Arquitecturas de VPN y Protocolos de Autenticación en la Red

Arquitecturas de VPN

-Tunelización:

o Encapsula un protocolo de red sobre otro (encapsulador) creando un túnel en una red, que incluye una PDU determinada dentro de otra PDU de nivel inferior para transmitirla entre los extremos del túnel sin inspección intermedia del protocolo encapsulado. Se evita el Man-In-The-Middle

-Cabeceras:

o Campo PPP, con control de autenticación y cifrado propio del protocolo PPP (Point to Point Protocol)

o Campo GRE, que lleva información sobre el túnel que establece PPTP

o Campo IP, Especifica las IP de todo el paquete según PPTP

-El enrutado se hace sobre la IP de tránsito. En el otro extremo del túnel se desencripta y desencapsula y se pone en la red compatible con la IP red privada

VPN de acceso remoto o roadwarrior

Es el más simple y el más usado. Un usuario se conecta con el sitio remoto usando Internet como red de acceso, Se establece un túnel desde el sistema del usuario hasta el servidor de VPN remoto, este le proporciona acceso a una red local.

A través del túnel, el cliente se puede relacionar con los nodos de la red remota como si fueran locales.

Para crear el túnel, el usuario necesita autenticarse en el servidor remoto, solo los que tengan permiso podrán establecer un túnel.

VPN punto a punto

El túnel se establece entre dos redes locales, una de estas debe tener su propio servidor VPN, cualquier cliente de una de las redes podrá utilizar el túnel para establecer conexiones con los clientes de la otra red como si estuviesen en una red local.

VPN sobre LAN

Mucho menos frecuente, pero eficaz para asegurar conexiones dentro de las redes locales. Semejante a acceso remoto, pero usando la LAN en vez de Internet.

Impide escuchas y suplantaciones dentro de la LAN.

El cliente debe autenticarse en el servidor VPN también para acceder a los recursos, este le proporciona parámetros de configuración para que pueda conectarse de forma segura mediante el túnel.

Se usa para aislar servidores o conjuntos de servidores dentro de la LAN, parecido a VLAN, pero con protección de nivel superior y autenticación. Se usa para asegurar Wi-Fi

Implementación de VPN

2 requisitos básicos

-Conexión a Internet o red de tránsito que soporta el túnel para hacer de red de transporte

-2 IP, una para cada extremo del túnel, así los enrutadores pueden discriminar qué paquete debe ir a qué sede de la organización. En las LAN de los extremos del túnel serán los enrutadores que se encarguen de introducir el paquete en el túnel. Si la red de tránsito es Internet, las IP deben ser públicas

El protocolo estándar es Ipsec.

Puede ser por hardware y por software:

-Hardware: Más rendimiento y fáciles de configurar

-Software: Flexibilidad

Protocolos de tunelización PPTP y L2TP

-PPTP:

o Protocolo de Microsoft, expande las características de PPP que le encapsula para que cualquier tipo de datos PPP puedan atravesar Internet como una transmisión IP habitual. Soporta encriptación, autenticación y servicios de acceso dados por RRAS

-L2TP

Desarrollado por Cisco, heredero del PPTP y L2F, encapsula datos como PPP, aceptado por la mayoría de fabricantes, usado para creación de túneles y encriptación en redes.

Protocolo IPsec

-Extensión del protocolo IP que permite asegurar comunicaciones sobre IP autenticando y cifrando los paquetes IP de una comunicación

-Trabaja en la capa de red y puede ser usado por cualquier aplicación sin modificar nada.

-Puede usar 2 protocolos, (AH-proporciona integridad, autenticación y no repudio del paquete enviado) o (ESP-Igual que AH pero sin incluir la cabecera IP)

-Tiene dos modos de funcionar

Modo transporte:

Solo los datos del datagrama IP, conservando la cabecera. El cifrado es extremo a extremo. Es necesario que todos los nodos de las redes origen y destino implementen IPsec

Modo túnel:

^§ Datagrama completamente encapsulado, requiere una nueva cabecera IP para enviarlo.

^§ Cifrado entre los routers de frontera, VPN punto a punto

-La ventaja del túnel frente al transporte es que no requiere que los nodos implementen IPsec, pero al no ser extremo a extremo, puede haber escuchas en las redes internas

-El modo túnel es más apropiado para comunicaciones entre gateways

-El modo transporte es más apropiado para intranets y host a host, pero lleva más carga administrativo

Protocolos de autenticación en la red

-PAP:

o Autenticación por contraseña

o Se envían las credenciales sin cifrar, por lo que es fácilmente escuchable

-CHAP

o Autenticación por desafío mutuo

o El cliente envía una petición de acceso con un hash de la contraseña o El servidor manda un desafío

o El cliente usa hash (MD5) para calcular un resultado con su contraseña y el desafío, y lo envía al servidor

o El servidor hace el mismo cálculo con la contraseña recibida anteriormente, y si es el mismo, se permite el acceso

-EAP

o Protocolo de autenticación extensible

o Admite diversos tipos de autenticación

o Puede usar certificados digitales y parejas user/password

o Muy usado en redes inalámbricas y conexiones punto a punto

-EAP-TLS

o Extensión de EAP que permite que EAP interaccione con un servidor RADIUS que proporciona la autenticación de credenciales y claves de cifrado haciendo de EAP uno de los más seguros y muy habitual en dispositivos inalámbricos corporativos.

o Admite cifrado y autenticación mediante certificado digital

-Kerberos

o Cliente y servidor se autentican recíprocamente

o Usa AES.

o Cada servidor, usuario o servicio tiene una clave que se registra en una BD en el servidor Kerberos

o Cliente y servidor confían en el servidor Kerberos, quien les da tickets de sesión que se usarán para autenticarse frente a los servicios de red

o Tanto para Windows como para Linux

Servidores RADIUS

RADIUS es un servicio y protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP.

Permite que cada implementación utilice sus propios dialectos. Ocasionalmente se encuentran incompatibilidades de unos fabricantes a otros

Funciones de un servidor RADIUS

-Autenticación para las cuentas de usuario

-Autorización de la operación del usuario autenticado

-Registro de la actividad del servicio

El cliente envía sus credenciales cuando necesita ganar el acceso a una red

Esta información se envía a un servidor de acceso (NAS), quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS.

El NAS puede ser el puerto del conmutador de conexión que permitirá o denegará el acceso a la red una vez validada la autenticación. El usuario suele usar user/pass pero pueden usarse otros métodos.

El RADIUS valida usando PAP, CHAP o EAP. Si es aceptado, proporciona los recursos necesarios para el acceso a través del NAT, como la IP u otros parámetros de L2TP…

Un proxy RADIUS es un servidor que gestiona peticiones y respuestas del protocolo RADIUS entre dos redes. Existen múltiples implementaciones de RADIUS, con prestaciones variables, aunque la mayoría pueden usar cuentas de usuario en forma de archivos de texto, otros sistemas como Active Directory o BD de cuentas locales de destinos SO.

El protocolo RADIUS usa 2 puertos UDO:

-UDP-1812, para autenticar clientes

-UDP-1813, para gestionar un registro del uso

Operativa de NPS-RADIUS

1. Los servidores de acceso, servidores VPN y puntos de acceso inalámbrico reciben solicitud de conexión desde clientes de acceso

2. Los servidores de acceso, configurados para usar RADIUS, crea un mensaje de solicitud de acceso y lo envía al servidor NPS

3. El NPS evalúa el mensaje de solicitud de acceso

4. Si es necesario, el NPS envía un desafío de acceso al servidor de acceso. Este procesa el desafío y envía una solicitud de acceso actualizada al servidor NPS

5. Las credenciales se comprueban y las propiedades de acceso telefónico a la cuenta se obtienen por conexión segura a un controlador de dominio

6. El intento se autoriza con las propiedades de acceso telefónico de la cuenta de usuario y las directivas de red

7. Si el intento de conexión se autentica y autoriza, el NPS envía un mensaje de aceptación de acceso al servidor de acceso. Si no es válido, el mensaje es de negación

8. El servidor de acceso completa el proceso de conexión con el cliente de acceso y envía un mensaje de solicitud de registro de actividad al NPS, donde se registra el mensaje

9. El servidor NPS envía una respuesta de registro de actividad al servidor de acceso

Se puede complicar aún más puesto que a veces los servidores de acceso no pueden conectar directamente con los servidores RADIUS. Para ello se usan proxies RADIUS

Control de acceso por puertos

IEEE 802.1X es una norma de IEEE que estandariza el control de acceso a red basado en puertos como parte del grupo de protocolos IEEE 802. Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo conexión punto a punto o denegando el acceso por ese puerto si la autenticación falla

802.1X está disponible en la mayor parte de los switch no domésticos y puede configurarse para autenticar nodos que están equipados con software específico para el acceso. El filtrado se hace a nivel de enlace de datos

Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos como complemento a las técnicas específicas de Wi-Fi

Esta autenticación es realizada normalmente por un tercero, como un RADIUS. Permite la autenticación recíproca entre el cliente y el punto de acceso de gran fortaleza usando protocolos como EAP-TLS

-Capas de la arquitectura IEEE 802.1X:

o Supplicant: Cliente que quiere conectarse

o Authenticator: Dispositivo con los puertos de conexión y que permitirá o denegará las conexiones

o Authenticator server: Quien autentica a los usuarios informando al authenticator sobre si debe o no permitir la conexión solicitada, o suministrando valores adicionales como la VLAN a la que debe conectarle

Normalmente el servidor es un RADIUS que puede emplear una amplia variedad de protocolos: Usuario y contraseña (con o sin cifrado), certificados digitales…