Definir una solucin de seguridad para las comunicaciones remotas.

En el caso de la empresa en estudio, para las comunicaciones remotas deberemos establecer una red VPN de acceso remoto sobre IPSec, ya que permiten a hosts individuales, como consumidores de Extranet, tener acceso a la red empresarial de manera segura a travs de Internet. Normalmente, el host del cliente remoto deber tener instalado el software cliente de VPN o utilizar un cliente basado en la Web. Cuando este host intenta enviar trfico, el software cliente de VPN encapsula y encripta ese trfico antes del envo a travs de Internet hacia el router servidor VPN en el borde de la red a la que se quiere acceder. La VPN crea una red privada de datos que usa la infraestructura pblica de telecomunicaciones, mientras mantiene la confidencialidad y la seguridad. Las VPN protegen los datos mediante encapsulacin y encriptacin, usan protocolos de tunneling criptogrficos para evitar a los detectores de paquetes y que ninguna persona que no est autorizada pueda descifrarlos. En vez de usar una conexin de Capa 2 exclusiva, como una lnea alquilada, la VPN usa conexiones virtuales que se enrutan a travs de Internet. La encapsulacin, denomina tunneling, transmite datos de manera transparente de red a red a travs de una infraestructura de red compartida. El tunneling encapsula un paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. Las tcnicas de encriptacin avanzada codifican los datos en un formato diferente mediante una clave secreta y los vuelve ilegibles para los receptores no autorizados. Para que la encriptacin funcione, tanto el emisor como el receptor deben conocer las reglas que se utilizan para transformar el mensaje original en la versin codificada. Las reglas de encriptacin de la VPN incluyen un algoritmo y una clave. Un algoritmo es una funcin matemtica que combina mensaje, texto, dgitos o los tres con una clave. El resultado es una cadena de cifrado ilegible. El descifrado es extremadamente difcil o imposible sin la clave correcta. Si el receptor tiene la clave correcta, la decodificacin vuelve los datos encriptados al formato original sin encriptar. Las bases de una VPN segura son la confidencialidad, la integridad de datos y la autenticacin: - Confidencialidad de datos: una cuestin de seguridad que suele despertar preocupacin es la proteccin de datos contra personas que puedan ver o escuchar informacin confidencial. La confidencialidad de datos tiene el objetivo de proteger los contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulacin y encriptacin. - Integridad de datos: los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como un checksum o un sello que garantiza que nadie haya ledo el contenido. - Autenticacin: la autenticacin garantiza que el mensaje provenga de un origen autntico y se dirija a un destino autntico. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y biomtricas para establecer la identidad de las partes ubicadas en el otro extremo de la red.

En nuestro caso la mejor opcin sera emplear VPN sobre IPsec, que es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin. IPsec consta de dos sub-protocolos:

Encapsulated Security Payload (ESP), que protege los datos del paquete IP de interferencias de terceros, cifrando el contenido utilizando algoritmos de criptografa simtrica (como Blowfish, 3DES). Authentication Header (AH), que protege la cabecera del paquete IP de interferencias de terceros as como contra la falsificacin (spoofing), calculando una suma de comprobacin criptogrfica y aplicando a los campos de cabecera IP una funcin hash segura. Detrs de todo esto va una cabecera adicional que contiene el hash para permitir la validacin de la informacin que contiene el paquete.

ESP y AH pueden utilizarse conjunta o separadamente, dependiendo del entorno. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN y se basa en algoritmos existentes para implementar la encriptacin, la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar que utiliza IPsec son: - DES: encripta y descifra los datos del paquete. - 3DES: proporciona una fuerza de encriptacin importante superior al DES de 56 bits. - AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte segn la longitud de la clave utilizada. - MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits. - SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits. - DH; permite que dos partes establezcan una clave secreta compartida mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro. IPsec puede utilizarse para cifrar directamente el trfico entre dos equipos (conocido como modo de transporte) o para construir tneles virtuales entre dos subredes, que pueden usarse para comunicacin segura entre dos redes corporativas (conocido como modo de tnel). Este ltimo es el que emplearemos para nuestra red privada virtual (Virtual Private Network, o VPN) Beneficios al usar las VPN: -Econmicos: las organizaciones pueden usar transporte de Internet de terceros y econmico para conectar usuarios remotos al sitio corporativo principal. Esto elimina los enlaces WAN exclusivos. Mediante el uso de banda ancha, las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de las conexiones remotas. -Seguridad: los protocolos de autenticacin y encriptacin avanzados protegen los datos contra el acceso no autorizado. -Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas de telecomunicaciones, y es ms fcil para las organizaciones agregar usuarios nuevos. Las organizaciones pueden agregar grandes cantidades de capacidad sin incorporar una infraestructura significativa.

La topologa de la empresa quedar as: