Transcript
Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
INFORME PROTOCOLOS VPN
L2TP – DIFF-SERV – IPSEC
Profesor: Jaime Aguilera Alumnos: César Vivanco - Wilson Bucherenick - Marcelo Puebla
1
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
INDICE
INDICE INTRODUCCIÓN L2TP - LAYER 2 TUNNELING PROTOCOL
DEFINICIÓN DESARROLLO ARQUITECTURA BENEFICIOS
DIFFSERV – SERVICIOS DIFERENCIADOS
DEFINICIÓN CALIDAD DE SERVICIO (QoS) ARQUITECTURA PROTOCOLOS DE GESTIÓN DE POLITICAS (COPS)
IPSEC
DEFINICIÓN PROTECCION CONTRA ATAQUES AH - CABECERA DE AUTENTICACIÓN ESP - CARGA DE SEGURIDAD ENCAPSULADA
CONCLUSIÓN
INTRODUCCIÓN
Las redes privadas virtuales (VPN) son redes que permiten enviar datos privados a través de la red pública (Internet), los datos enviados por Internet son cifrados de manera que toda la red es "virtualmente" privada. Un ejemplo típico será la red de una compañía donde hay dos oficinas en ciudades diferentes. Usando Internet, las dos oficinas fusionan en redes distintas, pero que al estar conectadas por VPN funcionan como una sola red mediante el cifrado de esta red. Para realizar esta comunicación de un punto a otro, en el mercado existen diferentes alternativas de protocolos y estándares, De los cuales en este informe revisaremos en detalle sólo 3: L2TP, DIFFSERV e IPSec.
2
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
L2TP
LAYER 2 TUNNELING PROTOCOL
El protocolo L2TP (Layer Two Tunneling Protocol) standard establecido por la Internet Engineering Task Force (IETF) es un protocolo que nace de la combinación de las mejores características de 2 otros protocolos actualmente utilizados para establecer conexiones VPN: L2F (Layer Two Forwarding – Reenvío de capa 2) o Protocolo desarrollado por Cisco, que a diferencia del PPTP (Microsoft) no depende de IP con lo cual es capaz de trabajar directamente bajo otros protocolos. Utiliza PPP para la autenticación de usuarios remotos. Los túneles que crea pueden soportar más de una conexión.
o
PPTP (Point to Point Tunneling Protocol – Protocolo de túnel punto a punto) o Protocolo desarrollado por Microsoft, que trabaja dentro del protocolo PPP para conexiones punto a punto principalmente en redes remotas. Es un túnel del tipo voluntario que trabaja en arquitecturas cliente-servidor.
L2TP AL ESTAR BASADO EN L2F Y PPTP SE CONSIDERA UN PROTOCOLO PPP (POINT TO POINT) ESTÁNDAR FUNDAMENTAL UTILIZADO PARA LA CONEXIÓN DE LAS ACTUALES REDES VPN.
DESARROLLO
Las redes tradicionales de Internet por acceso telefónico sólo trabajan con direcciones IP registradas, característica que limita los tipos de aplicaciones que se implementan sobre las redes VPN. L2TP soporta múltiples protocolos y direcciones IP no registradas a través de Internet. Esto permite que las Infraestructuras de acceso existentes, tales como Internet, acceso por módems, servidores de acceso, adaptadores puedan ser utilizadas. Además permite a
3
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
los clientes empresariales externalizar sus servicios de soporte, reduciendo considerablemente los costos de mantención de equipos y de sistemas a través de la WAN.
ARQUITECTURA
DEFINICIONES DEL ESQUEMA:
Concentrador de acceso L2TP (LAC): Es un dispositivo el cual permite al cliente conectarse directamente mediante tramas con el servidor de red L2TP (LNS). El LAC sólo necesita establecer los medios de comunicación sobre la que L2TP comenzará pasar el tráfico entre uno o más LNSs. LAC puede encaminar cualquier protocolo PPP que lleve dentro de su entramado. El LAC es el iniciador de las llamadas entrantes y el receptor de llamadas salientes. Análoga a la Layer 2 Forwarding (L2F) de acceso al servidor de red (NAS). Servidor de red L2TP (LNS): Es el punto de término para el túnel L2TP y punto de acceso en caso de tramas PPP que se procesan y se pasa a protocolos de la capa superior. Un LNS opera sobre cualquier plataforma con capacidad de transmisión PPP. El LNS gestiona el lado del servidor del protocolo L2TP. L2TP se basa sólo en los medios de comunicación sobre la que los túneles L2TP son transmitidos. El LNS puede tener una sola LAN o interfaz WAN, y aún así ser capaces de terminar las llamadas que llegan a cualquiera lugar de los países latinoamericanos con interfaces PPP (asincrónica y sincrónica, RDSI, V.120, etc.) El LNS es el iniciador de las llamadas salientes y el receptor de las llamadas entrantes. Análoga a la Layer 2 Forwarding (L2F) Home Gateway (HGW).
Con L2TP, un proveedor de servicios Internet (ISP) puede crear un túnel virtual para conectar sitios remotos de atención al cliente o usuarios remotos con las redes domésticas corporativa. El concentrador de acceso L2TP (LAC), ubicado en el punto de presencia (POP) de el ISP y los intercambios de mensajes PPP con usuarios remotos,
4
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
se realizan por medio de peticiones y respuestas con clientes L2TP y servidores de red L2TP (LNS) para establecer los túneles. L2TP pasa el tráfico a la capa de paquetes del protocolo a través del túnel virtual entre los extremos por conexiones de punto a punto. Los Frames enviados desde los usuarios remotos son aceptados por los POP (Point of Presence) desde el ISP, encapsulándolas en tramas L2TP y transmitiéndolas a través del túnel apropiado. El Gateway cliente acepta estos frames L2TP, recibe la encapsulación L2TP, y procesa las tramas de entrada para la interfaz adecuada.
En el siguiente esquema se muestra la estructura de comunicación del protocolo BENEFICIOS: Interoperabilidad de proveedores. Puede ser una solución de gran escala que permite a los ISP, empresas de telecomunicaciones o prestadores de servicios ofrecer servicios VPNs a otros proveedores de servicios Internet (ISP) y otros proveedores de servicios diferentes. Puede ser el inicio de una solución VPN, en donde los clientes empresariales que utilizan un PC, puede utilizar el cliente L2TP iniciado por un tercero. Todas las características de valor agregado disponibles en la actualidad con el protocolo L2F de Cisco, tales como el balanceo de carga y soporte de copia de seguridad, estarán disponibles en futuras versiones de IOS que soporten L2TP.
5
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
DIFF-SERV
SERVICIOS DIFERENCIADOS
DEFINICIÓN En la actualidad, razones económicas han surgido para diferenciar el tráfico;Internet se ha puesto mucho más en uso y se ha convertido en una misión crítica para ciertas compañías. Las tendencias en Internet hoy en día son caracterizadas por un fuerte crecimiento, por procurar ofrecer servicios diversos sobre la red y por buscar simplificar la operación y la gestión. Actualmente la gran mayoría de los sistemas informáticos se basan en redes de datos, las cuales deben soportar cada vez más funciones y aplicaciones. El Protocolo de Internet (IP), ha terminado imponiéndose como el protocolo más usado para el transporte e intercambio de información entre redes. El desarrollo de estas redes de datos se está enfocando hacia la provisión de Calidad de Servicio (QoS o IPQoS), la cual permite priorizar, controlar y realizar un seguimiento de las estadísticas de control. Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red. La mayoría se las redes de datos no distinguen entre las diferentes aplicaciones que transportan, por ejemplo, no diferencian entre una videoconferencia con determinado requisito de ancho de banda y la navegación web de características completamente diferentes. El objetivo de la Calidad de Servicio en una red es cuantificar el tratamiento que un paquete debe esperar a medida que circula por la red. El objetivo de una QoS diferenciada (Diff-Serv), es el dar a ciertos paquetes un mejor trato y a otros un peor trato. CALIDAD DE SERVICIO (QOS) Las redes IP reparten paquetes con un tipo de servicio conocido como “best effort” (BE), lo cual equivale a “lo más posible, lo antes posible”. Los paquetes con este tipo de servicio tienen la misma expectativa de tratamiento a medida que transita la red.
6
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
La calidad de servicio consiste en la capacidad de la red para reservar o priorizar algunos de los recursos disponibles para un tráfico determinado con la intención de proporcionar un determinado servicio. Debemos tener en cuenta que en la red se pueden utilizar diferentes tecnologías de transporte (como pueden ser Frame Relay, X.25, SDH, ATM, etc.) de manera que la implementación de QoS implica la interacción con estas tecnologías y con los equipos de conmutación (Router y Switch), que son los que finalmente determinarán el nivel de QoS alcanzado. En telefonía IP un protocolo QoS prioriza paquetes provenientes del servicio de VoIP frente a los demás para asegurar una buena calidad de voz, aun cuando el trafico de red es alto. Principalmente existen dos tipos de tecnologías que proporcionan calidad de servicio. Una basada en reserva asignando recursos basándose en flujos de tráfico y otra basada en la priorización de determinado tipo de tráfico. En comunicaciones IP se traduce en 2 modelos:
Intserv: basado en la utilización de algún protocolo de reserva (RSVP, ReSerVation Protocol) que permite la reserva de recursos a lo largo de los dispositivos de comunicación (Routers y Switch) implicados en la comunicación.
