lunes, 21 de noviembre de 2016
Definiciones
Seguridad perimetral
Arquitectura y elementos de red que proveen de seguridad al
perímetro de una red interna frente a otra que generalmente es Internet.
– Cortafuegos.
– Sistemas de Detección y Prevención de Intrusos.
– Pasarelas antivirus y antispam.
– Honeypots
¿Qué es el Control de Acceso a la Red?
El Control de Acceso a la Red, también conocido por las
siglas NAC (Network Access Control ) / 802.1x
tiene como objetivo asegurar que todos los dispositivos que se conectan
a las redes corporativas de una organización cumplen con las políticas de
seguridad establecidas para evitar amenazas como la entrada de virus, salida de
información, etc.
El fenómeno BYOD (Bring Your Own Device) en el que los
empleados utilizan sus propios dispositivos (tabletas, portátiles, smartphones)
para acceder a los recursos corporativos está acelerando la adopción de las
tecnologías NAC para autenticar al dispositivo y al usuario.
Existen una serie de fases como:
Detección: es la detección del intento de conexión física o
inalámbrica a los recursos de red reconociendo si el mismo es un dispositivo
autorizado o no.
Cumplimiento: es la verificación de que el dispositivo
cumple con los requisitos de seguridad establecidos como por ejemplo
dispositivo autorizado, ubicación, usuario, antivirus actualizado.
Cuando un dispositivo no cumple los requerimientos se puede
rechazar la conexión o bien mandarlo a un portal cautivo “Cuarentena”.
Remediación: es la modificación lógica de dichos requisitos
en el dispositivo que intenta conectarse a la red corporativa.
Aceptación: es la entrada del dispositivo a los recursos de
red en función del perfil del usuario y los permisos correspondientes a su
perfil que residen en un servicio de directorio.
Persistencia: es la vigilancia durante toda la conexión para
evitar la vulneración de las políticas asignadas.
Perímetro de la Red
¿Qué es la seguridad perimetral en redes?
La seguridad perimetral
es un concepto emergente asume la integración de elementos y sistemas, tanto
electrónicos como mecánicos, para la protección de perímetros físicos,
detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones
especialmente sensibles. Entre estos sistemas cabe destacar los radares
tácticos, video sensores, vallas sensor izadas, cables sensores, barreras de
microondas e infrarrojos, concertinas, etc. Los sistemas de seguridad
perimetral pueden clasificarse según la geometría de su cobertura
(volumétricos, superficiales, lineales, etc.), según el principio físico de
actuación (cable de fibra óptica, cable de radiofrecuencia, cable de presión,
cable microfónico, etc.) o bien por el sistema de suportación (auto soportados,
soportados, enterrados, detección visual, etc.).
La seguridad perimetral
es uno de los métodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurización en el perímetro externo de la red y
a diferentes niveles. Esto nos permite definir niveles de confianza,
permitiendo el acceso de determinados usuarios internos o externos a
determinados servicios, y denegando cualquier tipo de acceso a otros.
La seguridad perimetral: -
No es un componente aislado: es una estrategia
para proteger los recursos de una organización conectada a la red
- Es la realización
práctica de la política de seguridad de una organización. Sin una política de
seguridad, la seguridad perimetral no sirve de nada
- Condiciona la credibilidad de una
organización en Internet
Ejemplos de cometidos de la seguridad perimetral:
- Rechazar conexiones a servicios
comprometidos - Permitir sólo ciertos tipos de tráfico (p. ej. correo
electrónico) o entre ciertos nodos.
- Proporcionar un único punto de interconexión
con el exterior
- Redirigir el tráfico entrante a los sistemas
adecuados dentro de la intranet - Ocultar sistemas o servicios vulnerables que
no son fáciles de proteger desde Internet
- Auditar el tráfico entre el exterior y el
interior
- Ocultar información:
nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas
de usuarios internos...
