REDES PRIVADAS VIRTUALES /

Índice de contenido
NDICE DE FIGURAS
PRÓLOGO
INTRODUCCIÓN A LAS VPNs
RED PRIVADA VIRTUAL
Requerimientos de una VPN
Tipos de VPNs
Ventajas de las VPNs
PROPIEDADES DE LOS SISTEMAS DE COMUNICACIÓN
Confidencialidad
Integridad
Autenticidad
No repudio
ATAQUES A LOS SISTEMAS DE COMUNICACIÓN
Interceptación
Interrupción
Modificación
Fabricación
ELEMENTOS DE UNA VPN
Red privada o subred local
Red insegura
Túnel VPN
Servidor
Router
Usuario remoto o road warrior
Oficina remota o wateway
ESCENARIOS DE UNA VPN.
Punto (road warrior) a punto (road warrior)
LAN (oficina remota) a LAN (oficina remota)
LAN (oficina remota) a road warrior
ADMINISTRACIÓN DE REDES TCP/IP
MODELO DE REFERENCIA TCP/IP
Nivel de acceso a red
Nivel de Internet
Nivel de transporte
Nivel de aplicación
ROUTERS
Multipuesto vs Monopuesto
NAT (Network Address Translation)
Publicación de servicios en Internet
Redirección de puertos en un router convencional (http)
Redirección de puertos en un router convencional (telnet)
SERVICIO DNS DINÁMICO
Registro de un dominio en DynDNS
Instalación y configuración del cliente ddclient
IPTABLES
Funcionamiento del filtrado en el núcleo
Opciones
Ejemplos de reglas de filtrado
Ejemplos de reglas NAT
MTR
Opciones
Formato de salida
Ejemplos de trazas realizadas
NETCAT
Opciones
Formato de salida
Ejemplos realizados
NETSTAT
Opciones
Formato de salida
Ejemplos realizados
TCPDUMP
Opciones
Expresiones
Formato de salida
Ejemplos de capturas de datos
CRIPTOGRAFÍA DE CLAVE PÚBLICA
HISTORIA DE LA CRIPTOGRAFÍA
Criptografía clásica
Criptografía medieval
Criptografía moderna
CRIPTOGRAFÍA DE CLAVE SIMÉTRICA
Cifrado con clave simétrica
ALGORITMOS DE CIFRADO DE CLAVE SIMÉTRICA
DES (Data Encryption Standard)
3DES (Triple Data Encryption Standard)
RC5 (Rivest Cipher)
IDEA (International Data Encryption Algorithm)
AES (Advanced Encryption Standard)
HERRAMIENTAS DE CIFRADO: MCRYPT
Opciones
Ejemplos realizados
CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA
Cifrado con clave asimétrica
Cifrado con clave de sesión
Autenticación de los participantes (desafío-respuesta)
Firma digital
ALGORITMOS DE CIFRADO DE CLAVE ASIMÉTRICA
Diffie-Hellman
RSA (Rivest, Shamir, Adleman)
ALGORITMOS DE AUTENTICACIÓN
MD5 (Message-Digest Algorithm 5)
SHA-1 (Secure Hash Algorithm 1)
HERRAMIENTAS DE AUTENTICACIÓN: MD5SUM, SHA1SUM
Opciones
Ejemplos realizados
INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)
Certificados digitales X.509 v3
La Autoridad de Certificación (CA)
La Autoridad de Registro (RA)
Autoridad de Validación (VA)
GENERACIÓN DE CERTIFICADOS MEDIANTE OPENSSL
Configuración de las variables globales de easy-rsa
Proceso de creación de certificados con easy-rsa
Certificados con subjectAltName adicional
Peticiones de certificados
Lista de revocación de certificados
HERRAMIENTAS ADMINISTRATIVAS DE OPENSSL
Certificados digitales (openssl x509)
Peticiones de certificación (openssl req)
Claves RSA (openssl rsa)
Archivo de Diffie-Hellman (openssl dh)
Listas de revocación de certificados (openssl crl)
Formato portable PKCS #12 (openssl pkcs12)
INSTALACIÓN DE CERTIFICADOS EN MICROSOFT WINDOWS
TRANSFERENCIA SEGURA DE ARCHIVOS (SSH)
FreeSSHd
WinSCP
OpenSSH Server
OpenSSH Client
IPSEC
CONCEPTOS TEÓRICOS DE IPSEC
PROTOCOLOS DE IPSEC
AH, cabecera de autenticación
ESP, carga de seguridad encapsulada
IKE, intercambio de claves en Internet
NAT-Traversal
MODOS DE FUNCIONAMIENTO DE IPSEC
Modo transporte
Modo túnel
MÉTODOS DE AUTENTICACIÓN DE IPSEC
Clave compartida
Firmas digitales RSA
Certificados X.509
Grupos de usuarios XAuth
NEGOCIACIÓN DE UN TÚNEL IPSEC
Fase 1, autenticar y garantizar la seguridad del canal
Fase 2, asegurar la confidencialidad de la información
INSTALACIÓN DE OPENSWAN EN GNU/LINUX
Instalación de Openswan (repositorios de Ubuntu)
Configuración de Openswan
Uso de las herramientas de Openswan
INSTALACIÓN DE TAUVPN EN MICROSOFT WINDOWS
Instalación de TauVPN
Configuración de TauVPN
Uso de las herramientas de TauVPN
PUNTO (OPENSWAN) A PUNTO (OPENSWAN)
Clave compartida
Firmas digitales RSA
X.509
LAN (OPENSWAN) A LAN (OPENSWAN)
Clave compartida
Firmas digitales RSA
X.509
LAN (OPENSWAN) A ROAD WARRIOR (OPENSWAN/TAU)
Clave compartida
X.509
X.509 (identificador local adicional)
XAuth
CONFIGURACIÓN AVANZADA DE LAN A ROAD WARRIOR
Clave compartida
X.509
CONFIGURACIÓN AVANZADA DE LAN A LAN
Clave compartida
X.509
INTERPRETACIÓN DE LOS MENSAJES DE ERROR
esp string error: not found
no subjectAltName matches
replaced by subject DN
ipsec_auto: fatal error in ... connection has no
ipsec_auto: fatal error in ... did not find conn section
ipsec_auto: fatal error in ... duplicated parameter
ipsec_auto: fatal error in ... unknown
ipsec_auto: fatal error in ... unknown parameter name

