UNIVERSIDAD NACIONAL MAYOR de SAN MARCOS

MAESTRIA de TELECOMUNICACIONES con mencin en REDES y SERVICIOS de BANDA ANCHA

CURSO: COMUNICACIN de DATOS CATEDRATICO: Mg. Daniel Daz Ataucuri Alumno: Ing Julio Salcedo Mansilla TEMA: Estudio de Seguridad Informtica en los entes del Estado Peruano mediante el uso de VPNs de Acceso Remoto con seguridad adicional a travs de Criptografa en la Capa de Aplicacin

INDICE:
A.- Descripcin del tema a tratar.

B.- Objeto y razn de la implementacin.

C.- Descripcin de los materiales, dispositivos fsicos y software, indicando los modelos o versiones del mismo segn sea el caso. D.- Desarrollo terico y temtica asociada al proyecto. E.- Plan y desarrollo del proyecto, indicando con el debido orden la descripcin de lo realizado, tanto con capturas de pantalla, salidas de reportes y muestras de pruebas de verificacin. F.- Anlisis del objeto que se pretende demostrar o implementar, con imgenes o contenido digital de la prueba. G.- Conclusiones del proyecto.

Descripcin del Tema a Tratar

En los entes del Estado se maneja gran cantidad de informacin sensible o confidencial, la misma que, ya sea por razones de desconocimiento y/o negligencia se transmiten entre la Capital y las diferentes ciudades de la Repblica sin el mas mnimo cuidado en cuanto a su seguridad. Entonces el trabajo trata sobre la Implementacin de Softwares Criptogrficos para establecer seguridad en las comunicaciones que portan informacin sensible, informacin clasificada o con clasificacin de seguridad, en los diferentes organismos del Estado Peruano.

Objeto y Razn de la Implementacin

El objeto de la implementacin es en una primera instancia concientizar sensibilizar al usuario de que existe mucha informacin que se enva ya sea por las redes externas WAN, MAN, extranets, o incluso por las redes internas LANs que es sensible clasificada, es decir que de caer en manos de elementos extraos podra causar grandes daos al Estado Peruano, igualmente que cayendo en manos de elementos inescrupulosos o indeseables del interior del Estado, tambin puede causar gran dao. Asimismo, otro objeto de la implementacin del sistema, consiste en proteger las comunicaciones de la interceptacin de las mismas (tema conocido vulgar o mediticamente como chuponeo).

Descripcin de los Materiales, Dispositivos Fsicos y Software,

Una (1) Laptop, Toshiba Qosmio Core i7 Programa de Mquinas Virtuales VMWare Programa Emulador de Redes GNS3 Programa de Captura de Paquetes Wireshark Programa Criptogrfico PGP versin free Messenger de Windows XP

Desarrollo Terico y Temtica Asociada al Proyecto

VMWare.

GNS3.

Wireshark.

PGP (Pretty Good Privacy).

VPN de Acceso Remoto sobre IPSec Confidencialidad de datos Una cuestin de seguridad que suele despertar preocupacin es la proteccin de datos contra personas que puedan ver o escuchar informacin confidencial. La confidencialidad de datos tiene el objetivo de proteger los contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulacin y encriptacin. Integridad de datos Los receptores no tienen control sobre la ruta por la que han viajado los datos, y por lo tanto, siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como un checksum o un sello que garantiza que nadie haya ledo el contenido.

VPN de Acceso Remoto sobre IPSec [Continuacin] Autenticacin La autenticacin garantiza que el mensaje provenga de un origen autntico y se dirija a un destino autntico. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y biomtricas para establecer la identidad de las partes ubicadas en el otro extremo de la red. En nuestro caso la mejor opcin sera emplear VPN sobre IPsec, que es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin, IPsec consta de dos sub-protocolos:

Encapsulated Security Payload (ESP)

Que protege los datos del paquete IP de interferencias de terceros, cifrando el contenido utilizando algoritmos de criptografa simtrica (como Blowfish, 3DES).
Authentication Header (AH) Que protege la cabecera del paquete IP de interferencias de terceros as como contra la falsificacin (spoofing), calculando una suma de comprobacin criptogrfica y aplicando a los campos de cabecera IP una funcin hash segura. Detrs de todo esto va una cabecera adicional que contiene el hash para permitir la validacin de la informacin que contiene el paquete.

Herramientas y Protocolos Adicionales Usados en este Proyecto

Protocolo ICMP (ping). Servicio Messenger de Windows XP

Su sintaxis es la siguiente: C:\directorio\sub-directorio>net send [ip del host destinatario] [mensaje]

Si se desea pasar un mensaje broadcast: C:\directorio\sub-directorio>net send [*] [mensaje]

Plan y Desarrollo del Proyecto (Descripcin, Capturas, Pruebas)

PARTE PRIMERA (INSTALACIONES y CONFIGURACIONES) Instalacin del VMWare.

Instalacin del GNS3.

Instalacin del Wireshark Instalador del PGP (Programa Criptogrfico) Configuracin del VPN-Server en el Router LIMA Instalacin del VPN-Client en la Mquina Virtual AREQUIPA

Configuracin del VPN-Server en el Router LIMA

Antes de proceder a la configuracin del VPN Server, debemos ocuparnos de la configuracin inicial de las interfaces y tambin del enrutamiento esttico en los tres routers: Configuracin inicial de los Routers. En LIMA: Router>enable Router#configure terminal Router(config)#hostname LIMA LIMA(config)#interface fastethernet 0/1 LIMA(config-if)#ip address 10.10.10.1 255.255.255.252 LIMA(config-if)#no shutdown LIMA(config)#interface fastethernet 0/0 LIMA(config-if)#ip address 192.168.10.1 255.255.255.0 LIMA(config-if)#no shutdown LIMA(config-if)#CTRL Z LIMA#write

Configuracin del Enrutamiento Esttico en todos los Routers.

