Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PRESENTA:
ALEJANDRA RUGERIO JUREZ
ASESOR:
M. C. C. GONZLO A. TORRES SAMPERIO
Dedicatoria
D
A Dios, quien me ha permitido llegar a este momento tan crucial en mi vida,
y con quien siempre he contado en todo momento, y sobre todo por permitir seguir
aqu para disfrutar de cada detalle de la vida que me ha elegido, y que deseo siga
guiando mi camino.
A mis padres, quienes me han dado amor, apoyo incondicional sobre mis
locas decisiones, y que sin ellos no podra estar en donde estoy. Gracias, los amo!
A mis hermanas y hermanito, que me han apoyado en todo momento, a
pesar de las rabietas que les he hecho pasar a cada uno durante el trayecto de
este trabajo. Los quiero mucho!!
A mi Sami, Yessi, Janiha y mi lindo nio Sal, quienes me aguantaron mi
mal humor durante el trayecto de este trabajo. Los quiero mucho y son unos
angelitos muy especiales para m cada uno de ustedes.
A mis profesores, que sin escatimar esfuerzo alguno han sacrificado parte
de su vida para formarme, educarme y as, llegar a ser una persona de provecho.
Y ms an, quienes fueron mi ejemplo a seguir: Lic. Isaas Prez, Ing. Edgar
Olgun, Lic. Theira Samperio, Lic. Norma Rodrguez, Dra. Luz Muoz.
A mis amigos: Susi, Yadis, Dennis, Daniel, quienes me han apoyado en
los momentos cruciales de mi vida, y haber redo y llorado conmigo para lograr una
superacin personal. Y que con su cario mutuo, su gua, sabidura y apoyo
incondicional, han formado parte de mi vida, haciendo ms interesante esta
aventura, hasta llegar a la meta que cre inalcanzable. Gracias a cada uno de
ustedes!! Y ya no se pongan celosos!! Cada uno es muy especial para mi!!
A mi asesor M.C.C. Gonzalo A. Torres, que a pesar de ser tan importante,
ya que es muy solicitado. Tenia tiempo para mi! Y claro, darle muchos dolores de
cabeza, para darle forma a este trabajo. Por fin, tiene pies y cabeza!! Gracias
master!!
Atte. Alexxa R. J.
ndice general
IG
Introduccin al campo de estudio
Objetivo general
Objetivos especficos
Justificacin
Alcance
Delimitacin
Capitulo 1.
Introduccin a las redes de computadoras
1. Introduccin a las redes de computadoras
1.1
Topologa de redes
1.2
Clasificacin de las redes
1.3
Medios fsicos de transmisin
1.4
Tecnologa de redes
1.5
Las redes e internet
1.6
Arquitectura de protocolos
1.7
Arquitectura de redes
1.7.1
El modelo TCP/IP
1.7.2
Modelo OSI
1.8
La seguridad en las redes
1.8.1
Legislacin jurdica de delitos informticos
1.8.2
Firewalls
Captulo 2.
Tecnologa de VPN
2
Introduccin a las VPNs
A. Conexin de las redes sobre Internet
B. Conexin de computadoras sobre intranet
C. VPN segn su conectividad
2.1
Requerimientos bsicos de VPNs
2.2
Bases de tnel
2.2.1
Protocolos de tnel
2.2.2
Protocolo de punto a punto (PPP)
2.2.3
Protocolo de tnel punto a punto (PPTP)
Pp.
I
II
II
II
III
III
2
3
4
4
6
8
9
11
11
15
19
21
22
30
31
33
33
36
37
37
40
42
2.3
2.4
2.5
2.6
2.2.4
Transmisin de nivel 2
2.2.5
Protocolo de la capa 2 de tnel
2.2.6
Protocolo de seguridad de internet
Arquitectura de seguridad de VPN
2.3.1
Encriptacin simtrica vs. Encriptacin asimtrica
2.3.2
Certificados
2.3.3
Protocolos de autentificacin extensible
2.3.4
Seguridad de nivel de operaciones
2.3.5
Seguridad del protocolo de internet
2.3.6
Administracin de usuarios
Hackeo de acceso telefnico
2.7.1
Toneloc
2.7.2
THC-SCAN
2.7.3
Phonesweep
2.7.4
Tcnicas de explotacin de portadora
2.7.5
Medidas de seguridad para marcacin telefnica
Hacking a la VPN
Ventajas y desventajas de una VPN
Capitulo 3.
Diseo e implementacin de una VPN
3. Introduccin
3.1
Introduccin al instituto ITESA
3.1.1
Historia
3.1.2
Visin
3.1.3
Misin
3.1.4
Valores institucionales
3.2
Anlisis de las necesidades de la institucin
3.2.1
Usos y beneficios de una red de computadoras
3.2.2
Caractersticas de los equipos existentes
3.2.3
Consideraciones para la eleccin del equipo
3.3
Propuestas de solucin
3.3.1
Alternativas
3.3.2
Evaluacin de alternativas
3.3.3
Viabilidad
3.4
Diseo detallado de la red
3.4.1
Medio fsico y equipo empleado
3.4.2
Consideraciones en el diseo de la VPN
3.4.3
Equipos para redes privadas virtuales
3.4.4
Soporte de estndares
3.4.5
Eleccin del SITE
3.4.6
Ubicacin de las estaciones de trabajo
3.4.7
Instalaciones elctricas
3.5
Preparacin del lugar y medidas de seguridad
3.6
Instalacin del hardware
3.7
Instalacin del software
44
44
49
54
54
57
58
58
58
66
67
69
69
70
71
71
72
74
77
77
77
78
78
78
79
79
79
80
81
81
82
82
84
84
86
89
91
92
92
92
93
93
93
3.8
3.9
Configuracin
Pruebas a la red
Conclusin general
Siglario
Bibliografa
Cibergrafa
Glosario
95
96
98
100
104
106
109
LISTADO DE FIGURAS.
Captulo 1.
1.1
Seguridad y no copias de archivos
1.2
Topologa de bus
1.3
Topologa de anillo
1.4
Topologa de estrella
1.5
Cable coaxial
1.6
Cable par trenzado
1.7
Fibra ptica
1.8
Capas de protocolos TCP/IP
1.9
Comparacin entre los modelos OSI y TCP/IP
1.10
Modelo OSI y las capas de TCP/IP
1.11
Arquitectura de red basada en el modelo OSI
1.12
Los siete niveles del modelo OSI
1.13
Capas del modelo OSI y sus protocolos
1.14
Localizacin de un firewall
1.15
El firewall de la red a nivel de aplicacin
1.16
Conexin circunvecina al firewall
1.17
Funcionamiento de un filtrador de paquetes
1.18
Pasarela a nivel de aplicacin
1.19
Un firewall completo
2
3
3
4
5
5
5
12
13
13
16
16
19
23
24
24
27
27
28
Capitulo 2.
2.1
Red virtual privada(VPN)
2.2
Conexin VPN de un cliente a una LAN privada
2.3
VPN para conectar dos sitios remotos
2.4
VPN para conectar dos computadoras en la misma LAN
2.5
Tipos de VPN
2.6
VPN de acceso remoto
2.7
VPN de intranet
2.8
VPN de extranet
2.9
Tnel obligatorio
31
32
32
33
34
34
35
35
39
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
2.18
2.19
2.20
2.21
2.22
2.23
2.24
2.25
2.26
2.27
2.28
2.29
2.30
2.31
2.32
2.33
Proceso CHAP
Construccin de un paquete PPTP
Paquete L2TP
LAC
LNS
Tnel obligatorio
Tnel voluntario
Sesin L2TP
Proceso L2TP
Autenticando ah en modo de tnel
Asegurando la carga encapsulada con ESP
Autenticando ah en modo de transporte
Asegurando la carga encapsulada con ESP
Llave simtrica
Llave asimtrica, encriptacin y desencriptacin
Encriptacin bsica
Algoritmo hash
Modo principal
Ejemplo de modo agresivo
Ejemplo de modo rpido
Tipos de certificados
Validando certificados digitales
Usuarios comparten una CA comn
Validacin en una jerarqua CA
Capitulo 3.
