Asegurando la

conectividad de sitio a
sitio

RAUL BAREÑO GUTIERREZ

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
 VPNs

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
 Introducción a VPNs
▪ VPN se utiliza para crear una conexión de red privada de extremo a
extremo en redes de terceros, tales como el Internet o extranets.

▪ Para implementar VPN, es necesario una puerta de enlace: podría

ser un router, un firewall o un dispositivo Cisco de seguridad
adaptable (ASA).

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
 Beneficios de las VPNs
• Ahorro de costes
• permiten a las organizaciones utilizar Internet y transportar
trafico mediante terceros para conectar oficinas remotas y
usuarios remotos al sitio principal de las Organizaciones

• Escalabilidad
• permiten utilizar la infraestructura de Internet dentro del ISP y
sus dispositivos, y hace fácil añadir nuevos usuarios.

• Compatibilidad con tecnología de banda ancha

• permite a los trabajadores móviles y tele trabajadores tomar
ventaja de la conectividad de alta velocidad, como DSL y cable,
para acceder a las redes de su organización, brindando
eficiencia y flexibilidad de los trabajadores. Es una solución
rentable para conectar oficinas remotas.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
 Beneficios de las VPNs
• Seguridad

• puede incluir mecanismos de seguridad que proporcionan el

mayor nivel de seguridad mediante el uso de encriptación
avanzada y protocolos de autenticación que protegen los datos
contra acceso no autorizado.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
 Types of VPNs
Site-to-Site VPNs
▪ Internal hosts have no knowledge that a VPN exists.

▪ Conectan redes enteras entre sí, en el pasado, estaba obligado a

conectar una conexión mediante Frame Relay o línea arrendada, hoy
la mayoría de las corporaciones ahora tienen acceso a Internet, estas
conexiones pueden reemplazarse con VPNs sitio a sitio.

▪ Hosts internos no tienen conocimiento que existe una VPN.

▪ Cuando los dispositivos en ambos lados de la conexión VPN son

conscientes de la configuración VPN es avanzada y segura

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
 Types of VPNs
Site-to-Site VPNs (cont.)
▪ Los host de los extremos envían y reciban tráfico de TCP/IP normal
a través de un Gateway VPN.
▪ El Gateway VPN es responsable para encapsular y encriptar tráfico
saliente para todo el tráfico de la VPN desde un sitio en particular
▪ entonces envía a través de un túnel VPN de Internet a un Gateway
VPN de par en el sitio de destino.
▪ Tras la recepción, Gateway de VPN del extremo descifra las
cabeceras, el contenido y retransmite el paquete hacia el host de
destino dentro de su red privada.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
 Types of VPNs
Remote Access VPNs
▪ Soporta las necesidades de tráfico de extranet, tele trabajadores y
usuarios móviles, y demás necesidades de la compañía

▪ Maneja una arquitectura cliente/servidor, donde el cliente VPN

(remoto host) adquiere un acceso seguro a la red de la empresa a
través de un dispositivo de servidor VPN a la red de borde.

▪ Utilizado para conectar hosts individuales que deben tener acceso a

su red segura sobre Internet.
▪ Puede necesitar un software cliente VPN para ser instalada en el
móvil dispositivo del usuario final .
▪ Cuando el host intenta enviar todo el tráfico, el software de cliente
VPN encapsula y cifra este tráfico y envía por Internet a la puerta de
enlace de la VPN en el borde de la red de destino.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
 Types of VPNs
Remote Access VPNs (cont.)

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
 Configuring GRE Tunnels
GRE Tunnel Configuration

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
 Configuring GRE Tunnels
GRE Tunnel Configuration

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
 Introducción IPsec

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
 Internet Protocol Security
IPsec VPNs
▪ Información de una
red privada segura
se transporta sobre
una red pública.
▪ Forma una red virtual
en lugar de utilizar
una conexión
dedicada de capa 2.
▪ Para seguir siendo
privado, el tráfico se
cifrará para
mantener
confidenciales los
datos.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
 Funciones IPsec
▪ Define cómo configurar una VPN en forma segura utilizando IP.
▪ Marco de estándares abiertos detalla las reglas para comunicaciones
seguras.
▪ No esta limitado a cualquier cifrado, autenticación, algoritmos de
seguridad o tecnologías clave.
▪ Se basa en algoritmos existentes para implementar comunicaciones
seguras.
▪ Trabaja en la capa de red, protegiendo y autenticando los paquetes IP
entre los dispositivos participantes de IPsec.
▪ Asegura un camino entre las puertas de entrada pares, o pares de
hosts, o entre la puerta de entrada y el host.
▪ Todas las implementaciones de IPsec tienen un encabezado de texto
de nivel 3, por lo que no existen problemas con el enrutamiento.
▪ Funciona sobre todos los protocolos de capa 2, como Ethernet, ATM o
Frame Relay.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
 Características de IPsec
IPsec es un marco de estándares abiertos que es
independiente del algoritmo.

