Capítulo 7: Seguridad de la conectividad Site-to-Site 7.0.1.1 7.0.1 .1 Introducción La seguridad es un motivo de preocupación cuando se utiliza Internet púlica para realizar negocios. Las redes virtuales privadas !"#$% se u tilizan para garantizar la seguridad de los datos a trav&s de Internet. 'na "#$ se utiliza para crear un túnel privado a trav&s de una red púlica. Se puede proporcionar seguridad a los datos mediante el uso de ci(rado en este túnel a trav&s de Internet ) con autenticación para proteger los datos contra el acceso no autorizado. *n este capítulo+ se e,plican los conceptos ) los procesos relacionados con las "#$+ así como los ene(icios de las implementaciones de "#$ ) los protocolos su)acentes reueridos para con(igurar las "#$.
Capítulo 7: Seguridad de la conectividad conectivida d Site-to-Site 7.0.1. 7.0.1 . /ctividad de clase: esumen sore las "#$ Resumen sobre las VPN 'na peuea o mediana empresa crece ) necesita ue los clientes+ los traa2adores a distancia ) los empleados ue se conectan por cale ) de (orma inal3mrica puedan acceder a la red principal desde cualuier uicación. Como administrador de red de la empresa+ usted decidió implementar las "#$ para aportar seguridad+ (acilitar el acceso a la red ) a4orrar costos. Su traa2o es asegurar ue todos los administradores de red comiencen el proceso de plani(icación de "#$ con el mismo con2unto de conocimientos. Se deen investigar cuatro 3reas in(ormativas 3sicas de "#$+ ) dic4as 3reas se deen presentar al euipo de administración de la red:
5e(inición concisa de las "#$ /lgunos datos generales generales sore las "#$ "#$ I#sec como opción de seguridad de "#$
6ormas en las ue las "#$ usan el tunneling
Capítulo 7: Seguridad de la conectiv conectividad idad Site-to-Site 7.1.1.1 7.1.1 .1 Introducción a las "#$ Las organizaciones necesitan redes seguras+ con(iales ) rentales para interconectar varias redes+ por e2emplo+ para permitir ue las sucursales ) los proveedores se conecten a la red de la o(icina central de una empresa. /dem3s+ con el aumento en la cantidad de traa2adores a distancia+ 4a) una creciente necesidad de las empresas de contar con (ormas seguras+ con(iales ) rentales para ue los empleados ue traa2an en o(icinas peueas ) o(icinas dom&sticas !S8%+ ) en otras uicaciones remotas se conecten a los recursos en sitios empresariales. *n la ilustración+ se muestran las topologías ue utilizan las redes modernas para conectar uicaciones remotas. *n algunos casos+ las uicaciones remotas se conectan solo a la o(icina central+ mientras ue en otros casos+ las uicaciones remotas se conectan a sitios adicionales. Las organizaciones utilizan las "#$ para crear una cone,ión de red privada de e,tremo a e,tremo a trav&s de redes e,ternas como Internet o las e,tranets. *l túnel elimina la arrera de distancia ) permite ue los usuarios remotos accedan a los recursos de red del sitio central. 'na "#$ es una red privada creada mediante tunneling a trav&s de una red púlica+ generalmente Internet. 'na "#$ es un entorno de comunicaciones en el ue el acceso se controla de (orma estricta para permitir las cone,iones de peers dentro de una comunidad de inter&s de(inida. Las primeras "#$ eran e,clusivamente túneles I# ue no incluían la autenticación o el ci(rado de los datos. #or e2emplo+ la encapsulación de routing gen&rico !9*% es un protocolo de tunneling desarrollado por Cisco ue puede encapsular una amplia variedad de tipos de pauetes de protocolo de capa de red dentro de los túneles I#. I#. *sto crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a trav&s de una internetor; I#. I#. *n la actualidad+ las redes privadas virtuales generalmente se re(ieren a la implementación segura de "#$ con ci(rado+ como las "#$ con I#sec. #ara implementar las "#$+ se necesita un gatea) "#$. *l gatea) "#$ puede ser un router router++ un (ireall o un dispositivo de seguridad adaptale !/S/% de Cisco. 'n /S/ es un dispositivo de (ireall independiente ue comina la (uncionalidad de (ireall+ concentrador "#$ ) prevención de intrusiones en una imagen de so(tare.
Capítulo 7: Seguridad de la conectividad Site-to-Site Site-to -Site 7.1.1.
Ahorro de costos: las costos: las "#$ permiten ue las organizaciones utilicen un transporte e,terno de Internet rentale para conectar o(icinas remotas ) usuarios remotos al sitio principal= por lo tanto+ se eliminan los costosos enlaces >/$ dedicados ) los ancos de módem. /dem3s+ con la llegada de las tecnologías rentales de anc4o de anda alto+ como 5SL+ las organizaciones pueden utilizar "#$ para reducir los costos de conectividad )+ )+ al mismo tiempo+ aumentar el anc4o de anda de la cone,ión remota. Escalabilidad: las "#$ permiten ue las organizaciones utilicen la in(raestructura de Internet dentro de los IS# ) los dispositivos+ lo ue (acilita la tarea de agregar nuevos usuarios. #or lo tanto+ las organizaciones pueden agregar una gran cantidad de capacidad sin necesidad de aumentar consideralemente la in(raestructura. Compatibilidad con la tecnología de banda ancha: las redes "#$ permiten ue los traa2adores móviles ) los empleados a distancia aprovec4en la conectividad por anda anc4a de alta velocidad+ como 5SL ) cale+ para acceder a las redes de sus organizaciones.
La conectividad por anda anc4a proporciona (le,iilidad ) e(icacia. Las cone,iones por anda anc4a de alta velocidad tami&n proporcionan una solución rentale para conectar o(icinas remotas.