3.1
VPN host-host
3.2
VPN host-red
3.3
VPN red-red
3.4
Una VPN detrs de un firewall
3.5
Una VPN frente a un firewall
3.6
Una VPN en paralelo con un firewall
3.7
Combinacin de VPN gateway/firewall
3.8
Gateway armado como VPN
3.9
Acatel 7130 gateway de VPN
3.10
Cisco 535 secure pix firewall 535
3.11
Router Cisco serie 7200.
3.12
Concentrador cisco serie 3000.
3.13
Distribucin del SITE
42
43
45
46
46
46
47
47
48
51
52
52
53
55
55
56
57
62
62
63
65
65
65
66
84
85
86
87
87
88
88
89
89
90
90
90
92
LISTADO DE TABLAS.
Capitulo 1.
1.1
Tabla comparativa entre distintos medios de transmisin
1.2
Especificaciones de Ethernet
1.3
Primitivas de servicio
1.4
Protocolos ms comunes del conjunto de protocolos de TCP/IP
1.5
Funciones y dispositivos de las capas del modelo OSI
6
7
10
14
18
Capitulo 3.
3.1
Equipo actual para la red local
3.2
Comparativa entre tecnologas de VPN
3.3
Criterios para evaluar una red
3.3a
Continuacin de Criterios para evaluar una red
79
91
96
97
Marco Terico
I
Introduccin al campo de estudio.
La tecnologa existente en Internet como las intranets, han llegado a ser una
parte esencial de los sistemas de informacin corporativos de hoy en da. Sin
embargo, Internet no fue diseada, originalmente para el mbito de negocios.
Carece de la tecnologa necesaria para la seguridad en las transacciones y
comunicaciones que se producen en los negocios.
Es un tema peligroso para los negocios el establecer y mantener la
confianza en un entorno que fue diseado desde el comienzo para permitir un
acceso libre a la informacin es decir, de conseguir seguridad en una Intranet sin
chocar con los principios bsicos de Internet sobre la flexibilidad, interoperabilidad
y facilidad de uso.
La respuesta a estos puntos se centra en la instalacin de Redes Virtuales
Privadas, mejor conocidas como VPN (Virtual Private Network). Con su empleo, se
manejan conceptos como encapsulamiento, encriptacin y el empleo de tneles,
con la finalidad de mantener la informacin de una manera ms segura, confiable y
por supuesto con la confianza de que la informacin llegara a su destino sin
problemas y mantenindola alejada de situaciones personas no deseadas dentro
de la corporacin que puedan beneficiarse.
Objetivo general.
Efectuar una investigacin minuciosa sobre la tecnologa de Redes Virtuales
Privadas aplicadas a la seguridad en una red de datos, para generar un
documento que muestre las principales caractersticas de la encriptacin,
encapsulamiento y protocolos de tnel.
Objetivos especficos.
Dar a conocer los estndares y protocolos de una red de computadoras.
Mostrar la seguridad en las redes actuales y su relacin con los firewalls.
Describir el funcionamiento de una Red Virtual Privada (VPN).
Mostrar los requerimientos necesarios para instalar una VPN.
Proporcionar elementos conceptuales para la implementacin de una VPN en
una Institucin.
Justificacin.
Internet es una red de datos mundial por el cual transita a diario informacin
vital para muchas organizaciones, como informacin privada para bancos, la
realizacin de transacciones, compras en lnea, etc. Las redes de computadoras
hace posible compartir
importante mantener una seguridad interna como de manera externa para con la
red. Se cuenta con diversos tipos de seguridad para proteger la informacin, es tan
fcil que alguien entre a una Intranet y la sabotee, por ello la tecnologa ha creado
una red ms segura y econmica para conectar intranets dentro de Internet,
naciendo la Red Virtual Privada (VPN).
La tecnologa de la VPN crea tneles. Un tnel asegura la confidencialidad
llegando de manera segura a su destino. Un tnel primero debe crearse,
II
mantenerse y finalmente cerrarse, con ello se logra que tanto su emisor como
receptor estn seguros de que se esta enviando la informacin correcta sin
alteraciones en su camino. El tnel emplea el manejo de llaves por ambos lados de
la comunicacin, se encapsula la informacin, y se enva por la red intermedia
(Internet), cuando llega a su destino se desencapsula y es enviado a su red
destino. Un proceso de un tnel completo consiste en: la encapsulacin,
transmisin y desencapsulacin de la informacin en una conexin fcil y
econmica.
Para agregar ms seguridad se emplean varios mtodos mas antes de
enviar la informacin a travs del tnel como llaves privadas y publicas, la
encriptacin, funciones hash, y manejo de protocolos como L2TP, PPTP, PPP e
IPSec entre los ms conocidos.
Alcance.
El alcance en este trabajo es, proporcionar informacin sobre la seguridad
que existe en las Redes Virtuales Privadas, ya que emplea Internet para enviar su
informacin a travs de tneles para cada sesin de trabajo.
Delimitacin.
Se delimita el estudio a la Seguridad en las Redes de Datos, tomndose
como base para conocer como la Seguridad que tienen las VPN, influye en las
organizaciones que desean expandir su mercado en el mundo a travs de Internet.
III
Captulo
1
Introduccin a las redes de
computadoras.
La tecnologa de las redes actuales ha evolucionado hacia Redes Virtuales
Privadas (VPNs). La tecnologa que emplea esta red es conocido, emplea el
modelo OSI, estndares conocidos, con protocolos de punto a punto, topologas,
todo o parte de redes existentes o por crear en la empresa. Esta red enva su
informacin a otro punto creando tneles, que se encargan de la Autenticacin,
encriptacin, claves o llaves, para verificar a quien o hacia quien va dirigida la
informacin y sobre todo de quien la enva es una persona confiable y segura.
Antes de conocer ms a las VPNs, es importante saber como estn creadas las
redes actuales para conocer como funcionan y sobre todo saber de donde parte
una VPN.
Seguridad en VPNs
Seguridad en VPNs
-3-
Seguridad en VPNs
-5-
Seguridad en VPNs
-6-
LONGITUD
COSTE
500 m.
Medio
200 m.
Bajo
20 30 m.
Muy Bajo
100 m.
Bajo
500 m.
Muy alto
10m. -10Km.
20 m.
Alto
Alto
Seguridad en VPNs
-7-
CARACTERSTICAS
Cable coaxial grueso (Ethernet grueso).
Velocidad de transmisin: 10 Mb/seg.
Segmentos: mximo de 500 metros.
10-BASE-2
Cable coaxial fino (Ethernet fino).
Velocidad de transmisin: 10 Mb/seg.
Segmentos: mximo de 185 metros.
10-BROAD-36 Cable coaxial.
Segmentos: mximo de 3600 metros.
Velocidad de transmisin: 10 Mb/seg.
100-BASE-X Fast Ethernet.
Velocidad de transmisin: 100 Mb/seg.
asignada una direccin en la que recibe todos los mensajes que se le enven
en cuestin de minutos.
Mailing List (Lista de Correo). Este servicio enva en forma de correo
electrnico todos los mensajes de las reas temticas que interesen. Los
gestores del servidor se limitan a recoger todos los mensajes y a distribuir
copias a los que estn suscritos a las listas.
Los Usenet News. Es un sistema de conferencias, que permiten agrupar a
personas interesadas en diversas reas. Una conferencia es un foro multimedia
a travs del que se intercambia informacin de muy diversa naturaleza.
El Chat es un sistema de conferencia que se establece entre los usuarios de las
terminales que se encuentra disponibles en el ciberespacio y que permite el
intercambio de informacin en tiempo real.
Gopher. Es un sistema de organizacin jerrquica de informacin e Internet.
Permite acceder o men carpetas donde estn incluidos todos los documentos
de la red que se pueden visualizar e imprimir. Es un buscador a nivel FTP.
Telnet. Es un protocolo que permite conectarse con otra computadora de la red
de Internet.
FTP. Es un protocolo que permite la transferencia de ficheros de una
computadora a otra.