También cabe destacar
la clasificación dependiendo del medio de detección. En esta se clasificarían
en:
Sistemas Perimetrales Abiertos: Los
que dependen de las condiciones ambientales para detectar. Como ejemplo de
estos son la video vigilancia, las barreras infrarrojas, las barreras de
microondas. Esta característica provoca falsas alarmas o falta de sensibilidad
en condiciones ambientales adversas.
Sistemas
Perimetrales Cerrados: Los que no dependen del medio ambiente y controlan
exclusivamente el parámetro de control. Como ejemplo de estos son los antíguos
cables microfónicos, la fibra óptica y los piezo-sensores. Este tipo de
sensores suelen ser de un coste mas elevado.
Monitorización del perímetro: detección y prevención de
intrusos
Un perímetro de la red
es el límite entre la esfera privada y de gestión local y propiedad de una red
y el público en general y proveedores gestionados lado de la red y su
monitorización es imprescindible para llevar un buen control de cualquier
equipo que quiera entrar en la red de la empresa. Para monitorizar la red
perimetral y prevenir la intrusión hay varios métodos como pueden ser: Ø
Ø Examinar
los ficheros log Ø
Ø Utilizar
cortafuegos Ø
Ø Revisar
archivos binarios del sistema Ø
Ø Revisar
las cuentas de usuario y los intentos de entrar en el sistema.
Algunos de los
dispositivos que rompen el perímetro tradicional de seguridad son:
- Las aplicaciones que corren a
través del firewall
- Dispositivos móviles
- Dispositivos con IP
configurados en una red interna
- Dispositivos externos que son
permitidos temporalmente en una red interna
- Puntos de acceso inalámbrico
- Acceso directo de los
dispositivos desde internet.
Filtro de Paquetes
¿Qué es un Filtro de Paquetes?
Un filtro de paquetes es un software que examina la cabecera de los paquetes según van pasando, y decide la suerte del paquete completo. Podría decidir descartarlo (DROP) (esto es, como si nunca lo hubiera recibido), aceptarlo (ACCEPT) (dejar que pase), o cosas más complicadas.
En Linux, el filtrado de paquetes está programado en el núcleo (como módulo o como componente estático), y hay algunas cosas curiosas que podemos hacer con los paquetes, pero aún sigue ahí el principio general de mirar las cabeceras para decidir la suerte del paquete.
Cualquier router IP utiliza reglas de filtrado para reducir la carga de la red; por ejemplo, se descartan paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores erróneos, o simplemente tramas de broadcast. Además de estas aplicaciones, el filtrado de paquetes se puede utilizar para implementar diferentes políticas de seguridad en una red; el objetivo principal de todas ellas suele ser evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesos autorizados. Su funcionamiento es habitualmente muy simple: se analiza la cabecera de cada paquete, y en función de una serie de reglas establecidas de antemano la trama es bloqueada o se le permite seguir su camino; estas reglas suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP...), las direcciones fuente y destino, y el puerto destino, lo cual ya nos dice que el firewall ha de ser capaz de trabajar en los niveles de red (para discriminar en función de las direcciones origen y destino) y de transporte (para hacerlo en función de los puertos usados).
Control:
cuando está usando una máquina Linux para conectar su red interna a otra (por ejemplo, Internet), tiene la oportunidad de permitir ciertos tipos de tráfico, y restringir otros. Por ejemplo, la cabecera de un paquete contiene la dirección de destino del paquete, de manera que puede evitar que salgan los que van a cierto sitio fuera de la red. Otro ejemplo: yo uso le Netscape para acceder a los archivos de Dilbert. Hay anuncios de doubleclick.net en la página, y Netscape malgasta mi tiempo bajándoselos alegremente. Diciéndole a mi filtro de paquetes que no permita que ningún paquete vaya de o hacia las direcciones de doubleclick.net resuelve el problema (hay mejores maneras de hacer esto, sin embargo: vea el Junkbuster).
Seguridad:
cuando su máquina Linux es lo único entre el caos de Internet y su bonita y ordenada red, es bueno saber que puede restringir lo que llega aporreando su puerta. Por ejemplo, podríamos permitir todo lo que salga de la red, pero puede que esté preocupado por el bien conocido «Ping de la Muerte» que puede llegar de gente maliciosa del exterior. En otro ejemplo, podría ser que no quisiera que la gente de fuera pueda hacer telnet a su máquina Linux, incluso aunque todas sus cuentas tengan clave. Quizá quiera (como la mayoría) ser un observador en Internet, y no un servidor (). Simplemente, no quiere dejar que nadie se conecte, haciendo que el filtro de paquetes rechace los paquetes entrantes que se usan para establecer conexiones.
Vigilancia:
algunas veces, una máquina mal configurada de la red local puede decidir vomitar paquetes al mundo exterior. Es bueno decirle al filtro de paquetes que le avise si ocurre algo anormal; quizá usted pueda hacer algo al respecto, o puede que sencillamente sea curioso por naturaleza.
Anatomía de un Paquete
Header
- Contiene las direcciones de origen y destino IP
- No es visible a los usuarios finales
Datos
- Contiene la información que se tiene la intención de enviar (por ejemplo, el cuerpo de un mensaje de e-mail)
- Visible al destinatario.
Firewall
FIREWALL
( También llamado “corta-fuego”)
es un dispositivo de seguridad de la red que monitorea el tráfico de red
-entrante y saliente- y decide si permite o bloquea tráfico específico en
función de un conjunto definido de reglas de seguridad.
Los firewalls han
constituido una primera línea de defensa en seguridad de la red durante más de
25 años. Establecen una barrera entre las redes internas protegidas y
controladas en las que se puede confiar y redes externas que no son de
confianza, como Internet.
Un firewall puede ser
hardware, software o ambos.
TIPOS DE FIREWALL
Firewall proxy
Un firewall proxy, uno
de los primeros tipos de dispositivos de firewall, funciona como Gateway de una
red a otra para una aplicación específica. Los servidores proxy pueden brindar
funcionalidad adicional, como seguridad y almacenamiento de contenido en caché,
evitando las conexiones directas desde el exterior de la red. Sin embargo, esto
también puede tener un impacto en la capacidad de procesamiento y las
aplicaciones que pueden admitir.
Firewall de inspección activa
Un firewall de
inspección activa, ahora considerado un firewall “tradicional”, permite o
bloquea el tráfico en función del estado, el puerto y el protocolo. Este
firewall monitorea toda la actividad, desde la apertura de una conexión hasta
su cierre. Las decisiones de filtrado se toman de acuerdo con las reglas
definidas por el administrador y con el contexto, lo que refiere a usar información
de conexiones anteriores y paquetes que pertenecen a la misma conexión.
Firewall de administración unificada de amenazas (UTM)
Un dispositivo UTM
suele combinar en forma flexible las funciones de un firewall de inspección
activa con prevención de intrusiones y antivirus. Además, puede incluir
servicios adicionales y, a menudo, administración de la nube. Los UTM se
centran en la simplicidad y la facilidad de uso.
Firewall de próxima generación (NGFW)
Los firewalls han
evolucionado más allá de la inspección activa y el filtrado simple de paquetes.
La mayoría de las empresas están implementando firewalls de próxima generación
para bloquear las amenazas modernas, como los ataques de la capa de aplicación
y el malware avanzado.
Según la definición de Gartner, Inc., un
firewall de próxima generación debe incluir lo siguiente:
Ø Funcionalidades
de firewall estándares, como la inspección con estado
Ø Prevención
integrada de intrusiones
Ø Reconocimiento
y control de aplicaciones para ver y bloquear las aplicaciones peligrosas
Ø Rutas
de actualización para incluir fuentes de información futuras
Ø Técnicas
para abordar las amenazas de seguridad en evolución
Si bien estas
funcionalidades se están convirtiendo cada vez más en el estándar para la mayoría
de las empresas, los NGFW pueden hacer más.