Seguridad: las "#$ pueden incluir mecanismos de seguridad ue proporcionan el m3,imo nivel de seguridad mediante protocolos de ci(rado ) autenticación avanzados ue protegen los datos contra el acceso no autorizado.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.1.1.? /ctividad: Identi(icar los ene(icios de las "#$
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.1..1 "#$ de sitio a sitio *,isten dos tipos de redes "#$:
Sitio a sitio /cceso remoto
VPN de sitio a sitio 'na "#$ de sitio a sitio se crea cuando los dispositivos en amos lados de la cone,ión "#$ conocen la con(iguración de "#$ con anticipación+ como se muestra en la ilustración. La "#$ permanece est3tica+ ) los 4osts internos no saen ue e,iste una "#$. *n una "#$ de sitio a sitio+ los 4osts terminales envían ) recien tr3(ico @C#AI# normal a trav&s de un Bgatea) "#$. *l gatea) "#$ es el responsale de encapsular ) ci(rar el tr3(ico saliente para todo el tr3(ico de un sitio en particular. 5espu&s+ el gatea) "#$ lo envía por un túnel "#$ a trav&s de Internet a un gatea) "#$ de peer en el sitio de destino. /l reciirlo+ el gatea) "#$ de peer elimina los encaezados+ desci(ra el contenido ) transmite el pauete 4acia el 4ost de destino dentro de su red privada. 'na "#$ de sitio a sitio es una e,tensión de una red >/$ cl3sica. Las "#$ de sitio a sitio conectan redes enteras entre sí+ por e2emplo+ pueden conectar la red de una sucursal a la red de la o(icina central de una empresa. *n el pasado+ se reuería una cone,ión de línea arrendada o d e 6rame ela) para conectar sitios+ pero dado ue en la actualidad la ma)oría de las empresas tienen acceso a Internet+ estas cone,iones se pueden reemplazar por "#$ de sitio a sitio.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.1.. "#$ de acceso remoto VPN de acceso remoto Si se utiliza una "#$ de sitio a sitio para conectar redes enteras+ la "#$ de acceso remoto admite las necesidades de los empleados a distancia+ de los usuarios móviles ) del tr3(ico de e,tranet de cliente a empresa. 'na "#$ de acceso remoto se crea cuando la in(ormación de "#$ no se con(igura de (orma est3tica+ pero permite el intercamio din3mico de in(ormación ) se puede 4ailitar ) des4ailitar. Las "#$ de acceso remoto admiten una aruitectura clienteAservidor+ en la ue el cliente "#$ !4ost remoto% otiene acceso seguro a la red empresarial mediante un dispositivo del servidor "#$ en el perímetro de la red. Las "#$ de acceso remoto se utilizan para conectar 4osts individuales ue deen acceder a la red de su empresa de (orma segura a trav&s de Internet. La conectividad a Internet ue utilizan los traa2adores a distancia suele ser una cone,ión por anda anc4a+ 5SL+ cale o inal3mrica+ como se indica en la ilustración. *s posile ue se dea instalar un so(tare de cliente "#$ en la terminal del usuario móvil= por e2emplo+ cada 4ost puede tener el so(tare Cisco /n)Connect Secure Doilit) Client instalado. Cuando el 4ost intenta enviar cualuier tipo de tr3(ico+ el so(tare Cisco /n)Connect "#$ Client encapsula ) ci(ra este tr3(ico. 5espu&s+ los datos ci(rados se envían por Internet al gatea) "#$ en el perímetro de la red de destino. /l reciirlos+ el gatea) "#$ se comporta como lo 4ace para las "#$ de sitio a sitio. Nota: el so(tare Cisco /n)Connect Secure Doilit) Client se asa en las características ue o(recían anteriormente Cisco /n)Connect "#$ Client ) Cisco "#$ Client para me2orar la e,periencia de "#$ permanente en m3s dispositivos port3tiles asados en computadoras port3tiles ) smartp4ones. *ste cliente admite I#vE.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.1..? /ctividad: Comparar los tipos de "#$
Capítulo 7: Seguridad de la conectividad Site-to-Site Información bsica!situación *n esta actividad+ con(igurar3 dos routers para admitir una "#$ con I#sec de sitio a sitio para el tr3(ico ue (lu)e de sus respectivas L/$. *l tr3(ico de la "#$ con I#sec pasa a trav&s de otro router ue no tiene conocimiento de la "#$. I#sec proporciona una transmisión segura de la in(ormación con(idencial a trav&s de redes sin protección+ como Internet. I#sec (unciona en la capa de red+ por lo ue protege ) autentica los pauetes I# entre los dispositivos I#sec participantes !peers%+ como los routers Cisco.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1.1 Introducción a 9*
La encapsulación de routing gen&rico !9*% es un e2emplo de un protocolo de tunneling de "#$ de sitio a sitio 3sico ) no seguro. 9* es un protocolo de tunneling desarrollado por Cisco ue puede encapsular una amplia variedad d e tipos de pauete de protocolo dentro de túneles I#. 9* crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a trav&s de una internetor; I#. 9* est3 diseada para administrar el transporte del tr3(ico multiprotocolo ) de multidi(usión I# entre dos o m3s sitios+ ue proalemente solo tengan conectividad I#. #uede encapsular varios tipos de pauete de protocolo dentro de un túnel I#. Como se muestra en la ilustración+ una inter(az de túnel admite un encaezado para cada uno de los siguientes protocolos:
'n protocolo encapsulado !o protocolo de pasa2eros%+ como I#vF+ I#vE+ /pple@al;+ 5*Cnet o I#G 'n protocolo de encapsulación !o portadora%+ como 9* 'n protocolo de entrega de transporte+ como I#+ ue es el protocolo ue transporta al protocolo encapsulado
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1. Características de 9*
9* es un protocolo de tunneling desarrollado por Cisco ue puede encapsular una amplia variedad de tipos de pauete de protocolo dentro de túneles I#+ lo ue crea un enlace punto a punto virtual a los routers Cisco en puntos remotos a trav&s de una internetor; I#. *l tunneling I# ue utiliza 9* 4ailita la e,pansión de la red a trav&s de un entorno de ac;one de protocolo único. *sto se logra mediante la cone,ión de suredes multiprotocolo en un entorno de ac;one de protocolo único. Las características de 9* son las siguientes:
9* se de(ine como un est3ndar I*@6 !6C 7HF%. *n el encaezado I# e,terno+ se utiliza el número F7 en el campo de protocolo para indicar ue lo ue sigue es un encaezado 9*. La encapsulación de 9* utiliza un campo de tipo de protocolo en el encaezado 9* para admitir la encapsulación de cualuier protocolo de capa ? del modelo SI. Los tipos de protocolo se de(inen en 6C 1700 como B*t4er@)pes. 9* en sí misma no tiene estado= de manera predeterminada+ no inclu)e n ingún mecanismo de control de (lu2o. 9* no inclu)e ningún mecanismo de seguridad sólido para proteger su contenido. *l encaezado 9*+ 2unto con el encaezado de tunneling I# ue se indica en la ilustración+ crea por lo menos F )tes de sorecarga adicional para los pauetes ue se envían por túnel.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1.? /ctividad: Identi(icar la características de 9*
Capítulo 7: Seguridad de la conectividad Site-to-Site 7...1 Con(iguración de túneles 9* 9* se utiliza para crear un túnel "#$ entre dos sitios+ como se muestra en la (igura 1. #ara implementar un túnel 9*+ el administrador de red primero dee descurir las direcciones I# de las terminales. 5espu&s+ se deen seguir cinco pasos para con(igurar un túnel 9*: Paso "# Cree una inter(az de túnel con el comando interface tunnel number . Paso $# *speci(iue la dirección I# de origen del túnel. Paso %# *speci(iue la dirección I# de destino del túnel. Paso &# Con(igure una dirección I# para la inter(az de túnel. Paso '# !ptativo% *speci(iue el modo de túnel 9* como modo de inter(az de túnel. *l modo de túnel 9* es el modo predeterminado de inter(az de túnel para el so(tare IS de Cisco. *n el e2emplo de con(iguración ue se muestra en la (igura + se detalla una con(iguración 3sica de túnel 9* para el router 1. La con(iguración del en la (igura ? re(le2a la con(iguración del 1. La con(iguración mínima reuiere la especi(icación de las direcciones de origen ) destino del túnel. @ami&n se dee con(igurar la sured I# para proporcionar conectividad I# a trav&s del enlace de túnel. /mas inter(aces de túnel tienen el origen del túnel estalecido en la inter(az serial local S0A0A0 ) el destino del túnel estalecido en la inter(az serial S0A0A0 del router peer. La dirección I# se asigna a las inter(aces de túnel en amos routers. @ami&n se con(iguró S#6 para intercamiar rutas a trav&s del túnel 9*.
Las descripciones de los comandos individuales de túnel 9* se muestran en la (igura F. Nota: cuando se con(iguran los túneles 9*+ puede ser di(ícil recordar cu3les son las redes I# asociadas a las inter(aces (ísicas ) cu3les son las redes I# asociadas a las inter(aces de túnel. ecuerde ue antes de ue se cree un túnel 9*+ )a se con(iguraron las inter(aces (ísicas. Los comandos tunnel source ) tunnel destination se re(ieren a las direcciones I# de las inter(aces (ísicas con(iguradas previamente. *l comando ip address en las inter(aces de túnel se re(iere a una red I# especialmente diseada para los propósitos del túnel 9*.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7... "eri(icación del túnel 9* *,isten varios comandos ue se pueden utilizar para controlar los túneles 9* ) resolver los prolemas relacionados. #ara determinar si la inter(az de túnel est3 activa o inactiva+ utilice el comando sho( ip interface brief + el cual se muestra en la (igura 1. #ara veri(icar el estado de un túnel 9*+ utilice el comando sho( interface tunnel. *l protocolo de línea en una inter(az de túnel 9* permanece activo mientras 4a)a una ruta al destino del túnel. /ntes de implementar un túnel 9*+ la conectividad I# )a dee estar operativa entre las direcciones I# de las inter(aces (ísicas en e,tremos opuestos del túnel 9* potencial. *l protocolo de transporte de túnel se muestra en el resultado+ ue tami&n aparece en la (igura 1.
Si tami&n se con(iguró S#6 para intercamiar rutas a trav&s del túnel 9*+ veri(iue ue se 4a)a estalecido una ad)acencia S#6 a trav&s de la inter(az de túnel con el comando sho( ip ospf neighbor . *n la (igura + oserve ue la dirección de intercone,ión para el vecino S#6 est3 en la red I# creada para el túnel 9*. *n la (igura ?+ utilice el veri(icador de sinta,is para con(igurar ) veri(icar un túnel 9* en el seguido del 1. 9* se considera una "#$ porue es una red privada ue se crea con tunneling a trav&s de una red púlica. Dediante la encapsulación+ un túnel 9* crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a trav&s de una internetor; I#. Las venta2as de 9* son ue se puede utilizar para canalizar el tr3(ico ue no es I# a trav&s de una red I#+ lo ue permite la e,pansión de la red mediante la cone,ión de suredes multiprotocolo en un entorno de ac;one de protocolo único. /dem3s+ 9* admite el tunneling de multidi(usión I#. *sto signi(ica ue se pueden utilizar los protocolos de routing a trav&s del túnel+ lo ue 4ailita el intercamio din3mico de in(ormación de routing en la red virtual. #or último+ es 4aitual crear túneles 9* I#vE a trav&s de I#vF+ donde I#vE es el protocolo encapsulado e I#vF es el protocolo de transporte. *n el (uturo+ es proale ue estas (unciones se inviertan cuando I#vE pase a cumplir la (unción de protocolo I# est3ndar. Sin emargo+ 9* no proporciona ci(rado ni ningún otro mecanismo de seguridad. #or lo tanto+ los datos ue se envían a trav&s de un túnel 9* no son seguros. Si se necesita una comunicación de datos segura+ se deen con(igurar redes "#$ con I#sec o SSL.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7...? Información bsica!situación 'sted es el administrador de red de una empresa ue desea con(igurar un túnel 9* a una o(icina remota. /mas redes est3n con(iguradas localmente ) solo necesitan ue se con(igure el túnel.
Capítulo 7: Seguridad de la conectividad Site-to-Site Información bsica!situación Se contrató a un administrador de red principiante para con(igurar un túnel 9* entre dos sitios+ pero no pudo completar la tarea. Se le solicita a usted corregir los errores de con(iguración en la red de la empresa.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7... #r3ctica de laoratorio: Con(iguración de un túnel "#$ 9* de punto a punto En esta prctica de laboratorio) cumplir los siguientes ob*eti+os:
#arte 1: con(igurar los par3metros 3sicos de los dispositivos
#arte : Con(igurar un túnel 9*
#arte ?: 8ailitar el routing por el túnel 9*
#r3ctica de laoratorio: Con(iguración de un túnel "#$ 9* de punto a punto
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?.1.1 I#sec Las "#$ con I#sec o(recen conectividad (le,ile ) escalale. Las cone,iones de sitio a sitio pueden proporcionar una cone,ión remota segura+ r3pida ) con(iale. Con una "#$ con I#sec+ la in(ormación de una red privada se transporta de manera segura a trav&s de una red púlica. *sto (orma una red virtual en lugar de usar una cone,ión dedicada de capa + como se muestra en la ilustración. #ara ue siga siendo privado+ el tr3(ico se ci(ra a (in de mantener la con(idencialidad de los datos. I#sec es un est3ndar I*@6 ue de(ine la (orma en ue se puede con(igurar una "#$ de manera segura mediante el protocolo de Internet. I#sec es un marco de est3ndares aiertos ue detalla las reglas para las comunicaciones seguras. I#Sec no se limita a ningún tipo especí(ico de ci(rado+ autenticación+ algoritmo de seguridad ni tecnología de creación de claves. *n realidad+ I#sec depende de algoritmos e,istentes para implementar comunicaciones seguras. I#sec permite ue se implementen nuevos ) me2ores algoritmos sin modi(icar los est3ndares e,istentes de I#sec.
