INTRODUCCION:

La seguridad es una preocupacin cuando se utiliza el Internet para realizar negocios.

Redes privadas virtuales (VPN) se utilizan para garantizar la seguridad de los datos a travs de
Internet.
Una VPN se utiliza para crear un tnel privado en una red pblica.
Los datos pueden ser asegurados mediante cifrado en este tnel a travs de Internet y mediante el
uso de autenticacin para proteger los datos contra el acceso no autorizado.
Este captulo explica los conceptos y procesos relacionados con las VPN, as como los beneficios de
las implementaciones VPN y los protocolos subyacentes necesarios para configurar VPNs.
Introd. De VPN:
Las VPN se utilizan para crear una conexin de red privada de extremo a extremo a travs de redes
de terceros, tales como Internet o extranets.
Para implementar VPNs, una puerta de enlace VPN es necesario: Podra ser un router, un firewall o
un Security Appliance de Cisco adaptable (ASA).
Fundamentos de VPN
Beneficios de VPNs:
Ahorro de costes
Capacitar a las organizaciones a utilizar, de terceros de transporte de Internet rentable para
conectar oficinas remotas y usuarios remotos al sitio principal.
Escalabilidad
Capacitar a las organizaciones a utilizar la infraestructura de Internet en los ISP y los dispositivos,
lo que hace que sea fcil agregar nuevos usuarios.
La compatibilidad con la tecnologa de banda ancha
Permitir a los trabajadores mviles y teletrabajadores para tomar ventaja de la alta velocidad,
conectividad de banda ancha, como DSL y cable, para obtener acceso a las redes de su
organizacin, proporcionando a los trabajadores la flexibilidad y la eficiencia.
Proporcionar una solucin rentable para conectar oficinas remotas.
Seguridad:
Pueden incluir mecanismos de seguridad que proporcionan el ms alto nivel de seguridad
mediante el uso de protocolos de cifrado y autenticacin avanzadas que protegen los datos contra
el acceso no autorizado.
Tipos de VPN
Site-to-Site VPN:
Conecta redes enteras entre s, en el pasado, se requera una lnea dedicada o una conexin Frame
Relay para conectar los sitios, sino porque la mayora de las empresas tienen acceso a Internet,
estas conexiones pueden ser reemplazados con sitio-a-sitio VPN.
Los hosts internos no tienen conocimiento de que existe una VPN.
Creado cuando los dispositivos en ambos lados de la conexin VPN son conscientes de la
configuracin de la VPN de antemano.
Hosts finales enviar y recibir trfico TCP / IP normal a travs de una puerta de enlace VPN.
La puerta de enlace VPN se encarga de encapsular y cifrar el trfico de salida para todo el trfico
de un sitio en particular
La pasarela VPN enva entonces a travs de un tnel VPN a travs de Internet a una VPN de puerta
de enlace de pares en el sitio diana.
Al recibirlo, el gateway VPN de pares tiras los encabezados, descifra el contenido y retransmite el
paquete hacia el host de destino dentro de su red privada.
Tipos de VPN
VPNs de acceso remoto:
Apoyar las necesidades de los teletrabajadores, usuarios mviles y extranet, el trfico de
consumidor a empresa.
Apoye una arquitectura cliente / servidor, donde el cliente VPN (host remoto) gana el acceso
seguro a la red corporativa a travs de un dispositivo de servidor de VPN en el borde de la red.
Se utiliza para conectar hosts individuales que deben acceder a su red corporativa de forma segura
a travs de Internet.
Software de cliente VPN puede ser necesario instalar en el dispositivo final del usuario mvil (Cisco
AnyConnect Secure Mobility Client).
Cuando el host intenta enviar todo el trfico, el software Cliente VPN encapsula y encripta este
trfico y lo enva a travs de Internet a la pasarela de VPN en el borde de la red de destino.