NGFW centrado en amenazas
Estos firewalls
incluyen todas las funcionalidades de un NGFW tradicional y también brindan
funciones de detección y corrección de amenazas avanzadas. Con un NGFW centrado
en amenazas, puede hacer lo siguiente:
Ø Estar
al tanto de cuáles son los activos que corren mayor riesgo con reconocimiento
del contexto completo
Ø Reaccionar
rápidamente ante los ataques con automatización de seguridad inteligente que
establece políticas y fortalece las defensas en forma dinámica
Ø Detectar
mejor la actividad sospechosa o evasiva con correlación de eventos de
terminales y la red
Ø Reducir
significativamente el tiempo necesario desde la detección hasta la eliminación
de la amenaza con seguridad retrospectiva que monitorea continuamente la
presencia de actividad y comportamiento sospechosos, incluso después de la
inspección inicial
Ø Facilitar
la administración y reducir la complejidad con políticas unificadas que brindan
protección en toda la secuencia del ataque
FUNCIONAMIENTO DE UN SISTEMA FIREWALL
Un sistema firewall
contiene un conjunto de reglas predefinidas que permiten:
* Autorizar una
conexión (allow);
* Bloquear una conexión
(deny);
* Redireccionar un
pedido de conexión sin avisar al emisor (drop).
El conjunto de estas
reglas permite instalar un método de filtración dependiente de la política de
seguridad adoptada por la organización. Se distinguen habitualmente dos tipos
de políticas de seguridad que permiten:
- Permitir únicamente
las comunicaciones autorizadas explícitamente: "Todo lo que no es
autorizado explícitamente está prohibido".
- Impedir cualquier
comunicación que fue explícitamente prohibida.
El primer método es el
más seguro, pero requiere de una definición precisa de las necesidades de
comunicación de toda la red.
VENTAJAS.
• Administran los
accesos provenientes de Internet hacia la red privada. Sin un firewall , cada
uno de los servidores propios del sistema se exponen al ataque de otros
servidores en el Internet. Por ello la seguridad en la red privada depende de
la "dureza" con que el firewall cuente.
• Administran los
accesos provenientes de la red privada hacia el Internet.
• Permite al
administrador de la red mantener fuera de la red privada a los usuarios
no-autorizados (tal, como, hackers , crakers y espías), prohibiendo
potencialmente la entrada o salida de datos.
• El firewall crea una
bitácora en donde se registra el tráfico mas significativo que pasa a través
el.
• Concentra la
seguridad Centraliza los accesos
DESVENTAJAS.
• Un firewall no puede
protegerse contra aquellos ataques que se efectúen fuera de su punto de
operación. Por ejemplo, si existe una conexión PPP ( POINT-TO-POINT ) al
Internet.
• El firewall no puede
prohibir que se copien datos corporativos en disquetes o memorias portátiles y
que estas se substraigan del edificio.
• El firewall de
Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus
que se puedan presentar en los archivos que pasan a través de el, pues el
firewall no es un antivirus.
• El firewall no puede
ofrecer protección alguna una vez que el agresor lo traspasa.
NAT
¿Qué es NAT?
La
traducción de direcciones de red o NAT (del inglés Network Address Translation)
es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos
redes que asignan mutuamente direcciones incompatibles. Consiste en convertir,
en tiempo real, las direcciones utilizadas en los paquetes transportados.
También es necesario editar los paquetes para permitir la operación de
protocolos que incluyen información de direcciones dentro de la conversación
del protocolo.
La
idea es sencilla, hacer que redes de ordenadores utilicen un rango de
direcciones especiales (IPs privadas) y se conecten a Internet usando una única
dirección IP (IP pública). Gracias a este “parche”, las grandes empresas sólo
utilizarían una dirección IP y no tantas como máquinas hubiese en dicha
empresa. También se utiliza para conectar redes domésticas a Internet.