I#sec (unciona en la capa de red+ por lo ue protege ) autentica los pauetes I# entre los dispositivos I#sec participantes+ tami&n conocidos como Bpeers. I#sec protege una ruta entre un par de gatea)s+ un par de 4osts o un gatea) ) un 4ost. Como resultado+ I#sec puede proteger pr3cticamente todo el tr3(ico de una aplicación+ dado ue la p rotección se puede implementar desde la capa F 4asta la capa 7. @odas las implementaciones de I#sec tienen un encaezado de capa ? de te,to no ci(rado+ de modo ue no 4a) prolemas de routing. I#sec (unciona en todos los protocolos de capa + como *t4ernet+ /@D o 6rame ela). Las características de I#sec se pueden resumir de la siguiente manera:
I#sec es un marco de est3ndares aiertos ue no depende de algoritmos.
I#sec proporciona con(idencialidad e integridad de datos+ ) autenticación del origen.
I#sec (unciona en la capa de red+ por lo ue protege ) autentica pauetes I#.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?.1. Servicios de seguridad I#sec Los servicios de seguridad I#sec p roporcionan cuatro (unciones (undamentales+ las cuales se muestran en la ilustración:
Confidencialidad ,cifrado-: en una implementación de "#$+ los datos privados se trans(ieren a trav&s de una red púlica. #or este motivo+ la con(idencialidad de los datos es (undamental. *sto se puede lograr mediante el ci(rado de los datos antes de transmitirlos a trav&s de la red. *ste es el proceso de tomar todos los datos ue una computadora envía a otra ) codi(icarlos de una manera ue solo la otra computadora pueda decodi(icar. Si se intercepta la comunicación+ el pirata in(orm3tico no puede leer los datos. I#sec proporciona características de seguridad me2oradas+ como algoritmos de ci(rado seguros. Integridad de datos: el receptor puede veri(icar ue los datos se 4a)an transmitido a trav&s de Internet sin su(rir ningún tipo de modi(icaciones ni alteraciones. Si ien es importante ue los datos a trav&s de una red púlica est&n ci(rados+ tami&n es importante veri(icar ue no se 4a)an modi(icado cuando estaan en tr3nsito. I#sec cuenta con un mecanismo para asegurarse de ue la porción ci(rada del pauete+ o todo el encaezado ) la porción de datos del pauete+ no se 4a)a modi(icado. I#sec asegura la integridad de los datos mediante c4ec;sums+ ue es una comproación de redundancia simple. Si se detecta una alteración+ el pauete se descarta. Autenticación: veri(ica la identidad del origen de los datos ue se envían. *sto es necesario para la protección contra distintos ataues ue dependen de la suplantación de identidad del emisor. La autenticación asegura ue se cree una cone,ión con el compaero de comunicación deseado. *l receptor puede autenticar el origen del pauete mediante la certi(icación del origen de la in(ormación. I#sec utiliza el intercamio de claves de Internet !IJ*% para autenticar a los usuarios ) dispositivos ue pueden llevar a cao la comunicación de manera independiente. IJ* utiliza varios tipos de autenticación+ por e2emplo+ nomre de usuario ) contrasea+ contrasea por única vez+ iometría+ clave previamente compartida !#SJ% ) certi(icados digitales. Protección antirreproducción: es la capacidad de detectar ) rec4azar los pauetes reproducidos+ ) a)uda a prevenir la suplantación de identidad. La p rotección antirreproducción veri(ica ue cada pauete sea único ) no est& duplicado. Los pauetes I#sec se protegen mediante la comparación del número de secuencia de los pauetes reciidos con una ventana deslizante en el 4ost de destino o el gatea) de seguridad. Se considera ue un pauete ue tiene un número de secuencia anterior a la ventana deslizante tiene un retraso o est3 duplicado. Los pauetes duplicados ) con retraso se descartan.
*l acrónimo CI/ se suele utilizar para a)udar a recordar las iniciales de estas tres (unciones: con(idencialidad+ integridad ) autenticación.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?..1 Con(idencialidad con ci(rado Confidencialidad *l tr3(ico "#$ se mantiene con(idencial con el ci(rado. Los datos de te,to no ci(rado ue se transportan a trav&s de Internet pueden interceptarse ) leerse. Ci(re la (ec4a para ue se mantenga privada. *l ci(rado digital de los datos 4ace ue estos sean ilegiles 4asta ue el receptor autorizado los desci(re. #ara ue la comunicación ci(rada (uncione+ el emisor ) el receptor deen conocer las reglas ue se utilizan para trans(ormar el mensa2e original a su (orma ci(rada. Las reglas se asan en algoritmos ) claves asociadas. *n el conte,to del ci(rado+ un algoritmo es una secuencia matem3tica de pasos ue comina un mensa2e+ te,to+ dígitos o las tres cosas con una cadena de dígitos denominada Bclave. *l resultado es una cadena de ci(rado ilegile. *l algoritmo de ci(rado tami&n especi(ica cómo se desci(ra un mensa2e ci(rado. *l desci(rado es e,tremadamente di(ícil o imposile sin la clave correcta. *n la ilustración+ 9ail desea enviar una trans(erencia electrónica de (ondos !*6@% a Keremías a trav&s de Internet. *n el e,tremo local+ el documento se comina con una clave ) se procesa con un algoritmo de ci(rado. *l resultado es un te,to ci(rado. *l te,to ci(rado se envía a trav&s de Internet. *n el e,tremo remoto+ el mensa2e se vuelve a cominar con una clave ) se devuelve a trav&s del algoritmo de ci(rado. *l resultado es el documento (inanciero original.