Fundamentos de enrutamiento genrico
Introduccin a la encapsulacin GRE:
Basic, el protocolo VPN tunneling, no seguro de sitio a sitio desarrollado por Cisco
Encapsula una amplia variedad de tipos de paquetes de protocolo dentro de tneles IP
Crea un enlace virtual punto a punto a los routers en puntos remotos, a travs de una red IP
Fundamentos de la encapsulacin de enrutamiento genrico
Caractersticas de GRE:
GRE tiene estas caractersticas:
GRE se define como un estndar IETF.
Protocolo IP 47 se utiliza para identificar paquetes GRE.
GRE encapsulado utiliza un campo tipo de protocolo en la cabecera GRE para apoyar la
encapsulacin de cualquier protocolo OSI capa 3.
GRE s es aptrida; que no incluye ningn mecanismo de control de flujo, de forma
predeterminada.
GRE no incluye ningn mecanismo de seguridad estricta para proteger su carga til.
La cabecera GRE, junto con la cabecera IP de tnel, crea al menos 24 bytes de sobrecarga adicional
para paquetes de tnel.
IPsec VPNs:
Informacin de una red privada se transporta de forma segura sobre una red pblica.
Forma una red virtual en lugar de utilizar una conexin dedicada de Capa 2.
Para seguir siendo privada, el trfico se cifra para mantener los datos confidenciales
Funciones IPsec:
Define como una VPN se pueden configurar de forma segura mediante IP.
Marco de estndares abiertos que se establecen las normas para las comunicaciones seguras.
No limitarse a ninguna de cifrado especfica, la autenticacin, los algoritmos de seguridad, o
introducir la tecnologa.
Se basa en los algoritmos existentes para implementar comunicaciones seguras.
Trabaja en la capa de red, la proteccin y la autenticacin de los paquetes IP entre los dispositivos
IPsec participantes.
Asegura un camino entre un par de puertas de enlace, un par de hosts, o una puerta de enlace y el
host.
Todas las implementaciones de IPsec tienen un encabezado de texto plano de nivel 3, por lo que
no hay problemas con el enrutamiento.
Funciones ms de los 2 protocolos de capa, tales como Ethernet, ATM o Frame Relay.
IPsec Caractersticas:
Caractersticas de IPsec se pueden resumir de la siguiente manera:
IPsec es un marco de estndares abiertos que es-algoritmo independiente.
IPsec proporciona confidencialidad de datos, integridad de datos y autenticacin de origen.
IPsec acta en la capa de red, la proteccin y la autenticacin de los paquetes IP.
Seguridad del protocolo Internet
Servicios de seguridad IPsec:
La confidencialidad (cifrado) - cifrar los datos antes de transmitirlos a travs de la red
Integridad de datos - comprobar que los datos no se ha modificado mientras estaba en trnsito, si
se detecta la manipulacin, el paquete se descarta
Autenticacin - verificar la identidad de la fuente de la informacin que se enva, se asegura de
que la conexin se realiza con el interlocutor deseado, IPsec utiliza Internet Key Exchange (IKE)
para autenticar a los usuarios y los dispositivos que se pueden llevar a cabo la comunicacin de
manera independiente.
Anti-Replay Proteccin - detectar y rechazar paquetes repite y ayuda a evitar la suplantacin de
identidad

CIA: confidencialidad, integridad y autenticacin

Marco IPsec
La confidencialidad con cifrado:
Para el cifrado funcione, tanto el emisor como el receptor deben conocer las reglas que se utilizan
para transformar el mensaje original en su forma codificada.
Las reglas se basan en algoritmos y claves asociadas.
El descifrado es extremadamente difcil (o imposible) sin la llave correcta.

Marco de IPsec
Los algoritmos de cifrado:
A medida que aumenta de longitud de clave, se hace ms difcil de romper el cifrado. Sin embargo,
una clave ms larga requiere ms recursos del procesador cuando el cifrado y descifrado de datos.
Existen dos tipos principales de cifrado son:
El cifrado simtrico
El cifrado asimtrico

Marco de IPsec
Symmetric Encryption:
El cifrado y descifrado, utilizan la misma clave.
Cada uno de los dos dispositivos de red debe conocer la clave para descodificar la informacin.
Cada dispositivo encripta la informacin antes de enviarla a travs de la red con el otro dispositivo.
Normalmente se utiliza para cifrar el contenido del mensaje.
Ejemplos: DES y 3DES (ya no se considera seguro) y AES (256 bits recomendada para el cifrado
IPsec).