El arma más poderosa que posee el ser humano es la información, ya que le permite conocer, predecir, manipular, sobrevivir y, en definitiva, estar un paso por delante con respecto a quien no dispone de ella. Por esta razón, uno de sus principales objetivos no sólo es llegar a conocer algo, sino tener también la capacidad de salvaguardarlo de forma segura, es decir, que únicamente permanezca accesible para aquellas personas autorizadas.

Una de las posibles soluciones pasa por encriptar la información antes de ser transmitida, empleando para ello Redes Privadas Virtuales. El término de Red Privada Virtual (VPN), en inglés Virtual Private Network, hace referencia a un canal de comunicación privado e implementado sobre una infraestructura de acceso público.

Dos extremos van a acordar en base a un protocolo y a una serie de políticas de seguridad previamente establecidas, las características de un túnel sobre el cual enviar los datos de manera confidencial.

Esta información será cifrada antes de ser inyectada por el enlace, de ahí viene el concepto de privada. La condición de virtual se corresponde al hecho de que cuando la VPN esté establecida, se tendrá un contacto aparente pero no real entre los participantes de la misma.

El libro está estructurado en siete capítulos: se ha dedicado un capítulo entero a la introducción de los conceptos fundamentales de las VPNs; otro a presentar de forma genérica un breve resumen de la arquitectura TCP/IP, pilar fundamental de las redes de comunicación. A continuación tenemos un capítulo destinado completamente a los sistemas criptográficos modernos, ya que ésta será la base principal sobre la que se sustenten las VPNs. Y por último, se ha dedicado un capítulo por cada clase de VPN tratada: IPSec, PPTP, L2TP/IPSec y SSL.

El planteamiento de exposición para los capítulos correspondientes a las VPNs será común para todos los protocolos.

En primer lugar, se presentarán una serie de conceptos teóricos; posteriormente se estudiarán un grupo de herramientas que permitirán poner en práctica dichas ideas, y a partir de todo ello, se desarrollarán un conjunto de casos prácticos que facilitarán al lector el asentamiento de los conocimientos adquiridos.

A su vez, también se incluirá una sección dedicada íntegramente a la recopilación y tratamiento de los mensajes de error.

Ingeniería en Tecnologías de la Información y Comunicación