La con(idencialidad se logra con el ci(rado del tr3(ico mientras via2a por una "#$. *l grado de seguridad depende de la longitud de la clave del algoritmo de ci(rado ) la so(isticación del algoritmo. Si un pirata in(orm3tico intenta desci(rar la clave mediante un ataue por (uerza ruta+ la cantidad de intentos posiles es una (unción de la longitud de la clave. *l tiempo para procesar todas las posiilidades es una (unción de la potencia de la computadora del dispositivo atacante. Cuanto m3s corta sea la clave+ m3s (3cil ser3 desci(rarla. #or e2emplo+ una computadora relativamente so(isticada puede tardar apro,imadamente un ao para desci(rar una clave de EF its+ mientras ue desci(rar una clave de 1H its puede llevarle de 10 a 1 aos.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?.. /lgoritmos de ci(rado
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?..? Intercamio de claves de 5i((ie8ellman Integridad de datos 5i((ie-8ellman !58% no es un mecanismo de ci(rado ) no se suele utilizar para ci(rar datos. *n camio+ es un m&todo para intercamiar con seguridad las claves ue ci(ran datos. Los algoritmos !58% permiten ue dos partes estalezcan la clave secreta compartida ue usan el ci(rado ) los algoritmos de 4as4. 58+ presentado por >4it(ield 5i((ie ) Dartin 8ellman en 17E+ (ue el primer sistema en utilizar la clave púlica o las claves criptogr3(icas asim&tricas. *n la actualidad+ 58 (orma parte del est3ndar I#sec. /dem3s+ un protocolo denominado /JL*M utiliza un algoritmo 58. /JL*M es un protocolo utilizado por el protocolo IJ*+ ue (orma parte del marco general denominado Bprotocolo de administración de claves ) de asociación de seguridad de Internet. Los algoritmos de ci(rado+ como 5*S+ ?5*S ) /*S+ así como los algoritmos de 4as4 D5 ) S8/1+ reuieren una clave secreta compartida sim&trica para realizar el ci(rado ) el desci(rado. NCómo otienen la clave secreta compartida los d ispositivos de ci(rado ) desci(radoO *l m&todo m3s sencillo de intercamio de claves es un m&todo de intercamio de clave púlica entre dispositivos de ci(rado ) desci(rado. *l algoritmo 58 especi(ica un m&todo de intercamio de clave púlica ue p roporciona una manera para ue dos peers estalezcan una clave secreta compartida ue solo ellos conozcan+ aunue se comuniuen a trav&s de un canal inseguro. Como todos los algoritmos criptogr3(icos+ el intercamio de claves 58 se asa en una secuencia matem3tica de pasos.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?..F Integridad con los algoritmos de 4as4 Los algoritmos de 4as4 mane2an la integridad ) la autenticación del tr3(ico "#$. Los 4as4es proporcionan integridad ) autenticación de datos al asegurar ue las personas no autorizadas no alteren los mensa2es transmitidos. 'n 4as4+ tami&n denominado Bsíntesis del mensa2e+ es un número ue se genera a partir de una cadena de te,to. *l 4as4 es m3s corto ue el te,to en sí. Se genera mediante el uso de una (órmula+ de tal manera ue es mu) poco proale ue otro te,to produzca el mismo valor de 4as4. *l emisor original genera un 4as4 del mensa2e ) lo envía con el mensa2e propiamente dic4o. *l destinatario analiza el mensa2e ) el 4as4+ produce otro 4as4 a partir del mensa2e reciido ) compara amos 4as4es. Si son iguales+ el destinatario puede estar lo su(icientemente seguro de la integridad del mensa2e original. *n la ilustración+ 9ail le envió a /le, un *6@ de 'S5 100. Keremías interceptó ) alteró este *6@ para mostrarse como el destinatario ) ue la cantidad sea 'S5 1000. *n este caso+ si se utilizara un algoritmo de integridad de datos+ los 4as4es no coincidirían+ ) la transacción no sería v3lida. Los datos "#$ se transportan por Internet púlica. Como se muestra+ e,iste la p osiilidad de ue se intercepten ) se modi(iuen estos datos. #ara protegerlos contra esta amenaza+ los 4osts pueden agregar un 4as4 al mensa2e. Si el 4as4 transmitido coincide con el 4as4 reciido+ se preservó la integridad del mensa2e. Sin emargo+ si no 4a) una coincidencia+ el mensa2e se alteró. Las "#$ utilizan un código de autenticación de mensa2es para veri(icar la integridad ) la autenticidad de un mensa2e+ sin utilizar ningún mecanismo adicional.
*l código de autenticación de mensa2es asado en 4as4 !8D/C% es un mecanismo para la autenticación de mensa2es mediante (unciones de 4as4. 'n 8D/C con clave es un algoritmo de integridad de datos ue g arantiza la integridad de un mensa2e. 'n 8D/C tiene dos par3metros: una entrada de mensa2e ) una clave secreta ue solo conocen el autor del mensa2e ) los destinatarios previstos. *l emisor del mensa2e utiliza una (unción 8D/C para producir un valor !el código de autenticación de mensa2es% ue se (orma mediante la compresión de la clave secreta ) la entrada de mensa2e. *l código de autenticación de mensa2es se envía 2unto con el mensa2e. *l receptor calcula el código de autenticación de mensa2es en el mensa2e reciido con la misma clave ) la misma (unción 8D/C ue utilizó el emisor. / continuación+ el receptor compara el resultado ue se calculó con el código de autenticación de mensa2es ue se reciió. Si los dos valores coinciden+ el mensa2e se reciió correctamente ) el receptor se asegura de ue el emisor (orma parte de la comunidad de usuarios ue comparten la clave. La (ortaleza criptogr3(ica del 8D/C depende de la (ortaleza criptogr3(ica de la (unción de 4as4 su)acente+ del tamao ) la calidad de la clave+ ) del tamao de la longitud del resultado del 4as4 en its. 8a) dos algoritmos 8D/C comunes:
./': utiliza una clave secreta compartida de 1H its. *l mensa2e de longitud variale ) la clave secreta compartida de 1H its se cominan ) se procesan con el algoritmo de 4as4 8D/C-D5. *l resultado es un 4as4 de 1H it. *l 4as4 se ad2unta al mensa2e original ) se envía al e,tremo remoto. S0A: S8/-1 utiliza una clave secreta de 1E0 its. *l mensa2e de longitud variale ) la clave secreta compartida de 1E0 its se cominan ) se procesan con el algoritmo de 4as4 8D/C-S8/1. *l resultado es un 4as4 de 1E0 its. *l 4as4 se ad2unta al mensa2e original ) se envía al e,tremo remoto.
Nota: el IS de Cisco tami&n admite implementaciones de S8/ de E its+ ?HF its ) 1 its.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?.. /utenticación I#sec
Autenticación Las "#$ con I#sec admiten la autenticación. /l realizar negocios a larga distancia+ es necesario saer ui&n est3 del otro lado del tel&(ono+ del correo electrónico o del (a,. Lo mismo sucede con las redes "#$. *l dispositivo en el otro e,tremo del túnel "#$ se dee autenticar para ue la ruta de comunicación se considere segura+ como se indica en la ilustración. *,isten dos m&todos de autenticación de peers:
PS1: es una clave secreta ue se comparte entre las dos partes ue utilizan un canal seguro antes de ue se necesite utilizarla. Las claves previamente compartidas !#SJ% utilizan algoritmos criptogr3(icos de clave sim&trica. Se introduce una #SJ en cada peer de (orma manual ) se la utiliza para autenticar el peer. *n cada e,tremo+ la #SJ se comina con otra in(ormación para (ormar la clave de autenticación. 2irmas RSA: se intercamian certi(icados digitales para autenticar los peers. *l dispositivo local deriva un 4as4 ) lo ci(ra con su clave privada. *l 4as4 ci(rado+ o la (irma digital+ se vincula al mensa2e ) se reenvía 4acia el e,tremo remoto. *n el e,tremo remoto+ se desci(ra el 4as4 ci(rado con la clave púlica del e,tremo local. Si el 4as4 desci(rado coincide con el 4as4 recalculado+ la (irma es genuina.
