Teletrabajo & VPN.

Capt. 06 CCNA 4
Primavera 2014.

Objetivos.
- Describir los requerimientos empresariales para otorgar
servicios a los teletrabajadores.
- Explicar como los servicios de banda ancha, extienden las
redes empresariales.
- Describir como las VPN pueden ofrecer servicios seguros,
a los teletrabajadores.

Beneficios del Teletrabajo.

Servicios de BW permiten conexin al teletrabajador.

Teletrabajo sobre redes privadas vs pblicas.

VPN (Virtual Private Network).

En vez de usar una conexin de Capa 2 exclusiva (lnea
alquilada), se usan conexiones virtuales que se enrutan a
travs de Internet (escalabilidad y economa)

VPN Acceso remoto (software cliente VPN).

VPN Site to Site (uso de gateway).

Caractersticas VPN.

La seguridad se logra mediante encapsulacin o

encriptacin (se usan ambas).
- Encapsulacin (tunneling): Transmite datos de manera
transparente de red a red, a travs de una infraestructura
de red compartida.
- Encriptacin: Codifica los datos en un formato diferente,
mediante una clave secreta. La decodificacin vuelve los
datos encriptados al formato original sin encriptar.

Encapsulacin (tunneling).

GRE (Generic Routing Encapsulation) es un protocolo de

tunneling de Cisco que permite encapsular multicast y
broadcast (protocolos de enrutamiento).

Encapsulacin.

Encriptacin.

Algoritmos encriptacin. Seguridad proporcional a longitud

de la clave (aumenta potencia de clculo requerido).

Simtricos.
Usado para transmitir grandes cantidades de datos y
computacionalmente mas fciles de implementar.
- DES: Cifra bloques de bits. La llave para cifrar los
bloques es de 64 bits, pero se usan 56 (8 para paridad y
luego se descartan). Se ha roto en horas.
- 3DES: Mejora de DES, al usar 3 llaves diferentes (cifra,
descifra y vuelve a cifrar). Llave de 56x3=168 bits.
Tambin se considera dbil (falencias matemticas).

3DES.

- AES (Rijndael): Mas seguro y rpido que 3DES. Usa llaves

de 128, 192 y 256 bits.

Asimtricos.
Usado para autenticacin (levantar el tunel). En firmas
digitales, ambas llaves son secretas.
- RSA (Rivest, Shamir y Adleman): Llaves de 512, 768,
1024 bits o superior.
- DH (Diffie-Hellman): Intercambia llaves, sobre una red
insegura (internet), para intercambio de llaves simtricas de
manera segura.

Hash (Message Digest).

Funcin unidireccional, donde los datos de entrada generan
salida fija (computacionalemnte imposible que 2 datos
diferentes den el mismo hash).
Otorga integridad contra cambios accidentales (no
intencionales). Un atacante puede capturar el mensaje con
su hash, modificar el mensaje, recalcular el hash y
anexarlo.
Algoritmos comunes: MD5 y SHA1.

Hash (firma digital) Autenticacin e integridad.

HMAC (Hash Message-Authentication Codes).

Algoritmo usado por VPN, que garantiza la integridad de
los datos. Se compone del hash del mensaje y una llave
(compartida) solo por las partes correctas.
El emisor usa una funcin HMAC para producir un valor
HMAC y se enva junto con el mensaje. El receptor
calcula el HMAC con el mensaje recibido, la misma clave
y funcin HMAC. Luego se comparan los resultados.
Otorga integridad, autenticacin y proteccin contra ataque
Men-in-the-Middle.

HMAC comunes:
- HMAC-MD5 (Message Digest 5): Llave de 128 bits mas
algoritmo, arrojan hash de 128 bits de largo (IPSec usa los
128 bits).
- HMAC-SHA-1 (Secure Hash Algoritm - 1): Llave de 160
bits mas algoritmo, arrojan hash de 160 bits de largo
(primeros 96 usados por IPSec).
SHA-1 mas seguro, pero requiere mayor potencia de clculo.

Autenticacin (de contraparte).

- PSK (Pre Shared Key). Se especifica la clave en ambas
partes y se mezcla con otra informacin para generar un
hash (se usa con algoritmos simtricos). No escala bien.
- Firma RSA (Intercambio de certificados). Se genera un
hash y cifra con la llave privada Firma digital (se enva
junto al mensaje). Se verifica con la llave pbica.

PSK.

RSA.

IPSec: Conjunto de protocolos para seguridad de

comunicaciones IP. Proporciona encriptacin, integridad y
autenticacin. Protocolos de estructura IPSec:

Estructura IPSec.

Preguntas ?