Diffserv: se basa en la división del tráfico en diferentes clases, y en la asignación de prioridades a los paquetes de datos. Utiliza diferente información de la cabecera de los paquetes (por ejemplo, DSCP – Diffserv Code Point) para distinguir clasificar los paquetes y conocer el tratamiento que debe recibir el tráfico en los distintos puntos de la red Diffserv.
Los servicios diferenciados (Diffserv) proporcionan mecanismos de calidad de servicio para reducir la carga en dispositivos de la red a través de un mapeo entre flujos de tráfico y niveles de servicio. Los paquetes que pertenecen a una determinada clase se marcan con un código específico (DSCP – Diffserv CodePoint). Este código es todo lo que necesitamos para identificar una clase de tráfico. La diferenciación de servicios se logra mediante la definición de comportamientos específicos para cada clase de tráfico entre dispositivos de interconexión, hecho conocido como PHB (Per Hop Behavior). Estas redes necesitan la incorporación de un servidor de recursos (o Bandwidth Broker) por cada dominio DiffServ.
7
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
Diffserv plantea asignar prioridades a los diferentes paquetes que son enviados a la red. Los equipos intermedios (routers y switch) tendrán que analizar estos paquetes y tratarlos según sus necesidades. Esta es la razón principal por la que Diffserv ofrece mejores características de escalabilidad que Intserv. El grupo de trabajo de Diffserv de la IETF, se define en el campo DS (Differentiated Services) donde se especificarán las prioridades de los paquetes. En el subcampo DSCP (Differentiated Setvice CodePoint) se especifica la prioridad de cada paquete. Estos campos son validos tanto para IPv4 como IPv6.
ARQUITECTURA Nodos extremos DS: realiza diferentes funciones como el acondicionamiento de tráfico entre los dominios Diffserv interconectados. Debe clasificar y establecer las condiciones de ingreso de los flujos de tráfico en función de: dirección IP y puerto (origen y destino), protocolo de transporte y DSCP, este clasificador se conoce como MF (Multi-Field Classifier). Una vez marcados adecuadamente, los nodos internos deberán seleccionar el PHB definido para cada flujo de datos. Los nodos DS de entrada serán responsables de asegurar que el tráfico de entrada cumple los requisitos de algún TCA (Traffic Conditioning Agreement), que es un derivado del SLA, entre los dominios interconectados. Los nodos DS de salida deberán realizar funciones de acondicionamiento de tráfico o TC (Traffic Conformation) sobre el tráfico transferido al otro dominio DS conectado. Nodos internos DS: podrá realizar limitadas funciones de TC, tales como remarcado de DSCP. Los nodos DS internos solo se conectan a nodos internos o a nodos externos de su propio dominio. A diferencia de los nodos externos para la selección del PHB solo ser tendrá en cuenta el campo DSCP, conocido como clasificador BA (Behavior Aggregate Classifier).
8
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
PROTOCOLO DE GESTIÓN DE POLÍTICAS (COPS)
Dentro de este escenario que define Diffserv necesitamos algún modo de comunicación para distribuir las políticas de calidad de servicio entre los elementos de red que las necesiten. Existe un protocolo creado para tal efecto que nos permitirá resolver este problema de comunicación. El protocolo COPS (Common Open Policy Service) especificado, define un modelo sencillo de clienteservidor que proporciona control de políticas para protocolos con señalización de calidad de servicio. El protocolo COPS se basa en sencillos mensajes de petición y respuesta utilizados para intercambiar información acerca de políticas de tráfico entre un servidor de políticas y distintos tipos de clientes. El protocolo emplea un modelo cliente/servidor en el que el PEP (PEP, Policy Enforcement Points) envía peticiones y actualizaciones al PDP (PDP, Policy Decision Point), y el PDP responde con las decisiones tomadas. El protocolo utiliza TCP como protocolo de transporte para asegurar así fiabilidad en el intercambio de mensajes entre los clientes y el servidor. COPS proporciona seguridad a nivel de mensaje mediante autenticación, protección frente al reenvío (replay) e integridad de mensaje. COPS permite además reutilizar otros protocolos de seguridad existentes para proporcionar autenticación y proteger el canal entre el PEP y el PDP.
Debemos tener en cuenta que un dominio Diffserv puede estar formado por más de una red, de manera que el encargado de la administración de esta, será responsable de repartir adecuadamente los recursos de acuerdo con el contrato de servicio (SLA – Service Level Agreement) entre el cliente y el proveedor del servicio.