I#sec utiliza S/ !sistema criptogr3(ico de claves púlicas% para la autenticación en el conte,to de IJ*. *l m&todo de (irmas S/ utiliza una con(iguración de (irma digital en la ue cada dispositivo (irma un con2unto de datos de (orma digital ) lo envía a la otra pa rte. Las (irmas S/ usan una entidad de certi(icación !C/% para generar un certi(icado digital de identidad e,clusiva ue se asigna a cada peer para la autenticación. *l certi(icado digital de identidad tiene una (unción similar a la de una #SJ+ pero proporciona una seguridad muc4o m3s sólida. Las personas ue o riginan una sesión IJ* ) ue responden a ella con (irmas S/ envían su propio valor de I5+ su certi(icado digital de identidad ) un valor de (irma S/ ue consta de una serie de valores IJ*+ ci(rados con el m&todo de ci(rado IJ* negociado !como /*S%. *l algoritmo de (irma digital !5S/% es otra opción para la autenticación.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?..E Darco del protocolo I#sec Como se mencionó anteriormente+ el marco del protocolo I#Sec descrie la mensa2ería para proteger las comunicaciones+ pero depende de los algoritmos e,istentes. *n la (igura 1+ se descrien dos protocolos I#Sec principales:
Encabe3ado de autenticación ,A0-: /8 es el protocolo ue se dee utilizar cuando no se reuiere o no se permite la con(idencialidad. #roporciona la autenticación ) la integridad de datos para los pauetes I# ue se transmiten entre dos sistemas. Sin emargo+ /8 no proporciona la con(idencialidad !el ci(rado% de datos de los pauetes. @odo el te,to se transporta como te,to no ci(rado. Cuando se utiliza solo+ el protocolo /8 proporciona una protección poco e(icaz.
Contenido de seguridad encapsulado ,ESP-: es un protocolo de seguridad ue proporciona con(idencialidad ) autenticación mediante el ci(rado del pauete I#. *l ci(rado de pauetes I# oculta los datos ) las identidades del origen ) el destino. *S# autentica el pauete I# ) el encaezado *S# internos. La autenticación proporciona la autenticación del origen de los datos ) la integridad de los datos. Si ien el ci(rado ) la autenticación son optativos en *S#+ se dee seleccionar+ como mínimo+ uno de ellos.
*n la (igura + se muestran los componentes de la con(iguración de I#Sec. Se deen seleccionar cuatro componentes 3sicos del marco de I#sec.
Protocolo del marco de IPsec: al con(igurar un gatea) I#sec para proporcionar servicios de seguridad+ se dee seleccionar un protocolo I#sec. Las opciones son una cominación de *S# ) /8. *n realidad+ las opciones de *S# o *S#P/8 casi siempre se seleccionan porue /8 en sí mismo no proporciona el ci(rado+ como se muestra en la (igura ?. Confidencialidad ,si se implementa IPsec con ESP-: el algoritmo de ci(rado elegido se dee a2ustar al nivel deseado de seguridad !5*S+ ?5*S o /*S%. Se recomienda /*S+ )a ue /*S-9CD proporciona la ma)or seguridad. Integridad: garantiza ue el contenido no se 4a)a alterado en tr3nsito. Se implementa mediante el uso de algoritmos de 4as4. *ntre las opciones se inclu)e D5 ) S8/. Autenticación: representa la (orma en ue se autentican los dispositivos en cualuiera de los e,tremos del túnel "#$. Los dos m&todos son #SJ o S/. 4rupo de algoritmos /0: representa la (orma en ue se estalece una clave secreta compartida entre los peers. *,isten varias opciones+ pero 58F proporciona la ma)or seguridad.
La cominación de estos componentes es la ue proporciona las opciones de con(idencialidad+ integridad ) autenticación para las "#$ con I#sec. Nota: en esta sección+ se presentó I#sec para proporcionar una comprensión de cómo I#sec protege los túneles "#$. La con(iguración de "#$ con I#sec e,cede el 3 mito de este curso.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.?..7 /ctividad: Identi(icar la terminología ) los conceptos de I#sec
Capítulo 7: Seguridad de la conectividad Site-to-Site Información bsica!situación 'sted es el administrador de red de una empresa ue desea con(igurar un túnel 9* por I#sec a una o(icina remota. @odas las redes est3n con(iguradas localmente ) solo necesitan ue se con(igure el túnel ) el ci(rado.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.1.1 @ipos de "#$ de acceso remoto Las "#$ se convirtieron en la solución lógica para la conectividad de acceso remoto por muc4os motivos. Las "#$ proporcionan comunicaciones seguras con derec4os de acceso 4ec4os a la medida de los usuarios individuales+ como empleados+ contratistas ) socios. @ami&n aumentan la productividad mediante la e,tensión de la red ) las aplicaciones empresariales de (orma segura+ a la vez ue reducen los costos de comunicación ) aumentan la (le,iilidad.
<3sicamente+ con la tecnología "#$+ los empleados pueden llevar la o(icina con ellos+ incluido el acceso al correo electrónico ) las aplicaciones de red. Las "#$ tami&n permiten ue los contratistas ) socios tengan acceso limitado a los servidores+ a las p3ginas e o a los arc4ivos especí(icos reueridos. *ste acceso de red les permite contriuir a la productividad de la empresa sin comprometer la seguridad de la red. *,isten dos m&todos principales para implementar "#$ de acceso remoto:
Capa de soc;ets seguros !SSL%
Seguridad I# !I#sec%
*l tipo de m&todo "#$ implementado se asa en los reuisitos de acceso de los usuarios ) en los procesos de @I de la organización. @anto la tecnología de "#$ con SSL como la de "#$ con I#sec o(recen acceso a pr3cticamente cualuier aplicación o recurso de red. Las "#$ con SSL o(recen características como una (3cil conectividad desde las computadoras de escritorio ue no administra la empresa+ un escaso o nulo mantenimiento del so(tare de escritorio ) portales e personalizados por el usuario al iniciar sesión.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.1. "#$ con SSL de Cisco "#$ con SSL del IS de Cisco es la primera solución de "#$ con SSL asada en routers del sector. (rece conectividad desde cualuier uicación+ no solo desde los recursos administrados por las empresas+ sino tami&n desde las computadoras de los empleados+ las computadoras de escritorio de los contratistas o de los socios de negocios+ ) los uioscos de Internet. *l protocolo SSL admite diversos algoritmos criptogr3(icos para las operaciones+ como la autenticación del servidor ) el cliente entre sí+ la transmisión de certi(icados ) el estalecimiento de claves de sesión. Las soluciones de "#$ con SSL de Cisco se pueden personalizar para empresas de cualuier tamao. *stas soluciones o(recen muc4as características ) venta2as de conectividad de acceso remoto+ incluido lo siguiente:
/cceso total a la red+ sin clientes ) asado en >e+ sin so(tare de escritorio instalado previamente. *sto (acilita el acceso remoto personalizado según los reuisitos de usuario ) de seguridad+ ) minimiza los costos de soporte de escritorio. #rotección contra virus+ gusanos+ sp)are ) piratas in(orm3ticos en una cone,ión "#$ mediante la integración de la seguridad de la red ) de las terminales en la plata(orma "#$ con SSL de Cisco. *sto reduce los costos ) la comple2idad de la administración+ )a ue elimina la necesidad de contar con euipos de seguridad e in(raestructura de administración adicionales. 'so de un único dispositivo tanto para "#$ con SSL como para "#$ con I#sec. *sto reduce los costos ) la comple2idad de la administración+ )a ue (acilita servicios "#$ sólidos de acceso remoto ) de sitio a sitio desde una única plata(orma con administración uni(icada.