Primitiva
Solicitud
Indicacin
Respuesta
Confirmacin
Significado
Una entidad desea que el servicio realice un trabajo.
Una entidad es informada acerca de un evento.
Una entidad desea responder a un evento.
Una entidad va a ser informada acerca de su
solicitud.
Seguridad en VPNs
- 12 -
Seguridad en VPNs
- 13 -
Seguridad en VPNs
- 14 -
Servicio
Proporciona servicios para la entrega de paquetes (encaminamiento) entre nodos.
Regula la transmisin de mensajes de error y control entre los host y los gateways
Asigna direcciones Internet a direcciones fsicas.
Asigna direcciones fsicas a direcciones de Internet.
Proporciona servicios de envi de flujos fiables entre los clientes.
Proporciona servicio de entrega de datagramas no fiable entre clientes.
Proporciona servicios de nivel de aplicacin para la transferencia de archivos.
Proporciona un mtodo de emulacin de terminal.
Permite el intercambio de informacin de encaminamiento de vectores de distancia entre
routers.
Permite el intercambio de informacin de encaminamiento de estado del enlace entre routers
Permite el intercambio de informacin entre routers externos.
Permite la transmisin de paquetes pequeos en la segunda capa. No tiene control de flujo ni
seguridad.
Igual que SLIP, pero tiene el control de errores y los recupera.
Permite a usuarios remotos conectarse a Internet a una red privada. Usa tcnicas de cifrado y
compresin.
LAP. (Nivel 1,2). Protocolo de acceso de enlace que proporciona los servicios
bsicos de transmisin de paquetes entre nodos de la red, as tambin permite
la identificacin de los nodos en forma dinmica con 8 bits.
AARP. (Nivel 1, 2). Protocolo que realiza la traduccin de la identificacin de los
nodos de AppleTalk a los de una red Ethernet o Token Ring la identificacin se
realiza con 48 bits.
TLAP. (Nivel 1, 2). Permite comunicacin con maquinas Token Ring.
Nivel
1
3
4
Dispositivos
y protocolos
Fsico
Se ocupa de la transmisin del flujo de bits a Cables, tarjetas
travs del medio.
y repetidores
RS-232, X.21
Enlace
Divide el flujo de bits en unidades con formato Puentes HDLC
(trams)
intercambiando
estas
unidades y LLC.
mediante el empleo de protocolos.
Red
Establece las comunicaciones y determina el Encaminador,
camino que tomarn los datos en la red.
IP, IPX.
Transporte La funcin de este nivel es asegurar que el Pasarela, UDP,
receptor reciba exactamente la misma TCP, SPX.
informacin que ha querido enviar el emisor, y a
veces asegura al emisor que el receptor ha
recibido la informacin que le ha sido. Enva de
nuevo lo que no haya llegado correctamente.
Sesin
Establece la comunicacin entre las aplicaciones, Pasarela.
la mantiene y la finaliza en el momento
adecuado. Proporciona los pasos necesarios para
entrar en un sistema utilizando otro. Permite a
un mismo usuario, realizar y mantener diferentes
conexiones a la vez (sesiones).
Presentacin Conversin entre distintas representaciones de Pasarela,
datos y entre terminales y organizaciones de compresin,
sistemas de ficheros con caractersticas encriptado,
diferentes.
VT100, X.400.
Aplicacin
Este nivel proporciona servicios estandarizados
para poder realizar funciones especficas en la
red. Las personas que utilizan las aplicaciones
hacen una peticin de un servicio (envo de un
archivo). Esta aplicacin utiliza un servicio que le
ofrece el nivel de aplicacin para poder realizar el
trabajo que se le ha recomendado (enviar el
archivo).
Nombre
Funcin
PROTOCOLOS
AFP, Servicios de Impresin
AFP, Servicio de Impresin
ADSP, ZIP, ASP, PAP
RTMP, AEP, ATP, NBP
DDP
LAP, AARP, TLAP, ELAP
TokenTalk, EtherTalk, LocalTalk
1.8.2 Firewalls.
Un firewall [18] en Internet es un sistema o grupo de sistemas que impone
una poltica de seguridad entre la organizacin de red privada y el Internet.
Determina cul de los servicios de red pueden ser accesados dentro de sta por los
que estn fuera de la organizacin.
Para que un firewall sea efectivo, todo trfico de informacin a travs de
Internet deber pasar a travs del firewall donde podr ser inspeccionada la
informacin. El firewall podr nicamente autorizar el paso del trfico, y podr ser
inmune a la penetracin [URL12], [15]. Este sistema no puede ofrecer proteccin
alguna una vez que el agresor lo traspasa o permanece entorno a este (Figura
1.14).
Seguridad en VPNs
- 23 -
Seguridad en VPNs
- 28 -
Seguridad en VPNs
- 30 -
Captulo
2
Tecnologa VPN.
En la actualidad las redes reducen tiempo y costos, con un mayor alcance
de
desarrollo
para
la
empresa,
logrando
descentralizar
su
informacin
Seguridad en VPNs
Desde la perspectiva del usuario, la VPN es una conexin del punto a punto
entre la computadora del usuario y un servidor corporativo, ya que aparece como
si los datos estn siendo enviados sobre un enlace privado dedicado [URL18].
Seguridad en VPNs
- 35 -
Seguridad en VPNs
- 39 -
Seguridad en VPNs
- 41 -
Seguridad en VPNs
- 42 -
Seguridad en VPNs
- 45 -
Seguridad en VPNs
- 47 -
Seguridad en VPNs
- 48 -
Seguridad en VPNs
- 54 -
Seguridad en VPNs
- 55 -
Seguridad en VPNs
- 56 -
2.3.2 Certificados.
Con la encriptacin o codificacin simtrica, el transmisor y el receptor
tienen una clave secreta compartida. La distribucin de la clave secreta debe
hacerse antes de cualquier comunicacin codificada.
Con la codificacin asimtrica el transmisor utiliza una clave privada para
codificar o firmar digitalmente mensajes, mientras que el receptor utiliza una clave
pblica para descifrar estos mensajes. La clave pblica puede distribuirse
libremente a cualquiera que necesite recibir los mensajes codificados o con firma
digital. El transmisor slo necesita proteger cuidadosamente la clave privada.
Para asegurar la integridad de la clave pblica, se pblica con un certificado
el cual es una estructura de datos firmada digitalmente por una autoridad de
certificacin, en la cual los usuarios del certificado pueden confiar. Este certificado
contiene el Nombre y Uso del Certificado, informacin que identifica al propietario
de la clave pblica, la clave pblica en s, una fecha de expiracin y el nombre de
la utilidad de certificacin. La autoridad de certificacin utiliza su clave privada para
firmar el certificado. Si el receptor conoce la clave pblica de la autoridad de
certificacin, entonces puede verificar que el certificado es en realidad confiable y,
por lo tanto, contiene informacin segura y una clave pblica vlida.
Seguridad en VPNs
- 62 -
Seguridad en VPNs
- 66 -
Seguridad en VPNs
- 68 -
Seguridad en VPNs
- 70 -
Seguridad en VPNs
- 71 -
Seguridad en VPNs
- 73 -
2.4.1 Toneloc.
Primera y ms popular herramientas de wardialing, de Minos Treta & Mucho
Maas (abreviatura de Tone Locator, localizador de tono). Esta herramienta ha
dejado de existir, puede hallarse en sitios especiales de Internet, Toneloc trabaja
bajo DOS de cualquier sistema operativo, y tanto los hackers como los consultores
en seguridad han comprobado, que se trata de una herramienta muy eficaz.
ToneLoc es sencillo de configurar y usar para el acceso telefnico bsico, es un
poco complicado si se desean utilizar funciones ms avanzadas. Funciona muy
bien como un marcador masivo de nmeros de telfono utilizando la configuracin
bsica. ToneLoc puede averiguar cdigos de hasta cuatro dgitos [15].
2.4.2 THC-Scan.
Al desaparecer Toneloc, surgio THC-Scan, de van Hauser del grupo de
hacking alemn: The Hackers Choice. Al igual que ToneLoc, THC-Scan se
configura y ejecuta bajo DOS en cualquier sistema operativo.
La mayor parte de las operaciones de configuracin son sencillas, para
llevar a cabo configuraciones no estndar resulta muy prctico conocer los detalles
y complejidades del puerto COM de la PC.
La sintaxis de los mandatos de THC-Scan es muy similar a las de ToneLoc,
pero incluyen diferentes mejoras. THC-Scan se parece mucho a ToneLoc incluso
cuando se ejecuta. La programacin diaria del wardialing es un proceso manual
que utiliza parmetros para especificar las horas de inicio y finalizacin del
programa, para reiniciar las exploraciones cada da a la hora indicada. Los
parmetros de THC-Scan los escriben los programadores en un sencillo archivo de
proceso por lotes, al que se llama mediante el programador de tareas (AT).
Lo ms importante a recordar sobre la programacin de THC-SCAN.EXE es
que slo busca el archivo .CFG en el directorio actual. Cuando se estn buscando
portadoras, THC-Scan puede enviar a un mdem de respuesta ciertas cadenas
especificadas en el archivo .CFG.
Una vez finalizada la exploracin, se debern examinar los diversos
registros. Una de las funciones ms potentes de THC-Scan es su capacidad para
capturar y almacenar indicadores de terminal en un archivo de texto para su
examen posterior. Se exige que en las funciones de gestin el usuario realice
numerosas entradas manuales.
Las operaciones de wardialing pueden generar una enorme cantidad de
datos que ser necesario cotejar, incluyendo la lista de los nmeros marcados, las
portadoras encontradas, los tipos de sistemas identificados.
Seguridad en VPNs
- 74 -
2.4.3 PhoneSweep.
Si se piensa que THC-Scan da mucho trabajo, PhoneSweep (barrido
telefonico) es el indicado.
Las funciones crticas que hacen que PhoneSweep destaque son: sencilla
interfaz grafica, programacin automatizada, la penetracin de portadora, el
manejo simultaneo de varios mdems y los elegantes informes que es capaz de
elaborar.
PhoneSweep se configura fcilmente para marcar durante el horario laboral,
horas valle, fines de semana, o en los tres periodos. Identifica automticamente
hasta 120 marcas y modelos de dispositivos de acceso remoto. Ejecuta un ataque
de diccionario contra los mdems identificados. Otra funcin til es la base de
datos SQL, integrada en el wardialing es en la que se podrn registrar los
resultados de todas las llamadas realizadas por todos los mdems disponibles.
La mayor diferencia entre PhoneSweep y las herramientas freeeware est
en su coste. PhoneSweep cuenta con dos versiones: PhoneSweep Basic, capaz
de utilizar un mdem y 800 nmeros por perfil por 980 dlares americanos, y
PhoneSweep Plus, que permite utilizar hasta cuatro mdems y 10,000 nmeros
por perfil por 2,800 dlares americanos [15].
Seguridad en VPNs
- 80 -
Captulo
3
Diseo e Implementacin de una
VPN.
En esta parte se lleva a cabo la realizacin de un anlisis detallado para el
diseo e implementacin de una VPN en una institucin. Donde se aplican los
conocimientos adquiridos a travs de esta investigacin.
Al conocer los requerimientos de la institucin se proponen algunas
alternativas de solucin dependiendo de la tecnologa con la que se cuente y con
la capacidad de la red que se tenga instalada.
Seguridad en VPNs
3. Introduccin.
La tecnologa en redes busca la comunicacin, difusin y conocimientos
sobre la informacin importante y vital para quienes es necesario estar al da. Sin
contar que existen fugas de informacin como la alteracin parcial, temporal o
permanente el dao que se cause a la misma a travs de una red privada o pblica
como es Internet. El aplicar y seguir polticas de seguridad junto con firewalls, hace
ms fuerte la red privada [1], [14], [10].
Al conectarse una red privada propia hacia otra por medio de Internet se
logra una conexin virtual y ms aun con una seguridad extra, con ayuda de varios
mecanismos lgicos y fsicos, creando as una VPN. Con esta red de propone una
mejora a la organizacin y una garanta de confiabilidad en el manejo de la
informacin y un mejor desarrollo de la misma en cualquier parte del pas con
acceso a ella sin importar cuan lejos este el personal.
Seguridad en VPNs
- 82 -
3.1.1 Historia.
Por gestiones del Gobierno Municipal de Apan y del Gobierno Estatal, con
base en el estudio de factibilidad realizado por el IHEMSYS, el Gobierno federal
autoriza la apertura del ITESA para ofrecer a nivel licenciatura las carreras:
Ingeniera Electromecnica (IE) e Ingeniera en Sistemas Computacionales (ISC)
previa promocin del ITESA y sus Carreras a partir del 17 de julio 1999, en
diferentes medios de difusin, el instituto inicia actividades el 6 de septiembre en
forma provisional, en instalaciones que pertenecen a la Secundaria de
Trabajadores y al Centro Regional de Maestros, con mobiliario y equipo prestado
por estas Instituciones y otras pertenecientes al IHEMSYS.
De conformidad con el estudio de factibilidad y su respectiva actualizacin,
para diversificar la oferta educativa, la Coordinacin de Institutos Descentralizados
aprueba, por parte de la SEP del Gobierno Federal, la apertura, a partir del periodo
escolar que inicia en Agosto 2001, de las Licenciaturas de Ingeniera en Industrias
Alimentaras (IIA) e Ingeniera Civil (IC) [URL27].
3.1.2 Visin.
Ser una Institucin [URL27] que consolide y diversifique sus programas
acadmicos, genere conocimiento para el desarrollo del sector productivo y social;
que cubre las expectativas de los alumnos y la comunidad, logrando egresados
con potencial profesional y desarrollo humano, confirmando su pertenencia al
impactar de manera favorable en lo econmico social y cultural, que se traduzca
en un mayor reconocimiento y aceptacin en la regin, el estado y el pas.
3.1.3 Misin.
Ser lideres [URL27] en la formacin de profesionistas con conocimientos,
habilidades, actitudes y comportamiento acordes con los valores Institucionales,
teniendo como fundamento proyectos acadmicos vigentes, consistentes y
congruentes, que impulsen el desarrollo humano y el espritu creativo y
emprendedor, que le permita al egresado cubrir sus expectativas, participar
exitosamente en el mejoramiento de la regin, obtener reconocimiento social y con
ello, prestigiar la Institucin.
Cantidad
Servidor
Computadoras
personales
40
Switch CISCO
Patch Panels
Riack
2
2
1
2
1
Caractersticas
Procesador Xeon doble de 2.8 Ghz.
512Mb en RAM.
72 Gb. en Disco duro.
Procesador Pentium 4.
256 en RAM.
40 Gb. Disco duro.
24 puertos.
Inyeccin de tinta
Seguridad en VPNs
- 84 -
Seguridad en VPNs
- 85 -
Seguridad en VPNs
- 86 -
3.3.1 Alternativas.
Las soluciones que se proponen para mejorar la red son:
Internet por medio de un proveedor local.
Internet e-Mxico por medio de un CCD.
Una VPN.
3.3.3 Viabilidad.
Antes de elegir una opcin de cambio de red, se estudian las propuestas
anteriores con base a los puntos anteriores.
La primera opcin para obtener el acceso a Internet es por medio de un
proveedor local. Se puede contratar el servicio por medio de TELMEX, los
servicios son Prodigy o Prodigy Infinitud. Actualmente debido a la infraestructura
se cuenta con solo en algunas computadoras y su acceso al Internet es restringido.
Slo el rector y algunos profesores tienen acceso con tiempo establecido, adems
que es muy lento.
La segunda opcin es Internet e-Mxico por medio del CCD [21], [22],
[URL30]. Un CCD pretende ayudar en las tareas que todo profesor tiene, para
ayudarle con problemas escolares, financieros, pagos, convocatorias entre
escuelas. El CCD ayuda a hacer todo esto y mucho ms, de manera sencilla,
rpida y profesional. En este lugar se cuenta con computadoras e Internet sin
necesidad de saber computacin, ya que siempre hay un asesor en lnea [URL30].
El sistema nacional e-Mxico es un conjunto de estrategias, acciones y
metas en el que participan los gobiernos federal, estatal y municipal, las
Secretaras de Estado, las instituciones privadas y la poblacin en general para
propiciar, mantener y fortalecer el uso de las computadoras y la Internet,
generando una sociedad inmersa en los beneficios que ofrecen los avances
tecnolgicos de la comunicacin y disminuyendo as la brecha digital [URL30].
Este sistema apoya en las actividades, brinda informacin y servicios que
permitan estrechar la relacin entre ciudadanos y autoridades, a travs de portales
de e-gobierno, e-salud, e-economa, e-aprendizaje.
Internet es un sistema cooperativo mundial de redes de computadoras
conectadas entre s por diversos medios y equipos de comunicacin. e-Mxico
[URL30] provee la conectividad terrestre o satelital de banda ancha a bajo costo en
centros educativos y culturales, biblioteca, plazas comunitarias, centros de salud,
oficinas postales y de telgrafos, entre otros, para brindar atencin al pblico a
travs de un CCD.
El propsito fundamental del Sistema Nacional e-Mxico, es lograr que toda
la poblacin acceda a los servicios de Internet y a las computadoras a bajos costos
por medio de un CCD.
En esta opcin no se necesita saber mucho del manejo de redes y sobre
todo se tiene a un especialista en lnea que ayuda al usuario a conocer el manejo
de computadoras e Internet.
Seguridad en VPNs
- 88 -
Seguridad en VPNs
- 90 -
Seguridad en VPNs
- 91 -
Seguridad en VPNs
- 92 -
Seguridad en VPNs
- 93 -
Seguridad en VPNs
- 94 -
Seguridad en VPNs
- 96 -
IPSEC
Puntos fuertes
Opera
independiente
de
las
aplicaciones de niveles superiores.
Subconjunto de IPv6.
Ocultacin de direcciones de red sin
emplear NAT.
Acoplamiento con las tcnicas
criptogrficas existentes y futuras.
Gestin
centralizada
de
los
parmetros de seguridad, autenticacin y
acceso.
Cortafuegos Disponibilidad de una interfaz comn
para la modificacin de las reglas del tnel.
Disponibilidad de ACLs para usuarios
remotos.
Soporta tunneling extremo a extremo y
entre servidores.
Posibilidad de valor aadido para el
acceso remoto.
PPTP
Proporciona
una
capacidad
multiprotocolo.
Empleo de encriptacin RSA RC-4.
Puntos dbiles
En desarrollo
No
proporciona
la Estandarizacin
de
gestin de usuarios.
todas las facetas de PKI,
Interoperabilidad entre incluyendo los protocolos
los fabricantes.
de
intercambio
de
No estandarizado.
certificados y el formato de
stos.
El IETF est en su
desarrollo.
Reduccin del modo de Mismos objetivos que
operacin debida a la IPSec.
encriptacin software.
Soluciones capaces de
Precisa un alto control realizar la encriptacin por
con los cambios al aadir medio del hardware.
nuevas reglas VPN.
No
proporciona
encriptacin de datos para
los servidores de acceso
remoto.
Precisa un servidor NT
como terminador del tnel.
Slo usa encriptacin
RSA RC-4.
Habilita el tunneling multiprotocolo.
No posee encriptacin.
Soportado por la gran mayora de Autenticacin dbil.
fabricantes.
No dispone de control de
flujo sobre el tnel.
Combina L2F y PPTP.
An no implementado.
Necesidad de nicamente una red de
paquetes para operar bajo X.25 y Frame
Relay.
Implementaciones que
empleen el nombre de
L2F
usuario y dominio en el
establecimiento del tnel.
Estandarizacin
y
operacin en proceso.
Ser adoptado por los
L2TP
fabricantes para el acceso
remoto una vez completo.
Mecanismos de encriptacin y Protocolo propietario.
Compatibilidad
con
autenticacin fuerte.
Las
configuraciones IPSec.
Proporciona seguridad extremo a LAN-LAN
no
estn
VTCP/Secure
extremo.
permitidas.
Tunneling basado en nombre de No es multiprotocolo.
dominio.
Seguridad en VPNs
- 99 -
Seguridad en VPNs
- 100 -
3.8 Configuracin.
La arquitectura de la VPN se debe basar en elementos esenciales de la
tecnologa para proteger la privacidad, mantener la calidad y confiabilidad, y
asegurar la operatoria de la red en toda la empresa [URL15], [URL16], [URL17],
[URL18].
Estos elementos son:
Seguridad: [URL36], [URL39] uso de tneles, encripcin de datos,
autenticacin de usuarios y paquetes, control de acceso.
Calidad de Servicio: uso de colas, manejo de congestin de red, priorizacin
de trfico, clasificacin de paquetes.
Gestin: implementacin y mantenimiento de las polticas de seguridad y
calidad de servicio a lo largo de la VPN.
La Seguridad en la VPN [URL39] en un punto fundamental, es el
particionamiento de las redes pblicas o de uso compartido para implementar las
Seguridad en VPNs
- 101 -
Seguridad en VPNs
- 102 -
Costos
Capacidad de
expansin
Eficacia
Productividad
Integridad
Confiabilidad
Rendimiento
Aceptacin
Tenemos:
Reduccin del tiempo en:
Uso de la red por una estacin.
De respuesta.
De procesamiento.
Disminucin del costo:
Por operacin anual,
De mantenimiento.
De inversin.
Adaptacin de la expansin e la red.
Interconexin de funciones o servicios de la compaa.
Eficacia de la red con relacin a la precedente.
Mejora de la productividad:
De usuarios
De administradores
Rapidez en toma de decisiones.
Reduccin del nmero de errores.
Capacidad para soportar la carga de trabajo.
Capacidad para cargar la carga de trabajo.
Aceptacin de la red por:
Clientes y proveedores.
Usuarios.
Administradores.
Evaluacin en:
Tenemos:
Flexibilidad
Capacitacin
Conclusin General
CG
Las redes de computadoras se han empleado para intercambiar informacin
de manera local. Las redes se clasifican por su topologa, medio fsico de
transmisin, su tecnologa y su cobertura. A su vez cuentan con los servicios de
Internet. Estn basadas en una arquitectura de protocolos como TCP/IP y OSI
para la comunicacin entre ellas.
Las redes tienen polticas de seguridad internas como externas para
proteger la informacin que exista dentro de la red. Hay dos tipos de seguridad, la
seguridad fsica que se encarga del hardware y, la seguridad lgica que evita el
dao al software existente del equipo y de la red. Los principales enemigos de
nustra informacin son los virus, los piratas informticos, los antivirus no
actualizados, incluso los mismos usuarios.
El uso de un firewall como mecanismo de seguridad, hace ms fuerte a la
red contra intrusiones de cualquier tipo y dependiendo de la forma en que se
program dentro de la red, la har impenetrable a los peligros que existen
dentro y fuera de la red.
Una red se puede conectar a otra red en un sitio remoto a travs de un
enlace virtual por medio de una interred, esto se conoce como una Red Virtual
Privada (VPN).
Una VPN es el sueo ideal de cualquier administrador de red, puesto que
es una combinacin entre la seguridad y una red privada, haciendo a las VPN una
red confiable y de bajo costo que satisface las necesidades de comunicacin de la
organizacin a travs de Internet.
Una VPN mantienen comunicaciones seguras (autenticacin de usuario,
manejo de direcciones, encriptacin de datos, administracin de llaves y un
soporte de protocolo mltiple) tan estricta que es difcil alterar la informacin en el
trayecto. A menos que se logre capturar la informacin con las llaves apropiadas,
el tnel y su encriptacin, es posible daarla en su totalidad.
Dependiendo de cmo se la conectividad de una VPN, esta podr ser VPN
de Intranet, VPN de Extranet o una VPN de Acceso remoto.
Seguridad en VPNs
104
Seguridad en VPNs
105
Siglario
A-Z
CCD.
Centro Comunitario Digital.
CHAP.
Protocolo de Autenticacin de Saludo,
A
AARP.
Protocolo de traduccin de la
direccin de AppleTalk,
COSNET.
Consejo Nacional de Educacin y
Tecnologa.
AFP.
DDP.
Protocolo de entrega de datagramas,
AH.
Cabecera de Autenticacin,
Authentication Header.
DES.
Encriptacin de datos estandar,
ARP.
Protocolo de Resolucin de
direcciones.
ASP.
DMZ.
Zonas desmilitarizadas,
Demilitarized Zone.
ATP.
DNA.
Arquitectura de Red Digital,
C
CAR.
CBCP.
Protocolo de retorno de Control,
EAP.
Protocolo de Autenticacin extensible,
EGP.
Protocolo Gateway externo.
ELAP.
IHEMSYS.
Instituto Hidalguense de Educacin
Media Superior y Superior.
IP.
Protocolo de Internet,
Internet Protocol.
IPCP.
Protocolo de Control IP.
IPSec.
ET.
Estacin Terminal.
IP Security.
IPX.
Internet Packet Exchange.
F
FDDI.
ISP.
Proveedor de Servicio
Independientes,
FPS.
Servidor Apoderado del firewall,
ISS.
Rastreador de Seguridad en Internet,
ITESA.
Instituto Tecnolgico Superior de
Apan.
de
transferencia
de
Gopher.
Ardilla de tierra, del ingles go for, ve
y trae.
GRE.
LAN.
Red de rea Local.
LAP.
Layer Forwarding 2.
GTS.
L2TP.
HTTP.
I
ICMP.
Protocolo de control de mensaje
Internet.
MAC.
Tcnica de Acceso al Medio.
MAN.
Red metropolitana.
MAU.
Unidades de Acceso Multiestacin.
MPPC.
Seguridad en VPNs
108
MPPE.
Encriptacin de Punto a punto de
Microsoft,
PAP.
Protocolo de Autenticacin de
Contrasea, Password Authentication
Protocol.
MSCHAP.
Protocolo Microsoft de Autenticacin,
PAP.
Protocolo de acceso de impresin,
MTU.
PDC.
Controlador del Dominio Primario,
PNS.
Servidor para red de PPTP,
NAS.
Servidor de Acceso a la Red,
POP.
Punto de presencia.
PPP.
Protocolo de Punto a Punto.
PPTP.
Protocolo de Tnel Punto a Punto,
NCP.
Protocolos de Control de Red.
NIC.
RADIUS.
NIS.
RARP.
Protocolo de direcciones invertidas.
RAS.
Servidor de Acceso Remoto,
O
OPSF.
Protocolo Abrir la va ms corta
primero.
OSI.
RIP.
Protocolo
de
informacin
de
encaminamiento.
RPC.
Procedimiento de llamada remota,
Remote Procedure Call.
RTMP.
PAC.
Concentrador de acceso de PPTP,
SA.
Asociacin Segura,
Security Assosiation.
Seguridad en VPNs
109
SATAN.
Herramienta para Anlisis de
Seguridad para Auditar Redes,
SLIP.
Protocolo de Internet Lineal de Serie.
SMTP.
Protocolo de transferencia de correo,
VAN.
Red de Valor Agregada,
VPN.
Red Virtual Privada,
SOCKS.
Protocolo de seguridad de red,
T
TCP.
Protocolo de control de transmisin,
X
XNS.
Sistema de red Xerox,
Z
ZTP.
Protocolo de informacin de zona,
U
UDP.
Protocolo de datagrama de usuario.
Seguridad en VPNs
110
Bibliografa
B
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
Seguridad en VPNs
- 112 -
Cibergrafa
C
[URL1]
[URL2]
[URL3]
[URL4]
[URL5]
[URL6]
[URL7]
[URL8]
[URL9]
[URL10]
[URL11]
[URL12]
[URL13]
[URL14]
[URL15]
[URL16]
[URL17]
[URL18]
[URL19]
[URL20]
[URL21]
[URL22]
[URL23]
[URL24]
[URL25]
[URL26]
[URL27]
[URL28]
[URL29]
[URL30]
[URL31]
http://www.cisco.com/global/IE/solutions/ent/awid_solutions/vpn_home.shtml
Espinosa, M. Redes Virtuales Privadas. Mxico. Recuperado Junio 2003, de
http://apuntes.rincondelvago.com/redes-virtuales-privadas.html
Koleta. Red privada virtual. Universidad de Jan. Espaa. Recuperado Marzo
2004, de http://apuntes.rincondelvago.com/red-privada-virtual.html#
Cea, J. (1997-2006) Redes Privadas Virtuales. Argo: Redes y Servicios
Telemticos S.A. Espaa. Recuperado Diciembre 2001, de
http://www.argo.es/~jcea/artic/vpn1.htm
Conexiones de red privada virtual (VPN). Espaa. Recuperado Mayo 2003, de
http://www.microsoft.com/windows2000/es/advanced/help/conn_vpn.htm
Farrasa. Tecnologa VPN. Colombia. Recuperado Marzo 2002, de
http://apuntes.rincondelvago.com/tecnologia-vpn.html
Howstuffwoks, Inc. (1998-2006) How Virtual Private Networks Work.
Recuperado Julio 2004, de http://computer.howstuffworks.com/vpn1.htm
Imagen Interactive. (2002) Undestanding Virtual Private Networks. A
Foundation In Security, Communicatte visualy. Maine, US. Recuperado Junio
2004, de http://www.imageninteractive.com/assets/powerpoint/vpn_introduction_file/frame.htm
Mako. Redes Privadas Virtuales. Chile. Universidad Mayor. Recuperado Mayo
2004, de http://apuntes.rincondelvago.com/redes-privadas-virtuales.html
IETF. Layer Two Tunneling Protocol (L2TP). Lucent Technologies. Cisco
Systems. Recuperado Marzo 2005, de http://www.ietf.org/rfc/rfc3931.txt
Hevia, M. (1997) Virtual Private Networks (VPN). Argentina. Recuperado
Septiembre 2002, de http://monografias.com/trabajos12/monvpn/monvpn.shtml
VPNC: Virtual Private Network Consortium. (1999) VPN Protocols. VPN
Consortium. CA, USA. Recuperado Julio 2003, de http://www.vpnc.org/vpnstandards.html
Cisco Systems. (1992-1999) L2F. Cisco System. Recuperado Mayo 2005, de
http://www.cisco.com/warp/public/732/L2F/index.html
IHEMSYS. ITESA. Instituto Tecnologico Superior de Apan. IHEMSYS. Mxico.
Recuperado Enero 2005, de http://www.ihemsys.gob.mx/ITESA.htm
Cisco. (1992-2005) Soluciones VPN. Cisco System. Mxico. Recuperado
Febrero 2005, de http://www.cico.com/mx/svpn/index.shtml
Dobarro, A. (2003) Cmo crear una red privada virtual (VPN) en Windows XP.
Recuperado Marzo 2003, de
http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id
=55
Centro Comunitario Digital. La respuesta a tus necesidades. Mxico.
Recuperado Abril 2005, de http://www.emexico.gob.mx/wb2/eMex/eMex_Ubica_tu_CCD
Maldonado, F. (2003) Las Redes de Computadoras. Venezuela. Recuperado
Seguridad en VPNs
- 114 -
Seguridad en VPNs
- 115 -
Glosario
G
A
Abuso de privilegio. Se produce cuando un usuario realiza una accin que no
tiene asignada de acuerdo a la poltica organizativa o a la ley.
Accountig. Registro o contabilidad de las operaciones.
Aceite de serpiente, Snake oil. El nombre tiene su origen en las curas de
charlatn o buhonero del siglo XIX, en los aceites milagrosos que lo curaban todo.
En criptografa, se aplica a un producto cuyos desarrolladores describen con
terminologa tcnica engaosa, inconsistente o incorrecta.
AH, Authentication Header. Encabezamiento contenido en IPSEC que se utiliza
para verificar que el contenido de un paquete no ha sido modificado durante la
transmisin.
Seguridad en VPNs
- 116 -
Seguridad en VPNs
- 117 -
Seguridad en VPNs
- 118 -
Seguridad en VPNs
- 120 -
B
Back door. Un agujero de seguridad en un sistema que permite el acceso
contino de un intruso.
Bailey the Switcher. Ataca el trfico de redes para modificar el contenido de los
mensajes de otras personas.
Bastion Host. un sistema que ha sido configurado para resistir los ataques y que
se encuentra instalado en una red en la que se prev que habr ataques.
Normalmente, un bastion host est ejecutando alguna aplicacin o sistema
operativo de propsito general (como: UNIX o
operativo de firewall.
Brecha de seguridad. Entering wedge. Debilidad de un sistema criptogrfico u
otro sistema de seguridad que proporciona al atacante una forma de romper
algunos de los sistemas de proteccin.
Seguridad en VPNs
- 121 -
Bridges, puentes. Permiten dos cosas: primero, conectar dos o ms redes entre
s, an teniendo diferentes topologas, pero asumiendo que utilizan el mismo
protocolo de red.
modificarlo. Este mtodo sirve para poder efectuar pruebas desde un terminal de
datos.
Byte. Unidad elemental de memoria. Apenas se usa.
C
Caballo de Troya, Trojan horse. Programa con funciones secretas que accede
subrepticiamente a la informacin sin el conocimiento del usuario, normalmente
para violar las protecciones de seguridad. Tambin llamado genricamente
"Troyano".
Cabeceras, Headers. Informacin contenida en la parte inicial de un mensaje
enviado a travs de una red de ordenadores. Las cabeceras contienen informacin
utilizada para enviar y procesar correctamente los datos que se envan, como
longitud, claves, etc. Tambin se llaman "encabezamiento" y "encabezados".
CAPSTONE. Circuito integrado, tambin conocido como MYK-80, que utiliza el
estndar EES e incorpora funciones criptogrficas como el uso del algoritmo
SKIPJACK, y del algoritmo de firma digital (DSA). Proporciona funciones
criptogrficas tiles para comercio electrnico y otras aplicaciones. La primera
aplicacin del chip fue la tarjeta Fortezza. Ya no se fabrica.
CAST, Carlisle Adams y Stafford Tavares. Algoritmo de encriptacin
criptogrfica que es una parte opcional de algunos estndares. Ha sido patentado
por Entrust Technologies, quienes permiten su uso libre.
CBC, Cipher Block Chaining. Literalmente, cifrado en bloque encadenado. Modo
de cifrado en bloque que combina el bloque previo de texto cifrado con el bloque
actual o texto en claro antes de encriptarlo. Es especialmente til para encriptar
ficheros, donde incrementa significativamente la seguridad por encima de ECB.
Ampliamente utilizado.
Seguridad en VPNs
- 123 -
las claves pblicas para encriptar datos que slo el propietario de la clave puede
desencriptar.
Clave secreta, Secret key. Clave cifrada que se utiliza en un algoritmo de clave
secreta (simtrico) para cifrar y descifrar un mensaje.
Cliente, Client. Se refiere a la entidad informtica dentro de una red que necesita
utilizar recursos de otras entidades en la misma red. El software cliente
generalmente se instala en ordenadores personales conectados y se usa para que
stos contacten con los servidores para recuperar informacin o realizar otras
actividades.
Ordenador que se conecta a Internet para recibir informacin de la Red.
CLIPPER. Circuito integrado con funciones de cifrado para voz y telfono que
utiliza el cifrado SKIPJACK y el EES. El gobierno de los Estados Unidos intent
hacerlo obligatorio sin xito y ya no se fabrica.
Codificar, Encode. Convertir texto en claro en texto cifrado. Tambin se dice
"encriptar" (encrypt) y "cifrar" (encypher)
Compresin, Compression. Proceso utilizado para eliminar la redundancia de un
mensaje plano. Mejora el funcionamiento de la red y optimiza el almacenamiento.
Confidencialidad, Confidentiality. Servicio de seguridad que asegura que una
informacin no sea descubierta ni est disponible para usuarios, entidades o
procesos no autorizados.
Configurar. Definir opciones y parmetros para el correcto funcionamiento de un
programa o para ajustar a nuestras necesidades el modo de operar del ordenador.
Seguridad en VPNs
- 126 -
Seguridad en VPNs
- 127 -
Seguridad en VPNs
- 132 -
automtico,
In
line
encryptor.
Producto
que
encripta
GigaByte (Gb). Mil Mbs. Ningun fichero ocupa tanto. Esta unidad se usa para
medir tamaos de Discos Duros. Un discoi duro moderno suele tener mas de 1 Gb.
Gusano, Worm. Programa informtico que se autoduplica y se autopropaga por
los hosts de una red.
H
Hash. Suma de control mejorada por la que se dificulta al atacante la construccin
de bloques de datos que generen una suma de control determinada o valor hash.
La funcin Hash es una funcin matemtica que selecciona, de manera
aparentemente aleatoria, unos valores dentro de un amplio rango.
Header. Encabezado de los paquetes de IP.
Henry the Forger. Atacante que genera mensajes de red completamente falsos
para engaar a sus destinatarios.
Hijacking. Ataque en el que se toma bajo control una conexin en directo entre
dos usuarios de forma que el atacante puede suplantar a uno de los usuarios.
Hipertexto. Documento que contiene texto, imgenes y enlaces a otros
hipertextos. Tambin puede contener otros tipos de elementos multimedia, como
pueden ser video, sonido, etc.
Hosts. En lneas generales, servidor conectado a la red. Sistema informtico parte
de una red y capaz de comunicarse independientemente con otros sistemas en la
red. Tambin llamado "sistema central" o "sistema anfitrin".
Host address. Literalmente, direccin del host. La direccin utilizada por usuarios
de la red para comunicarse con un host concreto.
Seguridad en VPNs
- 137 -
Seguridad en VPNs
- 139 -
Seguridad en VPNs
- 140 -
de
los
Estados
Unidos
que
establece
estndares
nacionales.
URL:
http://www.nist.gov/.
Nodo. Es cualquier estacin de trabajo, terminal, impresora o cualquier otro
dispositivo que pueda ser conectado a la red, ya sea de forma directa o indirecta
(estando a disposicin de la red al pertenecer a un dispositivo ya conectado a ella).
Nombre de dominio, Domain name. El nombre textual asignado a un host en
Internet. Este nombre corresponde a una direccin IP numrica y el encargado de
traducir este nmero en el nombre de dominio es el protocolo DNS (Domain Name
Service).
Nonce. Valor aleatorio enviado en intercambio de protocolos, a menudo utilizado
para detectar ataques de respuesta. Como el valor cambia con el tiempo, es fcil
comprobar si el intento de reproduccin un archivo est permitido, el tiempo actual
puede compararse con el nonce. Si no excede o no existe el nonce, el intento se
autoriza. Si sucede lo contrario, el intento no se autoriza.
NSA, National Security Agency. Organismo del gobierno de los Estados Unidos
responsable de interceptar comunicaciones extranjeras por razones de seguridad y
para desarrollar sistemas de cifrado para proteger las comunicaciones del
gobierno.
Nmero aleatorio, Random number. Un nmero cuyo valor no puede ser
predecido. Los verdaderos nmeros aleatorios son a menudo generados por
sistemas fsicos que realmente sean aleatorios.
Seguridad en VPNs
- 146 -
PKIX, Internet X.509 Public Key Infrastructure. El nombre del grupo de trabajo
de la IETF que crea los estndares para PKI en Internet.
Play-it-again Sam. Atacante cuyas acciones se basan en interceptar mensajes
legtimos y transmitirlos repetidamente para engaar al sistema o sus usuarios.
Plug-In. Es un componenete de un programa mayor. Por ejemplo, el navegador
Netscape admite que se le aadan plug-ins permitiendo asi incorporar ms
funciones, como por ejemplo, oir ficheros especiales de sonido o ver videos
directamente desde la ventana del navegador.
