado a Internet para monitorear y reconfigurar remotamente los elementos individuales de la red.

En el pasado, el protocolo Telnet se utilizaba para el acceso remoto con fines de gestión de elementos de red. Sin embargo, no protegía su propia comunicación, por lo que era relativamente fácil interceptar y capturar la información de inicio de sesión. Al difundir el acceso a Internet, se necesitaba un protocolo que protegiera las comunicaciones contra posibles atacantes. Así, SSH (Secure Shell), que se comunica con el protocolo de transporte TCP por defecto en el puerto 22, proporciona autenticación segura en ambos lados, asegura su integridad, cifrado de datos transparente y, opcionalmente, compresión sin pérdidas (se puede encontrar más información en RFC 4252).

Las necesidades de las grandes empresas de interconectar de forma segura sus sucursales han creado redes privadas virtuales que debían proporcionar la conexión de dos o más dispositivos de red en un entorno público de Internet no fiable. Otra razón fue el precio de la interconexión. En el caso de los circuitos dedicados, los costes serían incomparablemente más elevados. Desde la perspectiva del modelo de referencia OSI, las VPNs generalmente se pueden dividir por la capa en la que están trabajando. Las tecnologías VPN más comunes se enumeran en la siguiente tabla.

Las tecnologías más comunes en VPNs

Tipo de VPN

Capa RM-OSI

Descripción

Frame Relay

enlace

Requiere un entorno homogéneo de Frame Relay. Fiable, más seguro, pero también más caro en comparación con la VPN IP.

ATM

enlace

Requiere un entorno ATM homogéneo. Al igual que FR, proporciona canales virtuales con parámetros acordados.

L2TP/PPTP

enlace

L2TP como sustituto de PPTP, que deriva las claves de la contraseña del usuario (potencial debilidad). PPTP utiliza MPPE (Microsoft Point-to-Point Encryption) y L2TP IPsec para el cifrado. Definido por RFC 2637 y RFC 2661.

BGP/MPLS

enlace/red

Intercambia información de forma segura entre routers fronterizos BGP (Border Gateway Protocol) en redes troncales que utilizan túneles MPLS. Definido por RFC 4364 y otros.

IPSec

red

Es una extensión de seguridad del protocolo IP convencional. El cifrado de cada paquete crea una transmisión transparente y segura (el llamado túnel). Definido por varias recomendaciones RFC.

SSL/TLS

transporte y superiores

SSL (Secure Sockets Layer) es una tecnología que es transparente a la tecnología utilizada en la capa de red OSI. SSL se deriva entonces del protocolo TLS (Transport Layer Security) definido en RFC 5246.

La forma más común de conectar sucursales es conectarlas con VPN IPSec cuando se establece un canal unidireccional (virtual) cifrado llamado SA entre routers/firewalls ubicados en la red de área local.

Para la comunicación dúplex (bidireccional), se deben establecer dos SA unidireccionales independientes.

IPSec es un componente obligatorio de IPv6 y, además, también se ha implementado en IPv4.

IPSec permite trabajar en dos modos (túnel - el paquete IP original completamente encapsulado en un nuevo paquete IP, y transporte - la cabecera IPsec se inserta entre la cabecera IP original y la cabecera de la capa superior) y se utiliza para proteger dos protocolos AH y ESP. Ambos protocolos admiten cifrado cero (NULL), DES (Data Encryption Standard), 3DES (Triple DES), AES (Advanced Encryption Standard) y Blowfish. El protocolo IPsec está definido en muchas recomendaciones RFC (Request For Comments), pero el básico es el RFC 4301. Para garantizar la integridad, se utilizan los algoritmos MD5 (Message-Digest 5) y SHA-1 de HMAC.