"#$ con SSL del IS de Cisco es una tecnología ue proporciona acceso remoto mediante un navegador e ) el ci(rado SSL nativo del navegador e. /lternativamente+ puede proporcionar acceso remoto mediante e l so(tare Cisco /n)Connect Secure Doilit) Client. Cisco /S/ proporciona dos modos principales de implementación ue se encuentran en las soluciones de "#$ con SSL de Cisco+ como se muestra en la ilustración:
Cisco An5Connect Secure .obilit5 Client con SS6: reuiere el cliente Cisco /n)Connect. Cisco Secure .obilit5 Clientless SS6 VPN: reuiere un e,plorador de Internet.
Cisco /S/ se dee con(igurar para admitir la cone,ión "#$ con SSL.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.1.? Soluciones "#$ con SSL de Cisco Cisco An5Connect Secure .obilit5 Client con SS6 Las "#$ con SSL asadas en el cliente proporcionan acceso total de red del estilo de L/$ para los usuarios autenticados. Sin emargo+ los dispositivos remotos reuieren la instalación de una aplicación cliente+ como el cliente Cisco "#$ o el m3s reciente /n)Connect+ en el dispositivo para usuarios (inales. *n un Cisco /S/ 3sico con(igurado para el tunneling completo ) una solución de "#$ con SSL de acceso remoto+ los usuarios remotos utilizan Cisco /n)Connect Secure Doilit) Client+ ue se
muestra en la (igura 1+ para estalecer un túnel SSL con Cisco /S/. 5espu&s de ue Cisco /S/ estalece la "#$ con el usuario remoto+ este usuario puede reenviar tr3(ico I# por el túnel SSL. Cisco /n)Connect Secure Doilit) Client crea una inter(az de red virtual para proporcionar esta (uncionalidad. *l cliente puede utilizar cualuier aplicación para acceder a cualuier recurso+ su2eto a las reglas de acceso+ detr3s del gatea) "#$ de Cisco /S/. VPN con SS6 de Cisco Secure .obilit5 sin clientes *l modelo de implementación de "#$ con SSL sin clientes permite ue las empresas proporcionen acceso a los recursos corporativos incluso cuando la empresa no administra el dispositivo remoto. *n este modelo de implementación+ Cisco /S/ se usa como dispositivo pro,) de los recursos en red. #roporciona una inter(az de portal e para ue los dispositivos remotos naveguen la red mediante capacidades de reenvío de puertos. *n una solución de "#$ con SSL 3sica sin clientes de Cisco /S/+ los usuarios remotos utilizan un navegador e est3ndar para estalecer una sesión SSL con Cisco /S/+ como se muestra en la (igura . Cisco /S/ presenta al usuario un portal e por el ue puede acceder a los recursos internos. *n la solución 3sica sin clientes+ el usuario puede acceder solo a algunos servicios+ como las aplicaciones e internas ) los recursos de intercamio de arc4ivos asados en el e,plorador+ como se muestra en la (igura ?.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.1.F /ctividad: Comparar las soluciones de "#$ con SSL de Cisco
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F..1 /cceso remoto a I#sec Duc4as aplicaciones reuieren la seguridad de una cone,ión "#$ de acceso remoto con I#sec para autenticar ) ci(rar datos. Cuando se implementan "#$ para traa2adores a distancia ) sucursales peueas+ la (acilidad de implementación es (undamental si los recursos t&cnicos no est3n disponiles para la con(iguración de "#$ en un router del sitio remoto.
La característica de la solución Cisco *as) "#$ o(rece (le,iilidad+ escalailidad ) (acilidad de uso para las "#$ con I#sec de sitio a sitio ) de acceso remoto. La solución Cisco *as) "#$ consta de tres componentes:
Cisco Eas5 VPN Ser+er: es un router con IS de Cisco o un (ireall Cisco /S/ ue (unciona como terminal de caecera de la "#$ en las "#$ de sitio a sitio o de acceso remoto. Cisco Eas5 VPN Remote: es un router con IS de Cisco o un (ireall Cisco /S/ ue (unciona como cliente "#$ remoto. Cisco VPN Client: una aplicación compatile en una computadora ue se utiliza para acceder a un servidor Cisco "#$.