9
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
IPSEC
SEGURIDAD EN IP (INTERNET PROTOCOL SECURITY)
DEFINICION IPSEC es una extensión del protocolo IP y un conjunto de protocolos cuya función es asegurar las comunicaciones sobre IP. Fue diseñado en un principio para IPv6, pero luego fue portado a IPv4, pudiéndose utilizar en ambas versiones del protocolo IP. IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS operarán en capas superiores a la capa 3 del modelo OSI de ISO. Como también es el caso de TCP y UDP, protocolos de transporte, ya que estos son encapsulados por la capa tres donde actúa IPSec. IPSec emplea dos protocolos diferentes - AH y ESP - para asegurar la autenticación, integridad y confidencialidad de la comunicación. Puede proteger el datagrama IP completo o sólo los protocolos de capas superiores. Estos modos se denominan, respectivamente, modo túnel y modo transporte.
Modo Túnel: el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPSec. Modo Transporte: IPSec sólo maneja la carga del datagrama IP, insertándose la cabecera IPSec entre la cabecera IP y la cabecera del protocolo de capas superiores.
Para proteger la integridad de los datagramas IP, los protocolos IPsec emplean códigos de autenticación de mensaje basados en resúmenes (HMAC Hash Message Authentication Codes). Para el cálculo de estos HMAC los protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para calcular un resumen basado en una clave secreta y en los contenidos del datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el
10
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
receptor del paquete puede comprobar el HMAC si tiene acceso a la clave secreta. Para proteger la confidencialidad de los datagramas IP, los protocolos IPsec emplean algoritmos estándar de cifrado simétrico como 3DES, AES y Blowfish. PROTECCIÓN CONTRA ATAQUES Para protegerse contra ataques por denegación de servicio, los protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un número de secuencia y sólo se acepta su recepción si el número de paquete se encuentra dentro de la ventana o es posterior. Los paquetes anteriores son descartados inmediatamente. Esta es una medida de protección eficaz contra ataques por repetición de mensajes en los que el atacante almacena los paquetes originales y los reproduce posteriormente. Para que los participantes de una comunicación puedan encapsular y desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar las claves secretas, algoritmos y direcciones IP involucradas en la comunicación. Todos estos parámetros se almacenan en asociaciones de seguridad (SA - Security Associations). Las asociaciones de seguridad, a su vez, se almacenan en bases de datos de asociaciones de seguridad (SAD Security Asocciation Databases). La familia de protocolos IPsec está formada por dos protocolos: el AH (Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP independientes. A continuación se explicara brevemente la funcionalidad de los protocolos AH y ESP AH - CABECERA DE AUTENTICACIÓN El protocolo AH protege la integridad del datagrama IP. Para conseguirlo, el protocolo AH calcula una HMAC (Hash Message Authentication Codes) basada en la clave secreta, el contenido del paquete y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras esto, añade la cabecera AH al paquete. El protocolo de cabecera de autenticación (AH) ofrece autenticación del origen de los datos, integridad de los datos y protección contra la reproducción. Sin
11
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
embargo, AH no ofrece confidencialidad de datos, lo que significa que todos los datos se enviarán como texto legible. AH asegura la integridad de los datos mediante la suma de comprobación que genera un código de autenticación de mensajes, como por ejemplo MD5. Para asegurar la autenticación del origen de los datos, AH incluye una clave compartida secreta en el algoritmo que utiliza para la autenticación. Para asegurar la protección contra la reproducción, AH utiliza un campo de números de secuencia dentro de la cabecera AH. Es importante observar que, a menudo, estas tres funciones distintas se concentran y se conocen como autenticación. En términos más sencillos, AH asegura que no se han manipulado los datos mientras se dirigían a su destino final. A pesar de que AH autentica el datagrama IP en la mayor medida posible, el destinatario no puede predecir los valores de ciertos campos de la cabecera IP. AH no protege estos campos, conocidos como campos mutables. Sin embargo, AH siempre protege la carga útil del paquete IP. ESP - CARGA DE SEGURIDAD ENCAPSULADA El protocolo ESP puede asegurar la integridad del paquete empleando una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera y añade al paquete tras cifrarlo y calcular su HMAC. El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP.
12
�Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes
CONCLUSIÓN
Con este informe podemos concluir que para todo proceso de comunicación que requiera algún tipo de acceso de calidad privada y con disponibilidad de acceso remoto. El uso de VPN nos permite conectar mediante protocolos PPP para establecer conexión virtual a través de túneles que viajan por la WAN para conectar con servicios que antiguamente solo podrían haber sido utilizados de manera local. Pudimos conocer 3 tipos de protocolos VPN, los cuales son muy similares en características pero varían directamente en el tipo de aplicación y de servicios que se requieran comunicar. Basándose en el concepto de conexiones Point to Point, Estos protocolos pueden establecer conexiones virtuales locales y privadas a través de internet, dependiendo del protocolo, por distintas capas de transmisión de tramas o paquetes según sea el caso. De esta manera, se define el tipo y la calidad de servicio y las aplicaciones que serán transimitidas a través de la Internet.
13