PNS, Servidor para red de PPTP. Sirve para operar sobre computadoras de
propsito general y plataformas de servidores. PNS dirige la parte del servidor del
protocolo PPTP mientras PPTP confa completamente TCP/IP y es independiente
de la interfaz de Hardware, el PNS puede usar cualquier combinacin de hardware
de interfaz IP, incluyendo dispositivos LAN y WAN.
Poltica. Reglas de gobierno a nivel empresarial / organizativo que afectan a los
recursos informticos, prcticas de seguridad y procedimientos operativos.
POP, Post Office Protocol. Protocolo de Oficina de Correos, protocolo usado por
ordenadores personales para manejar el correo sobre todo en recepcin. Protocolo
de Internet para recuperar e-mail desde un host de servidor, sin tener que entrar
en l ni utilizar programas de e-mail. Complementa a SMTP, que se encarga de
enviar los correos.
PPP, Point to Point Protocol. Protocolo Punto a Punto. Protocolo Internet para
establecer enlace entre dos puntos.
PPTP, Point to Point Tunneling Protocol. Protocolo de tunneling IP diseado
para encapsular IPX de protocolos LAN y Apple Talk dentro de una IP, para
Seguridad en VPNs
- 150 -
separadas de las porciones que manejan el texto cifrado. Las porciones que
manejan ambas se minimizan y despus se implementan cuidadosamente.
Red corporativa. Es una red que interconecta todos los equipos de una
Organizacin (empresa), independientemente del lugar en el que se encuentren.
Red interconectada. Son dos o ms redes que interactan entre s para formar un
sistema en red. Tambin se puede subdividir una red extensa en otras ms
pequeas para optimizar el rendimiento y la gestin. Las interconexiones pueden
establecerse entre distintas ciudades.
Red de rea Amplia (RAA WAN). Red de ordenadores de gran alcance.
Generalmente entre ciudades o pases. Por ejemplo, la red de ordenadores de un
Banco.
Red de rea Local (RAL LAN). red de ordenadores del tamao de una
habitacin o como mucho, de un edificio. Por ejemplo, una oficina o una sala de
ordenadores de una colegio.
Reescritura, Rewrite. Ataque que modifica el contenido de un mensaje encriptado
sin desencriptarlo antes.
RFC, Request For Comments. Notas y comentarios iniciados hacia 1969, acerca
de la entonces ARPANET (hoy de Internet), en los que se habla de aspectos de
informtica y comunicacin entre ordenadores, sobre todo de protocolos de red,
procedimientos, programas y definiciones, entre otros asuntos de inters. Se trata
del mecanismo primario utilizado por el IETF para publicar documentos, incluyendo
estndares.
RFC 822. La especificacin RFC (STD 11, RFC 822) para el formato estndar de
cabeceras de mensajes de e-mail en Internet. Los expertos hablan de estos
Seguridad en VPNs
- 154 -
mensajes como"mensajes 822". Este formato era conocido antes como "formato
733".
Repeticin, Replay. Ataque que intenta engaar al sistema interceptando y
retransmitiendo de nuevo un mensaje legtimo para suplantar al usuario que lo
envi por primera vez. Algunos protocolos incluyen mecanismos anti-repeticin
para detectar y rechazar dichos ataques. Tambin se encuentra como "ataque de
reproduccin" o "ataque de respuesta".
Repetidor. Dispositivo que permite que las redes se comuniquen de una manera
razonablemente eficiente. Un repetidor amplifica y limpia las seales digitales y las
enva hacia su destino.
Router - Encaminador -. Dispositivo destinado a conectar 2 o ms redes de rea
local y que se utiliza para encaminar la informacin que atraviesa dicho dispositivo.
Dispositivo que distribuye trfico entre redes transportando paquetes IP cuando el
host de destino de los paquetes est en la red receptora o cerca de ella. La
distribucin de los paquetes se hace basndose en informacin de nivel de red y
tablas de direccionamiento. Tambin se le llama "direccionador", "encaminador" o
"enrutador".
Routing host. Host que encamina paquetes IP entre redes, adems de proveer
otros servicios.
RSA, Rivest, Shamir, Adelman. Algoritmo de clave pblica utilizado en muchos
protocolos de seguridad, que puede encriptar y desencriptar datos y tambin aplica
o verifica una firma digital. Fue inventado en 1978 por Rivest, Shamir y Adleman,
que le dan nombre, fundadores tambin de la RSADSI, que controla la patente.
Seguridad en VPNs
- 155 -
RSADSI, RSA Data Security, Inc. La compaa formada por los creadores del
algoritmo RSA, principalmente responsable de la venta y licencia de cifrados de
claves pblicas con propsitos comerciales. URL: http://www.rsa.com/.
Ruteadores. Dispositivos responsables de la determinacin de que datos deben
permanecer dentro de la red local y que datos deben transferirse hacia otras
redes.. Dispositivo que administra el flujo de datos entre redes
S
Screened Host. Un host detrs de un router protegido. El grado en que el host
puede ser accesible depende de las reglas de proteccin del router.
Screened Subnet. Una subred detrs de un router protegido. El grado en que la
subred puede ser accesible depende de las reglas de proteccin del router.
Servidor de Bastin. Un firewall especialmente diseado y armado para proteger
contra ataques externos.
Seed random. Semilla para los generadores aleatorios. valor aleatorio utilizado
cuando se genera una secuencia aleatoria de valores con un PRNG.
Servidor, Server. Unidad en una relacin de red que proporciona servicios
compartidos a clientes y otros usuarios de la red. El software de servidor
generalmente se instala en los hosts con direcciones de red constantes y
conocidas, de forma que los clientes puedan conectar con ellos de forma fiable.
Shim. Componente de software insertado en un interfaz conocido, entre otros dos
componentes de software. Las versiones "Shim" de IPSEC son a menudo
implementadas en el interfaz del controlador de dispositivos, bajo la pila de
protocolo de red del TCP/IP del host.
Seguridad en VPNs
- 156 -
Seguridad en VPNs
- 157 -
Tunnel mode, modo de tunel. El modo ESP que encripta un paquete entero IP
incluyendo la cabecera IP.
U
Unicote. Codificacin para escritos de prcticamente todas las lenguas del mundo.
Unicode proporciona un nmero nico para cada carcter, sin importar la
plataforma, el programa o el idioma.
UNIX. Sistema Operativo de los grandes ordenadores, sistema operativo
multitarea, multiusuario. Gran parte de las caractersticas de otros sistemas ms
conocidos como MS-DOS estn basados en este sistema mus extendido para
grandes servidores. Internet no se puede comprender en su totalidad sin conocer
el Unix, ya que las comunicaciones son una parte fundamental en Unix.
URL, Uniform Resource Locator. Sistema unificado de especificacin de la
ubicacin de un recurso en Internet.
URI, Uniform Resource Identifier. Sistema unificado de identificacin de recursos
en la red. An no est implantado. Vase tambin URL.
URN, Uniform Resource Name. Sirve como identificadores persistentes, ms
basados en el contenido o caractersticas del recurso que en su ubicacin. Su
intencin es sustituir al sistema URI/URL.
V
VENONA. Proyecto del ejrcito de los Estados Unidos desarrollado para analizar
criptogrficamente texto cifrado de llaves de un solo uso procedente de la URSS a
partir de los aos 40.
Seguridad en VPNs
- 161 -
X
X.400 Protocolo para e-mail desarrollado por el CCITT e incorporado por la ISO
como parte de la familia de protocolos OSI. Define la forma de los mensajes y del
correo electrnico.
X.500 Protocolo OSI diseado para mantener directorios en lnea de usuarios y
recursos y para restaurar informacin en vez de actualizarla. Es necesario para
soportar X.400.
X.509 Especificacin de certificado de clave pblica como parte de X.500 y a
menudo utilizado en sistemas de clave pblica.
X9.42 Especificacin de mtodos de uso de los algoritmos Diffie-Hellman.
Seguridad en VPNs
- 163 -