Topologías de VPN, Protocolos IPsec y Algoritmos de Cifrado


Topologías de VPN

VPN Sitio a Sitio

Se caracteriza porque en ambos sitios debe existir un router VPN ya que entre estos se extenderá la VPN. Puede ser intranet o extranet.

  • La VPN intranet interconecta sitios de la misma organización. Estas conexiones están dedicadas a unir sucursales u oficinas de una misma empresa. Existen routers VPN en varios puntos dependiendo de la red de la empresa y el acceso se le brinda sólo a empleados confiables.
  • La VPN extranet permite el acceso a la red a entidades externas a la organización como clientes, proveedores, asociados. Se utilizan firewalls para permitir el acceso seguro sólo a datos y recursos específicos.

Imagen

VPN de acceso remoto

Se caracteriza porque existe un solo router VPN. El usuario se conecta a la red privada de la empresa a través de un cliente VPN. El cliente puede usar una conexión xDSL, cable, ISDN, etc.

Imagen

Protocolos IPsec

IKE

Protocolo usado por IPsec para cambio periódico de cifrado de claves. A su vez, IKE usa el intercambio de claves DH para generar claves simétricas que serán usadas entre peers IPsec. Además IKE administra la negociación de otros parámetros de seguridad, como datos que requieran protección, fortaleza de las claves, métodos hash utilizados, y protección de paquetes contra la duplicidad. IKE usa el puerto UDP 500. IKE tiene la fase 1, 1.5 y 2.

IKE opera en tres modos: principal, agresivo y rápido.

ESP

El protocolo ESP envía la carga útil del paquete cifrada y protegida agregando un encabezado ESP. La autenticación ESP, el cifrado de la carga útil y el encabezado ESP son incluidas en el hash. Finalmente, se agrega una nueva encabezado en la parte frontal de la carga útil autenticada y la nueva dirección IP es la que se usa para enrutar el paquete sobre Internet.

AH

Encabezado de autenticación. La función AH se aplica al datagrama completo, con excepción de los campos del encabezado IP que van cambiando en el viaje del paquete, como el TTL, ya que estos campos son modificados por los routers a lo largo de la transmisión. AH soporta algoritmos MD5 y SHA-1. AH opera en 6 pasos:

  1. Se aplica un hash al encabezado IP y datos útiles
  2. El hash es usado para crear un encabezado AH que se añade al paquete original.
  3. El nuevo paquete es enviado al router vecino IPsec.
  4. El router vecino recibe y aplica hash al encabezado IP y datos útiles.
  5. El router vecino extrae el hash transmitido desde la cabecera AH.
  6. Finalmente el router destino compara los dos hashes; deben coincidir exactamente.

Algoritmos de Cifrado

Algoritmos simétricos

El origen y destino que se comunican se predisponen a usar la misma clave. Esta clave es usada para cifrar y descifrar los mensajes. Los algoritmos de cifrado simétrico se pueden dividir en stream ciphers y en block ciphers. Stream ciphers cifra los bits del mensaje uno a la vez y block ciphers toma un número de bits y los cifra como una sola unidad.

Stream ciphers opera sobre dígitos (bits) individuales una a la vez y la transformación varía durante el cifrado.

Un block ciphers opera sobre grupos de bits de longitud fija, denominados bloques, con una transformación invariable. Al cifrar, un block cipher puede tomar, por ejemplo, un bloque de 128 bits de texto plano como entrada y entregar como salida un bloque de texto cifrado de 128 bits. La transformación exacta se controla usando una segunda entrada, que es la clave secreta. El descifrado es similar: el algoritmo de descrifrado toma, en este ejemplo, un bloque de 128 bits de texto cifrado junto a la clave secreta y entrega como salida el bloque de texto plano original de 128 bits. DES, 3DES y AES son algoritmos simétricos que cifran por bloques.

Algoritmos asimétricos

IPsec utiliza dos algoritmos de cifrado asimétrico: DF (Diffie-Hellman) y RSA. DH intercambia llaves que son usadas para cifrar y RSA autentica el dispositivo remoto.

RSA es un algoritmo para cifrado de llave pública y fue el primer algoritmo conocido por ser adecuado para la firma y el cifrado. Fue uno de los primeros grandes avances en la criptografía. Su seguridad se basa en dos problemas matemáticos: factorizar números muy largos y el propio algoritmo RSA en sí. Se piensa que el descifrado completo de un texto cifrado con RSA es imposible porque ambos problemas son difíciles, y no hay un algoritmo que los resuelva. No ha sido encontrado ningún método para factorizar en números enteros, pero tampoco se ha demostrado que no exista un método para esto.

Las llaves RSA generalmente tienen 1.024 y 2.048 bits de longitud.

Para lograr la mejor relación rendimiento-funcionalidad la criptografía de llave pública con la criptografía de llave privada.

El acuerdo de llaves DH es un método de cifrado de clave pública para dos vecinos que entrega la manera una clave privada compartida que sólo ellos dos conocen, aunque estos se comuniquen en un canal no seguro. Los sistemas de cifrado de clave pública se basan en un sistema de dos claves:

  • Clave pública > intercambiada entre usuarios
  • Clave privada > guardada bajo secreto por los propietarios

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *