Arquitecturas de VPN, Protocolos de Seguridad y Autenticación en Redes

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 10,29 KB

1 Arquitecturas básicas de VPN

Tunelización

La tunelización encapsula un protocolo de red sobre otro (encapsulador) creando un túnel en una red, que incluye una PDU (Protocol Data Unit) determinada dentro de otra PDU de nivel inferior para transmitirla entre los extremos del túnel sin inspección intermedia del protocolo encapsulado. Mediante esta técnica, se evita el ataque Man-In-The-Middle.

Cabeceras

  • Campo PPP: Contiene el control de autenticación y cifrado propio del protocolo PPP (Point to Point Protocol).
  • Campo GRE: Lleva información sobre el túnel que establece el protocolo PPTP.
  • Campo IP: Especifica las direcciones IP de todo el paquete según el estándar PPTP.

El enrutado se realiza sobre la IP de tránsito. En el otro extremo del túnel, la información se desencifra y desencapsula, situándose en la red compatible con la IP de la red privada.

VPN de acceso remoto o Roadwarrior

Es el modelo más simple y el más utilizado. Un usuario se conecta con el sitio remoto usando Internet como red de acceso. Se establece un túnel desde el sistema del usuario hasta el servidor de VPN remoto, el cual le proporciona acceso a una red local.

A través del túnel, el cliente se puede relacionar con los nodos de la red remota como si fueran locales. Para crear el túnel, el usuario necesita autenticarse en el servidor remoto; solo los usuarios con permisos podrán establecer la conexión.

VPN punto a punto

El túnel se establece entre dos redes locales. Una de estas debe disponer de su propio servidor VPN. Cualquier cliente de una de las redes podrá utilizar el túnel para establecer conexiones con los clientes de la otra red como si estuviesen en una misma red local.

VPN sobre LAN

Mucho menos frecuente, pero eficaz para asegurar conexiones dentro de las redes locales. Es semejante al acceso remoto, pero utilizando la LAN en lugar de Internet. Impide escuchas y suplantaciones dentro de la red local.

El cliente debe autenticarse en el servidor VPN para acceder a los recursos; este le proporciona parámetros de configuración para que pueda conectarse de forma segura mediante el túnel. Se utiliza para aislar servidores o conjuntos de servidores dentro de la LAN, de forma parecida a una VLAN, pero con protección de nivel superior y autenticación. Es común para asegurar redes Wi-Fi.

3 Implementación de VPN

Existen dos requisitos básicos para la implementación:

  • Conexión a Internet o red de tránsito: Debe soportar el túnel para actuar como red de transporte.
  • Dos direcciones IP: Una para cada extremo del túnel. Así, los enrutadores pueden discriminar qué paquete debe ir a cada sede de la organización. En las LAN de los extremos del túnel, serán los enrutadores los encargados de introducir el paquete en el túnel. Si la red de tránsito es Internet, las IP deben ser públicas.

El protocolo estándar utilizado es IPsec. La implementación puede realizarse mediante:

  • Hardware: Ofrece mayor rendimiento y facilidad de configuración.
  • Software: Proporciona una mayor flexibilidad.

4 Protocolos de tunelización PPTP y L2TP

PPTP (Point-to-Point Tunneling Protocol)

Protocolo desarrollado por Microsoft que expande las características de PPP. Encapsula los datos para que cualquier tipo de tráfico PPP pueda atravesar Internet como una transmisión IP habitual. Soporta encriptación, autenticación y servicios de acceso proporcionados por RRAS.

L2TP (Layer 2 Tunneling Protocol)

Desarrollado por Cisco, es el heredero de PPTP y L2F. Encapsula datos como PPP y es aceptado por la mayoría de los fabricantes. Se utiliza para la creación de túneles y encriptación en redes.

5 Protocolo IPsec

Es una extensión del protocolo IP que permite asegurar las comunicaciones autenticando y cifrando los paquetes IP. Trabaja en la capa de red y puede ser utilizado por cualquier aplicación sin necesidad de modificaciones.

Puede utilizar dos protocolos principales:

  • AH (Authentication Header): Proporciona integridad, autenticación y no repudio del paquete enviado.
  • ESP (Encapsulating Security Payload): Ofrece las mismas funciones que AH, pero sin incluir la cabecera IP en el proceso de protección.

Modos de funcionamiento de IPsec

  • Modo transporte: Protege solo los datos del datagrama IP, conservando la cabecera original. El cifrado es de extremo a extremo. Requiere que todos los nodos de las redes origen y destino implementen IPsec.
  • Modo túnel: El datagrama es completamente encapsulado y requiere una nueva cabecera IP para su envío. El cifrado se realiza entre los routers de frontera (VPN punto a punto).