*l uso de Cisco *as) "#$ Server permite ue los traa2adores móviles ) a distancia ue utilizan un cliente "#$ en sus computadoras o ue utilizan Cisco *as) "#$ emote en un router perimetral puedan crear túneles I#sec seguros para acceder a la intranet de la o(icina central+ como se muestra en la ilustración.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.. Cisco *as) "#$ Server e *as) "#$ emote Cisco Eas5 VPN Ser+er
Cisco *as) "#$ Server permite ue los traa2adores móviles ) a distancia ue utilizan un so(tare de cliente "#$ en sus computadoras puedan crear túneles I#sec seguros para acceder a la intranet de la o(icina central donde se uican datos ) aplicaciones (undamentales. #ermite ue los routers con IS de Cisco ) los (irealls Cisco /S/ (uncionen como terminales de caecera de las "#$ de sitio a sitio o de acceso remoto. Los dispositivos de o(icina remota utilizan la característica Cisco *as) "#$ emote o la aplicación Cisco "#$ Client para conectarse al servidor+ ue despu&s inserta las políticas de seguridad de(inidas en el dispositivo "#$ remoto. *sto asegura ue esas cone,iones cuenten con las políticas actualizadas antes de ue se estalezca la cone,ión. Cisco Eas5 VPN Remote Cisco *as) "#$ emote permite ue los clientes de so(tare o los routers con IS de Cisco (uncionen como clientes "#$ remotos. *stos dispositivos pueden reciir las políticas de seguridad de Cisco *as) "#$ Server+ lo ue minimiza los reuisitos de con(iguración de "#$ en la uicación remota. *sta solución rentale es ideal para o(icinas remotas con poco soporte de @I o para implementaciones de euipo local del cliente !C#*% a g ran escala donde es poco pr3ctico con(igurar varios dispositivos remotos de (orma individual. *n la ilustración+ se muestran tres dispositivos de red con *as) "#$ emote 4ailitado+ todos conectados a *as) "#$ Server para otener los par3metros de con(iguración.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F..? Cisco *as) "#$ Client
Cliente Cisco VPN La 4erramienta Cisco "#$ Client es (3cil de implementar ) de utilizar. #ermite ue las organizaciones estalezcan túneles "#$ de e,tremo a e,tremo ci(rados para proporcionar una conectividad segura a los empleados móviles o los traa2adores a distancia. #ara iniciar una cone,ión I#sec mediante Cisco "#$ Client+ todo lo ue dee 4acer el usuario es arir la ventana de Cisco "#$ Client+ la cual se muestra en la (igura 1. La aplicación Cisco "#$ Client indica los sitios disponiles con(igurados previamente. *l usuario 4ace dole clic en un sitio para seleccionarlo+ ) el cliente "#$ inicia la cone,ión I#sec. *n el cuadro de di3logo de autenticación del usuario+ se autentica al usuario con un nomre de usuario ) una contrasea+ como se muestra en la (igura . 5espu&s de la autenticación+ Cisco "#$ Client muestra el estado conectado. La ma)oría de los par3metros de "#$ se de(inen en *as) "#$ Server del IS de Cisco para simpli(icar la implementación. 5espu&s de ue un cliente remoto inicia una cone,ión de túnel "#$+ Cisco *as) "#$ Server inserta las políticas de I#Sec en el cliente+ lo ue minimiza los reuisitos de con(iguración en la uicación remota. *sta solución simple ) altamente escalale es ideal para implementaciones de acceso remoto a gran escala donde es poco pr3ctico con(igurar las políticas para varias computadoras remotas de (orma individual. /dem3s+ esta aruitectura asegura ue esas cone,iones cuenten con las po líticas de seguridad actualizadas ) elimina los costos operativos asociados al mantenimiento de un m&todo co4erente de administración de políticas ) claves. Nota: la con(iguración de Cisco "#$ Client e,cede el 3mito de este curso. "isite el sitio .cisco.com para otener m3s in(ormación.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F..F Comparación de I#sec ) SSL @anto la tecnología de "#$ con SSL como la de I#sec o(recen acceso a pr3cticamente cualuier aplicación o recurso de red+ como se muestra en la ilustración. Las "#$ con SSL o(recen características como una (3cil conectividad desde las computadoras de escritorio ue no administra la empresa+ un escaso o nulo mantenimiento del so(tare de escritorio ) portales e personalizados por el usuario al iniciar sesión. I#sec supera a SSL en muc4as (ormas importantes:
La cantidad de aplicaciones ue admite
La solidez del ci(rado
La solidez de la autenticación
La seguridad general
Cuando la seguridad representa un prolema+ I#sec es la me2or opción. Si el soporte ) la (acilidad de implementación son los principales prolemas+ considere utilizar SSL.
I#sec ) las "#$ con SSL se complementan porue resuelven di(erentes prolemas. Según las necesidades+ una organización puede implementar una o amas. *ste en(oue complementario permite ue un único dispositivo+ como un router IS o un dispositivo de (ireall /S/+ pueda satis(acer todos los reuisitos de los usuarios de acceso remoto. Si ien muc4as soluciones o(recen I#sec o SSL+ las soluciones de "#$ de acceso remoto de Cisco o(recen amas tecnologías integradas en una única plata(orma con administración uni(icada. Si se o(rece tanto la tecnología I#sec como SSL+ las organizaciones pueden personalizar su "#$ de acceso remoto sin ningún 4ardare adicional ni comple2idad de administración.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7.F.. /ctividad: Identi(icar la características de acceso remoto
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1.1 /ctividad de clase: 5iseo de la plani(icación de "#$ /ise7o de planificación VPN Su peuea o mediana empresa reciió algunos contratos nuevos recientemente. *sto aumentó la necesidad de contratar traa2adores a distancia ) servicios e,ternos para la carga de traa2o. Los proveedores ) clientes de los nuevos contratos tami&n necesitan acceso a la red a medida ue progresan los pro)ectos. Como administrador de red de la empresa+ usted reconoce ue se deen incorporar "#$ como parte de la estrategia de red para admitir un acceso seguro para los traa2adores a distancia+ los empleados ) los proveedores o clientes. / (in de preparar la implementación de las "#$ en la red+ elaora una lista de comproación de plani(icación para presentarla en la siguiente reunión del departamento.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1. Información bsica!situación *sta actividad le permite poner en pr3ctica una variedad de 4ailidades+ incluida la con(iguración de 6rame ela)+ ### con C8/#+ $/@ con sorecarga !#/@% ) túneles 9*. Los routers est3n parcialmente con(igurados.
Capítulo 7: Seguridad de la conectividad Site-to-Site 7..1.? esumen Las "#$ se utilizan para crear una cone,ión segura de red privada de e,tremo a e,tremo a trav&s de redes e,ternas+ como Internet. 'na "#$ de sitio a sitio utiliza un dispositivo de gatea) "#$ en el límite de amos sitios. Los 4osts terminales desconocen la "#$ ) no cuentan con so(tare de soporte adicional. 'na "#$ de acceso remoto reuiere ue se instale un so(tare en el dispositivo 4ost individual ue accede a la red desde una uicación remota. Los dos tipos de "#$ de acceso remoto son SSL e I#sec. La tecnología SSL puede proporcionar acceso remoto mediante el navegador e de un cliente ) el ci(rado SSL nativo del navegador. Dediante el uso del so(tare Cisco /n)Connect en el cliente+ los usuarios pueden otener acceso total de red del estilo de L/$ con SSL. 9* es un protocolo de tunneling de "#$ de sitio a sitio 3sico no seguro ue puede encapsular una amplia variedad de tipos de pauete de protocolo dentro de túneles I#+ lo ue permite ue una organización entregue otros protocolos mediante una >/$ asada en I#. *n la actualidad+ se utiliza principalmente para entregar tr3(ico de multidi(usión I# o I#vE a trav&s de una cone,ión I#vF de solo unidi(usión. I#sec+ un est3ndar I*@6+ es un túnel seguro ue (unciona en la capa ? del modelo SI ue puede proteger ) autenticar pauetes I# entre peers I#sec. #uede proporcionar con(idencialidad mediante el ci(rado+ la integridad de datos+ la autenticación ) la protección antirreproducción. La integridad de