IPsec provee confidencialidad, integridad de datos y

autenticación de origen.

IPsec actúa en la capa de red, protegiendo y autenticando

los paquetes IP.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
 Servicios de seguridad de IPsec
Confidencialidad (encripta) – encripta los datos antes de
transmitir a través de la red

Integridad de los datos, verifica que los datos no ha sido

cambiados mientras están en tránsito, si se detecta una
alteración, se deja perder el paquete

Autenticación: verificar la identidad de la fuente de los datos

que se envían, asegura que la conexión se realiza con el socio
de comunicación deseado, utiliza Internet Key Exchange (IKE)
para autenticar usuarios y dispositivos que pueden llevar a cabo
comunicación.

Protección anti-Replay – detectar y rechazar paquetes

reproducidos y ayuda a prevenir la falsificación

CIA: confidencialidad, integridad y autenticación

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
 Confidencialidad con Encriptamiento
▪ Para que el cifrado trabaje, tanto el emisor como el receptor deben saber
las reglas usadas para transformar el mensaje original en su forma
codificada.
▪ Las reglas se basan en algoritmos y claves compartidas.
▪ El descifrado es extremadamente difícil (o imposible) sin la clave
correcta.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
 Algoritmos de encriptamiento
▪ A medida que aumenta la longitud de clave, se hace
más difícil de romper el cifrado. Sin embargo, una clave
más larga requiere más recursos del procesador al
cifrar y descifrar datos.
▪ Dos tipos principales de cifrado son:
▪ Cifrado simétrico
▪ Cifrado asimétrico

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
 Cifrado simétrico
▪ Cifrado y descifrado utilizan la misma clave.
▪ Cada uno de los dos dispositivos de red debe conocer la clave para
descifrar la información.
▪ Cada dispositivo encripta la información antes de enviarla a través de
la red el otro dispositivo.
▪ Normalmente se utiliza para cifrar el contenido del mensaje.
▪ Ejemplos: DES y 3DES (ya no se considera seguro) y AES (256 bits
recomendada para el cifrado IPsec).

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
 Cifrado asimétrico
▪ Utiliza diferentes claves para el cifrado y descifrado.
▪ Sabiendo una de las claves no permite al hacker deducir la segunda
llave y decodificar la información.
▪ Una de las claves cifra el mensaje, mientras que una segunda clave
descifra el mensaje.
▪ Cifrado de clave pública es una variante de la encriptación asimétrica
que utiliza una combinación de una clave privada y una clave pública.
▪ Normalmente se utiliza el certificado digital y la gestión de claves
▪ Ejemplo: RSA

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
 Intercambio de Clave con Diffie-Hellman
▪ Diffie-Hellman (DH) no es un mecanismo de cifrado y no se utiliza
normalmente para cifrar los datos.
▪ Es un método para intercambiar de forma segura las claves que
cifran los datos.
▪ Los algoritmos DH permiten a las dos partes establecer una clave
secreta compartida utilizando los algoritmos de cifrado y hash es
parte del estandar IPsec.

▪ Los algoritmos de cifrado, tales como DES, 3DES, AES, así como
los algoritmos hash MD5 y SHA-1, requieren una clave simétrica
secreta compartida para realizar el cifrado y descifrado.
▪ DH especifica un método de intercambio de clave pública que
proporciona una forma entre los dos pares para establecer una
clave secreta compartida que sólo ellos conocen, aunque se están
comunicando por un canal inseguro.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
 Intercambio de Clave con Diffie-Hellman

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
 Integridad con los algoritmos hash
▪ El remitente original genera un hash en el mensaje y lo envía con
el mensaje mismo.
▪ El receptor analiza el mensaje y el hash, produce otro hash del
mensaje recibido, y se comparan los dos hashes.
▪ Si son iguales, el destinatario puede estar razonablemente seguro
de la integridad del mensaje original.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
 Integridad con los algoritmos hash
▪ El Código de autenticación de Mensaje a basado en Hash(HMAC) es un
mecanismo de autenticación de mensajes usando funciones hash.
▪ HMAC tiene dos parámetros: Una entrada de mensaje y una clave secreta
conocida sólo por el originador del mensaje y los receptores previstos.
▪ El remitente del mensaje utiliza una función HMAC para producir un valor (el
código de autenticación de mensaje) formada por la condensación de la clave
secreta y el mensaje de entrada.
▪ El código de autenticación del Mensaje se envía junto con el mensaje.
▪ El receptor calcula el código de autenticación del mensaje en el mensaje
recibido utilizando la misma clave y la función HMAC enviado por el remitente.
▪ El receptor compara el resultado que se calcula con el código de autenticación
del mensaje recibido.
▪ Si los dos valores coinciden, el mensaje ha sido recibido correctamente y el
receptor está seguro de que el remitente es un miembro de la comunidad de
usuarios que comparten la clave.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
 Integridad con los algoritmos hash
▪ Hay dos algoritmos HMAC comunes:

▪ MD5 - Utiliza una clave secreta compartida de 128 bits. El mensaje

de longitud variable y la clave secreta compartida de 128 bits se
combinan y se ejecutan a través del algoritmo de hash HMAC-MD5.
La salida es un hash de 128 bits. El hash se adjunta al mensaje
original y se envía al otro extremo.