Tipos de NAT
Los dispositivos NAT no tienen un comportamiento uniforme y se ha
tratado de clasificar su uso en diferentes clases. Existen cuatro tipos de NAT:
- NAT
de cono completo (Full-Cone NAT). En este caso de comunicación
completa, NAT mapeará la dirección IP y puerto interno a una dirección y
puerto público diferentes. Una vez establecido, cualquier host externo
puede comunicarse con el host de la red privada enviando los paquetes a una
dirección IP y puerto externo que haya sido mapeado. Esta implementación
NAT es la menos segura, puesto que una atacante puede adivinar qué puerto
está abierto.
- NAT
de cono restringido (Restricted Cone NAT). En este caso de la
conexión restringida, la IP y puerto externos de NAT son abiertos cuando
el host de la red privada quiere comunicarse con una dirección IP
específica fuera de su red. El NAT bloqueará todo tráfico que no venga de
esa dirección IP específica.
- NAT
de cono restringido de puertos (Port-Restricted Cone NAT).
En una conexión restringida por puerto NAT bloqueará todo el tráfico a
menos que el host de la red privada haya enviado previamente tráfico a una
IP y puerto especifico, entonces solo en ese caso ésa IP:puerto tendrán
acceso a la red privada.
- NAT
Simétrico (Symmetric NAT). En este caso la traducción
de dirección IP privada a dirección IP pública depende de la dirección IP
de destino donde se quiere enviar el tráfico.
¿Cómo
funciona?
En la NAT
existen varios tipos de funcionamiento:
Estática
Una dirección IP privada se traduce siempre en una misma dirección IP pública. Este modo de funcionamiento permitiría a un host dentro de la red ser visible desde Internet.
Una dirección IP privada se traduce siempre en una misma dirección IP pública. Este modo de funcionamiento permitiría a un host dentro de la red ser visible desde Internet.
Dinámica
El router tiene asignadas varias direcciones IP públicas, de modo que cada dirección IP privada se mapea usando una de las direcciones IP públicas que el router tiene asignadas, de modo que a cada dirección IP privada le corresponde al menos una dirección IP pública.
El router tiene asignadas varias direcciones IP públicas, de modo que cada dirección IP privada se mapea usando una de las direcciones IP públicas que el router tiene asignadas, de modo que a cada dirección IP privada le corresponde al menos una dirección IP pública.
Cada vez que un host requiera una conexión a
Internet, el router le asignará una dirección IP pública que no esté siendo
utilizada. En esta ocasión se aumenta
la seguridad ya que dificulta que un host externo ingrese a la red ya
que las direcciones IP públicas van cambiando.
Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el más común de todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear múltiples direcciones IP privadas a través de una dirección IP pública, con lo que evitamos contratar más de una dirección IP pública. Además del ahorro económico, también se ahorran direcciones IPv4, ya que aunque la subred tenga muchas máquinas, todas salen a Internet a través de una misma dirección IP pública.
La NAT con sobrecarga o PAT (Port Address Translation) es el más común de todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear múltiples direcciones IP privadas a través de una dirección IP pública, con lo que evitamos contratar más de una dirección IP pública. Además del ahorro económico, también se ahorran direcciones IPv4, ya que aunque la subred tenga muchas máquinas, todas salen a Internet a través de una misma dirección IP pública.
Para poder hacer esto el router hace uso de los
puertos. En los protocolos TCP y UDP se disponen de 65.536 puertos para
establecer conexiones. De modo que cuando una máquina quiere establecer una
conexión, el router guarda su IP
privada y el puerto de origen y los asocia a la IP pública y un puerto
al azar. Cuando llega información a este puerto elegido al azar, el router
comprueba la tabla y lo reenvía a la IP
privada y puerto que correspondan.
Solapamiento
Cuando una dirección IP privada de una red es una dirección IP pública en uso, el router se encarga de reemplazar dicha dirección IP por otra para evitar el conflicto de direcciones.
Cuando una dirección IP privada de una red es una dirección IP pública en uso, el router se encarga de reemplazar dicha dirección IP por otra para evitar el conflicto de direcciones.
Ventajas de la NAT
El uso
de la NAT tiene varias ventajas:
·
La primera y más obvia, el gran ahorro de
direcciones IPv4 que supone, recordemos que podemos conectar múltiples máquinas
de una red a Internet usando una única dirección IP pública.
·
Seguridad. Las máquinas conectadas a la red
mediante NAT no son visibles desde el exterior, por lo que un atacante externo
no podría averiguar si una máquina está conectada o no a la red.
·
Mantenimiento de la red. Sólo sería necesario
modificar la tabla de reenvío de un router para desviar todo el tráfico hacia
otra máquina mientras se llevan a cabo tareas de mantenimiento.
Desventajas de la NAT
Recordemos
que la NAT es solo un parche, no una solución al verdadero problema, por tanto
también tiene una serie de desventajas asociadas a su uso:
·
Checksums TCP y UDP: El router tiene que volver
a calcular el checksum de cada paquete que modifica. Por lo que se necesita
mayor potencia de computación.
·
No todas las aplicaciones y protocolos son
compatibles con NAT. Hay protocolos que introducen el puerto de origen dentro
de la zona de datos de un paquete, por lo que el router no lo modifica y la
aplicación no funciona correctamente.
Redes Privadas Virtuales
¿Qué son las Redes Privadas Virtuales?
Es una
red privada construida dentro de una infraestructura de red pública, que se
utilizan para conectar de forma segura a un recurso de la red privada a los
usuarios remotos a través de accesos a Internet proporcionados por ISP, en
lugar de líneas dedicadas. Por lo tanto, el sistema VPN brinda una conexión
segura a un bajo costo, ya que todo lo que se necesita es el hardware de ambos
lados de las redes conectadas. Sin embargo, no garantiza una calidad de
servicio comparable con una línea dedicada, ya que la red física es pública y
por lo tanto no está garantizada.
Es una tecnología de red de computadoras que
permite una extensión segura de la red de área local (LAN) sobre una red
pública o no controlada como Internet. Permite que la computadora en la red
envíe y reciba datos sobre redes compartidas o públicas como si fuera una red
privada con toda la funcionalidad, seguridad y políticas de gestión de una red
privada.1 Esto se realiza estableciendo una conexión virtual punto a punto
mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos
métodos.
Ejemplos comunes son la posibilidad de
conectar dos o más sucursales de una empresa utilizando como vínculo Internet,
permitir a los miembros del equipo de soporte técnico la conexión desde su casa
al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico
desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la
infraestructura de Internet.
IPsec (abreviatura
de Internet Protocol security) es un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando
y/o cifrando cada paquete IP en un flujo de datos.
IPsec implementa un conjunto de protocolos
criptográficos para
Asegurar el flujo de paquetes
Garantizar la autenticación mutua
Establecer parámetros criptográficos
Características de VPN sobre tecnología IPSec
Red privada virtual de cobertura nacional
Integrable con tu cortafuegos
Garantiza todo el ancho de banda disponible y
se puede extender a ubicaciones en cualquier lugar del mundo
Te permitirá ofrecer servicios de acceso
privado a usuarios remotos o teletrabajadores, incluso desde redes móviles
Confidencialidad en la transmisión de datos
Podrás establecer reglas de control de acceso
hacia internet
Dispondrás de estadísticas de uso para cada
una de tus sedes
Beneficios
Compatible con las tecnologías de transmisión
de datos
Si tienes delegaciones en otros países, podrás
integrarlas en la Red Privada Virtual VPN
Calidad de conexión profesional garantizada
La solución de conexión VPN es de fácil
crecimiento.
Una red privada virtual es un proyecto
complejo que no puede ser presupuestado sin conocer los usos o las
posibilidades de crecimiento que la red pueda tener. Por ello, contacta con
nosotros y cuéntanos tu proyecto. Uno de nuestros ingenieros se pondrá en
contacto contigo para ayudarte en el diseño y ofrecerte el diseño más ajustado
a tu necesidad concreta.
IPsec, a pesar de ser el estándar en VPNs IP,
es bastante más complejo en su implementación. El motor de IPsec está
incorporado al núcleo Linux; el paquete ipsec-tools provee las partes
necesarias en espacio de usuario, las herramientas de control y configuración.
En términos concretos, el archivo /etc/ipsec-tools.conf de cada equipo contiene
los parámetros de los túneles IPsec (en términos de IPsec: asociaciones de
seguridad, «Security Associations») en los que el equipo está involucrado; el
script /etc/init.d/setkey provee una forma de iniciar y detener el túnel (cada
túnel es un enlace seguro a otra máquina conectada a la red privada virtual).
Puede construir este archivo a mano desde la documentación que provee la página
de manual setkey(8). Sin embargo, escribir los parámetros para todos los
equipos en un conjunto de máquinas no trivial se convierte fácilmente en una
tarea ardua ya que la cantidad de túneles crece rápidamente. Instalar un
demonio IKE (intercambio de llaves IPsec: «IPsec Key Exchange») como racoon,
strongswan hace el proceso mucho más simple centralizando la administración y
más seguro rotando las claves periódicamente.
A pesar de su estado como referencia, la
complejidad de configuración de IPsec restringe su uso en la práctica.
Generalmente se preferirán soluciones basadas en Open VPN cuando los túneles
necesarios no sean muchos ni demasiado dinámicos.
Fases de SSL
Una comunicación a través de SSL implica tres
fases:
•Establecimiento de la conexión y negociación
de los algoritmos criptográficos que van a usarse en la comunicación, a partir
del conjunto de algoritmos soportados por cada uno de los interlocutores.
•Intercambio de claves, empleando algún
mecanismo de clave pública y autentificación de los interlocutores a partir de
sus certificados digitales.
•Cifrado simétrico del tráfico.
SSH
Túneles SSH –Port forwarding
Ahorrarse el software necesario para una
complicada VPN
•Proteger mi clave plana de FTP Telnet, POP3,
IMAP, auth SMTP, NNTP......
•Atravesar un firewall donde solo el servicio
de SSH está permitido
•Acceder a servicios TCP internos de una LAN
con direcciones privadas Los túneles SSH no permiten forwardear paquetes UDP o
protocolos no IP
Ahorrarse el software necesario para una
complicada VPN
•Proteger mi clave plana de FTP Telnet, POP3,
IMAP, auth SMTP, NNTP......
•Atravesar un firewall donde solo el servicio
de SSH está permitido
•Acceder a servicios TCP internos de una LAN
con direcciones privadas Los túneles SSH no permiten forwardear paquetes UDP o
protocolos no IP
Túneles
SSH
Llamada por muchos “la VPN de los pobres“, es
así porque el principio es el mismo, pero el número de posibilidades es más
limitado, aunque la configuración es más sencilla. Para explicarlo de una
manera simple diremos que la red privada se limita a dos máquinas.
Este sistema es muy versátil, de modo que
podemos realizar conexiones seguras con otros equipos. A menudo se utiliza para
administrar sistemas de forma remota, para transferir archivos o incluso para
navegar desviando el tráfico a través de otro equipo. Recordemos que el tráfico
entre las dos máquinas siempre irá cifrado, por lo que no podrá ser
interceptado.
El mayor inconveniente es que, al contrario
que en las VPN, cada aplicación debe ser configurada individualmente para que
utilice el túnel, de modo que no podemos garantizar que todo el tráfico circule
únicamente a través del mismo.
Suscribirse a:
Entradas (Atom)