ccnp2 cap3 vpn

CCNP 2

CAPITULO 3

IPSEC VPN

Rafael Medina Mardones

Definición de VPN

• Una VPN o Red Privada virtual es un concepto que describe como crear una red privada dentro de una red publica manteniendo la seguridad y la confidencialidad de los datos.

Elementos necesarios para crear una VPN

• Para crear una VPN necesitamos los siguienteselementos:

• Una red existente previamente• Una conexión a Internet• VPN Gateways• Software para administrar y crear túneles

El éxito de las VPN

El éxito de las VPN radica en la seguridad. Para mantener esta seguridad las redes utilizan dos técnicas (de forma conjunta o separada):

• Encapsulación

• Encriptación

Topologías VPN

Existen 3 clases de topologías:

– VPN de acceso remoto

– VPN Intranet Site-to- Site

– VPN Extranet Site-to-Site

Topologías VPN

VPN de Acceso Remoto:

Este tipo de VPN provee de acceso remoto a la intranet o extranet a usuarios móviles, sucursales, teletrabajadores, entre otros.

Los túneles son creados con cualquiera de estos protocolos: IPSec, PPTP,L2TP, entre otros.

Ejemplo cliente VPN

Topologías VPN

Intranet Site-to-Site:

Este tipo de conecta oficinas centrales, sucursales, y oficinas remotas a una única red interna, utilizando para esto conexiones dedicadas.

Los túneles se crean empleando IPSec, IPSec/GRE.

Características de las VPN

Encapsulación VPN

El proceso de encapsulación (tunelización) es insertar un paquete en un nuevo paquete para posteriormente enviarlo al destino

Encapsulación VPN

Existen 3 tipos de protocolos que se utilizan en el proceso de tunelización

Túneles IPSec y GRE

• IP Sec:

Sólo provee transporte IP.

• GRE:

provee transporte multiprotocolo (IPX, Apple Talk, IPv4, IPv6, MPLS), y protocolos de enrutamiento dinámicos

IP Sec

IP Sec ofrece dos modos de encriptación:

• Modo Tunel:

Encripta la cabecera y el payload (data) de cada paquete

• Modo Transporte:

Solo encripta el payload

Tipos de Encriptación

Algoritmos de “llave simétrica” o “secretkey”:

Si se emplea la misma clave para encriptar y desencriptar, entonces se habla de algoritmo de cifrado simétrico. La clave debe ser conocida tanto por el emisor como el receptor del mensaje y ambos deben mantenerla en estricto secreto, ya que si se conoce peligraría el contenido del mensaje.

Algoritmos de “llave asimétrica” o “publickey”:

La criptografía de clave o llave pública se basa en que emplea dos llaves diferentes: una para el cifrado (clave pública) y otra para el descifrado (clave privada).

La clave pública está a disposición de todo el mundo en Internet y la privada sólo la conoce su propietario. Estas llaves son una secuencia bastante compleja de caracteres y de números.

IP Sec y sus Algoritmos de Encriptación

IP SEC utiliza dos algoritmos de llave publica cuando se establece un nuevo tunel:

• RSA -> Para autenticar el dispositivo remoto.

• Diffie Hellman (DF) -> para intercambiar las llaves de encriptación.

Diffie Hellman

El algoritmo Diffie-Hellman permite que dos partes, comunicándose mediante un canal no cifrado, se pongan de acuerdo en un valor numérico sin que un tercero, que tiene acceso completo a la conversación, pueda conocerlo o calcularlo, al menos en un tiempo práctico.

Integridad de Datos

Autenticación

Que es IP Sec?

• IP Sec es un conjunto de estándares abiertos que proporcionan confidencialidad, integridad y autenticación de datos.

• IP Sec actúa en capa 3 del modelo OSI.

•IP Sec ofrece algunas funciones de seguridad esenciales:

– Confidencialidad de los datos: evita que terceras partes puedan leer la información (encriptación) DES, 3DES, AES.

– Integridad de datos: asegura que los datos llegan a destino sin modificaciones HMAC, MD5, SHA-1.

– Autenticación de datos: Los datos son de quien dicen ser.

– Anti- Replay: Asegura que los paquetes no sean duplicados.

IP Sec y sus Protocolos

• IP Sec trabaja con 3 protocolos:

– IKE (internet key exchange): Protocolo encargado del intercambio de llaves

Y dos protocolos IP

– ESP: Protocolo para encriptar el payload.

– AH: Protocolo de autenticación de cabecera.

• IKE (Internet key exchange): Es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec.

• IKE utiliza el puerto 500 en UDP.

• IP Sec utiliza IKE para entregar las siguientes funciones:

– Negociación de características de las SA

– Generación automática de llaves

– Refresco automático de llaves

• Una asociación de seguridad (SA) requiere lo siguiente:

– ISAKMP (Internet Security Association and Key Management Protocol): Define los procedimientos para la autenticación de una comunicación entre pares.

– OAKLEY: encriptación basado en DH.

• ESP (Encapsulating Security Payload o IP protocol 50 ): proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.

•AH (Authentication Header o IP protocol 51): está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash MessageAuthentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta

TransformSet (transformada)

crypto ipsec transform-set TS ah-md5-hmac esp-3des esp-md5-hmac comp-lzs

Pasos de configuración de IPSEC

ccnp2 cap3 vpn

Documents

ccnp2 3 ipsec vpns

ccnp2 v5.0 quiz2

mcconnell cap3

ccnp2 lab 3 4 en

cap3 ondas

gimenez cap3

006984 cap3

azevedo cap3

cap3 manual

voloshinov- cap3

prueba cap3

ccnp2 lab all in one

cap3. registroselectricos

cap3 control

ccnp2 03-08-2010

cap3 termoii

ccnp2 (iscw) - case study 2

asandei cap3

ccnp2 - 3 ipsec vpns

cap3 materiales