ccnp2 cap3 vpn

1© 2006 Cisco Systems, Inc. All rights reserved. Cisco

CCNP 2

CAPITULO 3

IPSEC VPN

Rafael Medina Mardones


Definición de VPN

• Una VPN o Red Privada virtual es un concepto que describe como crear una red privada dentro de una red publica manteniendo la seguridad y la confidencialidad de los datos.


Elementos necesarios para crear una VPN

• Para crear una VPN necesitamos los siguienteselementos:

• Una red existente previamente• Una conexión a Internet• VPN Gateways• Software para administrar y crear túneles


El éxito de las VPN

El éxito de las VPN radica en la seguridad. Para mantener esta seguridad las redes utilizan dos técnicas (de forma conjunta o separada):

• Encapsulación

• Encriptación


Topologías VPN

Existen 3 clases de topologías:

– VPN de acceso remoto

– VPN Intranet Site-to- Site

– VPN Extranet Site-to-Site


Topologías VPN

VPN de Acceso Remoto:

Este tipo de VPN provee de acceso remoto a la intranet o extranet a usuarios móviles, sucursales, teletrabajadores, entre otros.

Los túneles son creados con cualquiera de estos protocolos: IPSec, PPTP,L2TP, entre otros.


Ejemplo cliente VPN


Topologías VPN

Intranet Site-to-Site:

Este tipo de conecta oficinas centrales, sucursales, y oficinas remotas a una única red interna, utilizando para esto conexiones dedicadas.

Los túneles se crean empleando IPSec, IPSec/GRE.


Características de las VPN


Encapsulación VPN

El proceso de encapsulación (tunelización) es insertar un paquete en un nuevo paquete para posteriormente enviarlo al destino


Encapsulación VPN

Existen 3 tipos de protocolos que se utilizan en el proceso de tunelización


Túneles IPSec y GRE

• IP Sec:

Sólo provee transporte IP.

• GRE:

provee transporte multiprotocolo (IPX, Apple Talk, IPv4, IPv6, MPLS), y protocolos de enrutamiento dinámicos


IP Sec

IP Sec ofrece dos modos de encriptación:

• Modo Tunel:

Encripta la cabecera y el payload (data) de cada paquete

• Modo Transporte:

Solo encripta el payload


Tipos de Encriptación

Algoritmos de “llave simétrica” o “secretkey”:

Si se emplea la misma clave para encriptar y desencriptar, entonces se habla de algoritmo de cifrado simétrico. La clave debe ser conocida tanto por el emisor como el receptor del mensaje y ambos deben mantenerla en estricto secreto, ya que si se conoce peligraría el contenido del mensaje.



Algoritmos de “llave asimétrica” o “publickey”:

La criptografía de clave o llave pública se basa en que emplea dos llaves diferentes: una para el cifrado (clave pública) y otra para el descifrado (clave privada).

La clave pública está a disposición de todo el mundo en Internet y la privada sólo la conoce su propietario. Estas llaves son una secuencia bastante compleja de caracteres y de números.


IP Sec y sus Algoritmos de Encriptación

IP SEC utiliza dos algoritmos de llave publica cuando se establece un nuevo tunel:

• RSA -> Para autenticar el dispositivo remoto.

• Diffie Hellman (DF) -> para intercambiar las llaves de encriptación.


Diffie Hellman

El algoritmo Diffie-Hellman permite que dos partes, comunicándose mediante un canal no cifrado, se pongan de acuerdo en un valor numérico sin que un tercero, que tiene acceso completo a la conversación, pueda conocerlo o calcularlo, al menos en un tiempo práctico.


Integridad de Datos


Autenticación


Que es IP Sec?

• IP Sec es un conjunto de estándares abiertos que proporcionan confidencialidad, integridad y autenticación de datos.

• IP Sec actúa en capa 3 del modelo OSI.

•IP Sec ofrece algunas funciones de seguridad esenciales:

– Confidencialidad de los datos: evita que terceras partes puedan leer la información (encriptación) DES, 3DES, AES.

– Integridad de datos: asegura que los datos llegan a destino sin modificaciones HMAC, MD5, SHA-1.

– Autenticación de datos: Los datos son de quien dicen ser.

– Anti- Replay: Asegura que los paquetes no sean duplicados.


IP Sec y sus Protocolos

• IP Sec trabaja con 3 protocolos:

– IKE (internet key exchange): Protocolo encargado del intercambio de llaves

Y dos protocolos IP

– ESP: Protocolo para encriptar el payload.

– AH: Protocolo de autenticación de cabecera.


IKE

• IKE (Internet key exchange): Es un protocolo usado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec.

• IKE utiliza el puerto 500 en UDP.

• IP Sec utiliza IKE para entregar las siguientes funciones:

– Negociación de características de las SA

– Generación automática de llaves

– Refresco automático de llaves


IKE

• Una asociación de seguridad (SA) requiere lo siguiente:

– ISAKMP (Internet Security Association and Key Management Protocol): Define los procedimientos para la autenticación de una comunicación entre pares.

– OAKLEY: encriptación basado en DH.


• ESP (Encapsulating Security Payload o IP protocol 50 ): proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.

•AH (Authentication Header o IP protocol 51): está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash MessageAuthentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta


TransformSet (transformada)

crypto ipsec transform-set TS ah-md5-hmac esp-3des esp-md5-hmac comp-lzs


Pasos de configuración de IPSEC

ccnp2 cap3 vpn

Documents