La ventaja del modo túnel frente al de transporte es que no requiere que todos los nodos implementen IPsec. Sin embargo, al no ser de extremo a extremo, pueden producirse escuchas en las redes internas. El modo túnel es más apropiado para comunicaciones entre gateways, mientras que el modo transporte es ideal para intranets y conexiones host-to-host, aunque conlleva una mayor carga administrativa.

1 Protocolos de autenticación en la red

  • PAP (Password Authentication Protocol): Autenticación por contraseña. Las credenciales se envían sin cifrar, por lo que es vulnerable a interceptaciones.
  • CHAP (Challenge-Handshake Authentication Protocol): Autenticación por desafío mutuo. El cliente envía una petición de acceso con un hash de la contraseña. El servidor manda un desafío y el cliente utiliza un algoritmo MD5 para calcular un resultado con su contraseña y el desafío recibido. Si el servidor obtiene el mismo resultado, permite el acceso.
  • EAP (Extensible Authentication Protocol): Protocolo de autenticación extensible que admite diversos métodos, como certificados digitales y parejas de usuario/contraseña. Es muy utilizado en redes inalámbricas.
  • EAP-TLS: Extensión de EAP que interacciona con un servidor RADIUS para proporcionar autenticación de credenciales y claves de cifrado. Es uno de los métodos más seguros y habitual en entornos corporativos inalámbricos.
  • Kerberos: El cliente y el servidor se autentican recíprocamente utilizando AES. Cada entidad tiene una clave registrada en una base de datos del servidor Kerberos. Los usuarios obtienen tickets de sesión para autenticarse frente a los servicios de red. Está disponible tanto para Windows como para Linux.

2 Servidores RADIUS

RADIUS (Remote Authentication Dial-In User Service) es un servicio y protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Permite que cada implementación utilice sus propios dialectos, aunque ocasionalmente existen incompatibilidades entre fabricantes.

Funciones de un servidor RADIUS

  • Autenticación para las cuentas de usuario.
  • Autorización de la operación del usuario autenticado.
  • Registro de la actividad del servicio (Accounting).

Cuando un cliente necesita acceder a la red, envía sus credenciales a un servidor de acceso (NAS), el cual redirige la petición a un servidor RADIUS. El NAS puede ser, por ejemplo, el puerto de un conmutador. El servidor RADIUS valida la información mediante PAP, CHAP o EAP y, si es aceptada, proporciona los parámetros necesarios (como la IP o configuración L2TP).

Un proxy RADIUS es un servidor que gestiona peticiones entre dos redes. El protocolo utiliza dos puertos UDP:

  • UDP-1812: Para autenticar clientes.
  • UDP-1813: Para gestionar el registro de uso.

Operativa de NPS-RADIUS

  1. Los servidores de acceso (VPN, puntos de acceso) reciben la solicitud de conexión.
  2. El servidor de acceso crea un mensaje de solicitud de acceso y lo envía al servidor NPS (Network Policy Server).
  3. El NPS evalúa el mensaje.
  4. Si es necesario, el NPS envía un desafío de acceso.
  5. Las credenciales se comprueban mediante una conexión segura a un controlador de dominio (Active Directory).
  6. El intento se autoriza según las directivas de red.
  7. Si es válido, el NPS envía un mensaje de aceptación de acceso; de lo contrario, envía una denegación.
  8. El servidor de acceso completa la conexión y envía un registro de actividad al NPS.
  9. El servidor NPS responde confirmando el registro.

Control de acceso por puertos

El estándar IEEE 802.1X regula el control de acceso a red basado en puertos. Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo la conexión o denegándola si la autenticación falla. El filtrado se realiza en el nivel de enlace de datos.

Esta autenticación suele ser realizada por un tercero, como un servidor RADIUS, permitiendo una autenticación recíproca de gran fortaleza mediante protocolos como EAP-TLS.

Capas de la arquitectura IEEE 802.1X

  • Supplicant: El cliente que desea conectarse.
  • Authenticator: El dispositivo (switch o AP) que posee los puertos físicos y permite o deniega la conexión.
  • Authentication Server: El servidor (normalmente RADIUS) que valida al usuario e informa al authenticator, pudiendo suministrar valores adicionales como la VLAN asignada.
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
IPsec L2TP Cifrado de Datos Protocolos de Autenticación Networking Seguridad de Redes Acceso Remoto RADIUS VPN Tunelización IEEE 802.1X PPTP