LIMA(CONFIG)# ip route 10.10.12.0 255.255.255.252 10.10.10.2 120 LIMA(CONFIG)# ip route 192.168.20.0 255.255.255.0 10.10.10.2 120 LIMA(CONFIG)# exit LIMA# write ISP_TELEFONICA(CONFIG)# ip route 192.168.10.0 255.255.255.0 10.10.10.1 120 ISP_TELEFONICA(CONFIG)# ip route 192.168.20.0 255.255.255.0 10.10.12.2 120 ISP_TELEFONICA(CONFIG)# exit ISP_TELEFONICA# write AREQUIPA(CONFIG)# ip route 10.10.10.0 255.255.255.252 10.10.12.1 120 AREQUIPA(CONFIG)# ip route 192.168.10.0 255.255.255.0 10.10.12.1 120 AREQUIPA(CONFIG)# exit AREQUIPA# write

Ahora recin podremos dar la configuracin al VPN Server, la cual se dar en el servidor LIMA.

LIMA(config)# aaa new-model LIMA(config)# aaa authentication login sdm_vpn_xauth_ml_1 local LIMA(config)# aaa authorization network sdm_vpn_group_ml_1 local LIMA(config)# aaa session-id common LIMA(config)# username sdm privilege 15 password 0 class LIMA(config)# crypto isakmp policy 1 LIMA(config-isakmp)# encr 3des LIMA(config-isakmp)# authentication pre-share LIMA(config-isakmp)# group 2 LIMA(config)# crypto isakmp client configuration group TRANSCARGO LIMA(config-isakmp-group)# key cisco123 LIMA(config-isakmp-group)# pool SDM_POOL_1 LIMA(config-isakmp-group)# netmask 255.255.255.0 LIMA(config)# crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hm LIMA(config)# crypto dynamic-map SDM_DYNMAP_1 1 LIMA(config-crypto-map)# set transform-set ESP-3DES-SHA LIMA(config-crypto-map)# reverse-route nd

LIMA(config)# crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 LIMA(config)# crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

LIMA(config)# crypto map SDM_CMAP_1 client configuration address respond

LIMA(config)# crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 LIMA(config)# interface FastEthernet0/0 LIMA(config-if)# ip address 192.168.10.1 255.255.255.0 LIMA(config-if)# speed auto LIMA(config)# interface FastEthernet0/1 LIMA(config-if)# ip address 10.10.10.1 255.255.255.252 LIMA(config-if)# crypto map SDM_CMAP_1 LIMA(config)# ip local pool SDM_POOL_1 192.168.10.20 192.168.10.25 LIMA(config)# ip forward-protocol

Instalamos el VPN-Client en la Mquina Virtual de Arequipa.

Creamos nuestra conexin dndole un nombre y el nombre del grupo y el password que introducimos en la configuracin del VPN Server

Grabamos y tenemos lista la ventana para autenticarnos e ingresar a la VPN recientemente creada con el icono Connect.

PARTE SEGUNDA (OPERACIN DEL SISTEMA)

Autenticacin en la VPN a travs del VPN-Client.

Acto seguido vamos a efectuar unas pruebas con la VPN desconectada para ver el texto en paquetes correspondientes a los mensajes cursados.
En la maquina virtual de Arequipa, donde est instalado el VPN-Client, le damos doble click al candadito cerrado que aparece en la barra de men inferior derecho, el cual est sealado por flecha roja.

Cifrado y Descifrado a travs del PGP.

Me voy a LIMA.

Me voy a AREQUIPA.

Anlisis del Objeto que se pretende Demostrar o Implementar

El objeto que se pretende demostrar con el proyecto es en si la seguridad de las comunicaciones con la implementacin de la VPN de Acceso Remoto, pero esta seguridad se divide en varios tems: La seguridad criptogrfica que brinda el tnel VPN de Acceso Remoto a travs del cifrado de todo del trfico que se enva por el tnel. Esto se mostrara a continuacin a travs de las capturas en Wireshark. La seguridad que se ofrece a la direccin IP de la estacin remota, ya que el host remoto al conectarse la VPN no emplea su direccin IP configurada localmente, sino ms bien una direccin IP suministrada por el VPN-Server, la misma que ser escogida dentro del rango o pool de direcciones IP que se configuraron en el router Servidor.

La seguridad que brinda el protocolo IPSec al incorporar dos cabeceras que se incluyen en los paquetes a enviar.
La vulnerabilidad que presenta el protocolo IP, al poderse capturar todo su trfico a travs de un capturador de paquetes.

Conclusiones del Proyecto

VENTAJAS: Bajo costo de una VPN Una forma de reducir costo en las VPN es eliminando la necesidad de largas lneas de coste elevado. Con las VPN, una organizacin slo necesita una conexin relativamente pequea al proveedor del servicio. Escalabilidad de las VPNs Las redes VPN evitan el problema que exista en el pasado al aumentar las redes de una determinada compaa, gracias a Internet. Internet simplemente deriva en accesos distribuidos geogrficamente. DESVENTAJAS: Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes pblicas y tomar precauciones en su desarrollo. Las redes VPN dependen de un rea externa a la organizacin, Internet en particular, y por lo tanto depende de factores externos al control de la organizacin. Las redes VPN necesitan diferentes protocolos que los de IP.