Marco IPsec
El cifrado asimtrico:
Utiliza diferentes claves para el cifrado y el descifrado.
Conocer una de las claves no permite que un pirata informtico para deducir la segunda clave y
decodificar la informacin.
Una de las claves cifra el mensaje, mientras que una segunda clave descifra el mensaje.
Cifrado de clave pblica es una variante de cifrado asimtrico que utiliza una combinacin de una
clave privada y una clave pblica.
Normalmente se utiliza en la certificacin digital y gestin de claves
Ejemplo: RSA

Marco de IPsec
Diffie-Hellman de intercambio de claves:
Diffie-Hellman (DH) no es un mecanismo de cifrado y no se usa tpicamente para cifrar los datos.
DH es un mtodo para el intercambio seguro de las claves que cifran los datos.
Algoritmos DH permiten dos partes para establecer una clave secreta compartida utilizada por los
algoritmos de cifrado y hash.
DH es parte de la norma de IPsec.
Los algoritmos de cifrado, tales como DES, 3DES, y AES, as como el MD5 y SHA-1 algoritmos de
hash, requieren una simtrica, clave secreta para realizar el cifrado y descifrado compartida.
Algoritmo DH especifica un mtodo de intercambio de claves pblica que proporciona una forma
para que dos compaeros para establecer una clave secreta compartida que slo ellos conocen,
aunque se estn comunicando a travs de un canal inseguro.

Marco de IPsec
Integridad con hash Algoritmos:
El remitente original genera un hash del mensaje y lo enva con el mensaje mismo.
El receptor analiza el mensaje y el hash, produce otro de hash del mensaje recibido y compara los
dos hashes.
Si son iguales, el destinatario puede estar razonablemente seguro de la integridad del mensaje
original.

De mensajes basado en Hash-Authentication Code (HMAC) es un mecanismo de autenticacin de
mensajes mediante funciones hash.
HMAC tiene dos parmetros: una entrada de mensaje y una clave secreta que slo conoce el autor
del mensaje y los receptores previstos.
Remitente del mensaje utiliza una funcin HMAC para producir un valor (el cdigo de
autenticacin de mensaje) formada por condensacin de la clave secreta y el mensaje de entrada.
Mensaje de cdigo de autenticacin se enva junto con el mensaje.
Receptor calcula el cdigo de autenticacin de mensaje en el mensaje recibido utilizando la misma
clave y la funcin HMAC como remitente utilizado.
Receptor compara el resultado que se calcula con el cdigo de autenticacin de mensaje recibido.
Si los dos valores coinciden, el mensaje ha sido recibido correctamente y el receptor est seguro
de que el remitente es un miembro de la comunidad de usuarios que comparten la clave.

Hay dos algoritmos HMAC comunes:
MD5 - Utiliza una clave secreta compartida de 128 bits. El mensaje de longitud variable y la clave
secreta compartida de 128 bits se combinan y pasan por el algoritmo hash HMAC-MD5. La salida
es un hash de 128 bits. El hash se aade al mensaje original y se enva al extremo remoto.
SHA - SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta
compartida de 160 bits se combinan y pasan por el algoritmo hash HMAC-SHA1. La salida es un
hash de 160 bits. El hash se aade al mensaje original y se enva al extremo remoto.

Marco de IPsec
IPsec Autenticacin:
Soporte IPsec Autenticacin de VPNs.
Dispositivo en el otro extremo del tnel VPN debe ser autenticado antes de la ruta de
comunicacin se considera seguro.

Hay dos mtodos de autenticacin de pares, PSK y RSA firmas:
PSK
Una clave secreta compartida entre las dos partes mediante un canal seguro antes de que necesite
ser utilizado.
Utilice los algoritmos criptogrficos de clave simtrica.
Un PSK se introduce en cada nodo manualmente y se utiliza para autenticar el par.

Firmas RSA
Los certificados digitales se intercambian para autenticar pares.
Dispositivo local deriva un hash y lo cifra con su clave privada.
Hash, o firma digital encriptada, se adjunta al mensaje y se remiti al extremo remoto.
En el extremo remoto, el hash cifrado se descifra utilizando la clave pblica del extremo local.
Si el hash descifrado coincide con el hash vuelven a calcular, la firma es autntica.

IPsec Protocolo Marco:
Encabezado de autenticacin (AH)
Protocolo adecuado para utilizar cuando no se requiere la confidencialidad ni se le permitir.
Proporciona autenticacin e integridad de datos para los paquetes IP que se pasan entre dos
sistemas.
No proporciona confidencialidad de datos (cifrado) de los paquetes.

Carga de seguridad encapsuladora (ESP)
Un protocolo de seguridad que proporciona confidencialidad y la autenticacin mediante el
cifrado del paquete IP.
Autentica el paquete IP interior y cabecera ESP.
Tanto el cifrado y la autenticacin son opcionales en la percepcin extrasensorial, como mnimo,
tiene que elegir una de ellas.

Cuatro bloques de construccin bsica del marco de IPsec que se debe seleccionar:
IPsec protocolo marco - Una combinacin de ESP y AH, ESP o AH + ESP opciones casi siempre se
seleccionan porque s AH no proporciona cifrado.
Confidencialidad (si IPsec se implementa con ESP) - DES, 3DES, AES o, AES Se recomienda
vivamente la proporciona la mayor seguridad.
Integridad - Garantiza que el contenido no ha sido alterado en trnsito utilizando algoritmos hash
(MD5 o SHA).
Autenticacin - Representa cmo los dispositivos en ambos extremos del tnel VPN se autentican
(PSK o RSA).
DH grupo de algoritmos - Representa cmo se establece una clave secreta compartida entre pares,
DH24 proporciona la mayor seguridad.

Tipos de VPN de acceso remoto:
Hay dos mtodos principales para la implementacin de VPN de acceso remoto:
Secure Sockets Layer (SSL)
Seguridad IP (IPsec)
Tipo de mtodo de VPN basado en los requisitos de acceso de los usuarios y los procesos de TI de
la organizacin.
Ambos tipos ofrecen acceso a prcticamente cualquier aplicacin de red o recurso.

Soluciones de acceso remoto VPN
Cisco SSL VPN:
Proporciona acceso remoto mediante un navegador web y el cifrado SSL nativo del navegador
web.
Puede proporcionar acceso remoto mediante el software Secure Mobility Client Cisco AnyConnect
SOLUCIONES:
Cisco AnyConnect Secure Mobility Client con SSL
SSL VPN basadas en cliente proporcionan a los usuarios autenticados con acceso completo a la red
de tipo LAN a los recursos corporativos
Los dispositivos remotos requieren una aplicacin de cliente, tales como el cliente VPN de Cisco o
el cliente AnyConnect ms reciente para ser instalado en el dispositivo de usuario final

Cisco Secure Movilidad sin cliente SSL VPN
Permite a las empresas para facilitar el acceso a los recursos corporativos, incluso cuando no se
maneja corporativamente-el dispositivo remoto
Cisco ASA se utiliza como un dispositivo de proxy para los recursos de red
Proporciona una interfaz de portal web para dispositivos remotos para navegar la red con
capacidad de reenvo de puertos

IPsec acceso remoto:
La solucin Cisco Easy VPN consta de tres componentes:
Cisco Easy VPN Servidor - Un router Cisco IOS o Cisco ASA Firewall acta como dispositivo de
cabecera VPN en redes VPN de sitio a sitio o de acceso remoto.
Cisco Easy VPN remoto - Un router Cisco IOS o Cisco ASA Firewall acta como cliente VPN remoto.
Cisco VPN Client - Una aplicacin soportada en un PC se utiliza para acceder a un servidor VPN de
Cisco.
La caracterstica de la solucin Cisco Easy VPN ofrece flexibilidad, escalabilidad y facilidad de uso
tanto para IPsec VPN de sitio a sitio y acceso remoto.