▪ SHA - SHA-1 utiliza una clave secreta de 160 bits. El mensaje de

longitud variable y la clave secreta compartida 160 bits se combinan
y se ejecutan a través del algoritmo de hash SHA1-HMAC. La salida
es un hash de 160 bits. El hash se adjunta al mensaje original y se
envía al otro extremo.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
 Autenticación IPsec
▪ IPsec VPN soporta la autenticación.
▪ El dispositivo en el otro extremo del túnel VPN debe ser autenticado
antes de que el camino de comunicación se considera seguro.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
 Autenticación IPsec
Hay dos métodos de autenticación de los pares, firmas PSK y RSA:

Firma PSK

• Utiliza una clave secreta compartida entre las dos partes mediante un
canal seguro antes de que se necesite o sea utilizado.

• Utiliza algoritmos criptográficos de clave simétrica.

• La PSK se introduce en cada par manualmente y se utiliza para

autenticar los pares.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
 Autenticación IPsec
▪ Firma RSA

▪ Los certificados digitales se intercambian para autenticar los

puntos.
▪ El dispositivo local genera un hash y lo cifra con su clave privada.
▪ El cifrado Hash, o firma digital, se adjunta al mensaje y se
remitirán al otro extremo.
▪ En el otro extremo, el hash cifrado se descifra utilizando la clave
pública del extremo de origen.
▪ Si el hash descifrado coincide con el hash recalculado, la firma es
auténtica.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
 Marco de trabajo del Protocolo IPsec
Encabezado de autenticación (AH)
Protocolo adecuado para utilizar cuando se requiere confidencialidad o
no se requieren permisos.
Proporciona autenticación e integridad de datos para los paquetes IP
que se transmiten entre dos sistemas.
No proporciona confidencialidad de datos (cifrado) de paquetes.

Encapsula la carga Segura (ESP)

El protocolo de seguridad que proporciona confidencialidad y
autenticación cifrando el paquete IP.
Autentica el interior de paquetes IP y el encabezado ESP.
Tanto el cifrado y la autenticación son opcionales en ESP, como mínimo,
se debe seleccionar una de ellas.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
 Marco de trabajo del Protocolo IPsec

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
 Marco de trabajo del Protocolo IPsec
Cuatro bloques de construcción básicos de IPsec se deben seleccionar:

Marco del protocolo IPsec - Una combinación de ESP y AH, ESP o las
opciones ESP + AH casi siempre se seleccionan porque AH no
proporciona cifrado.

Confidencialidad (si IPsec se implementa con ESP) - DES, 3DES o

AES, AES es muy recomendable ya que proporciona la mayor seguridad.
Integridad - Garantiza que el contenido no ha sido alterado durante el
transito utilizando los algoritmos hash (MD5 o SHA).
Autenticación - Representa cómo los dispositivos en cada extremo del
túnel VPN se autentican (PSK o RSA).
Algoritmo Grupo DH - Representa cómo se establece una clave
secreta compartida entre los pares, DH24 proporciona la mayor
seguridad.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
 Marco de trabajo del Protocolo IPsec

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32
 Acceso remoto

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33
 Tipos de VPN de acceso remoto
Hay dos métodos principales para el despliegue de redes VPN de
acceso remoto:

Secure Sockets Layer (SSL)

Seguridad IP (IPsec)

Son Tipos de VPN o métodos basados en los requisitos de acceso

de los usuarios y procesos de TI de la organización.
Ambos tipos ofrecen acceso a prácticamente cualquier aplicación de
red o recurso.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
 Cisco SSL VPN
▪ Proporciona acceso remoto mediante un navegador web y el
cifrado SSL nativo del navegador web.
▪ Puede proporcionar acceso remoto mediante el software Secure
Mobility Client Cisco AnyConnect

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
 Soluciones Cisco VPN SSL
Cisco AnyConnect Secure Mobility Client con SSL

VPNs SSL de cliente basada en proporcionar a los usuarios

autenticados con acceso completo a la red LAN a los recursos
corporativos

Los dispositivos remotos requieren una aplicación de cliente, como el

cliente de Cisco VPN o el cliente AnyConnect más reciente

Cisco Secure Mobility sin cliente SSL VPN

Permite a las empresas facilitar el acceso a los recursos corporativos,

incluso cuando el dispositivo remoto no es gestionado
corporativamente

Cisco ASA se usa como un dispositivo proxy de recursos de la red

Proporciona una interfaz de portal web para dispositivos remotos
para navegar la red con capacidades de reenvío de puertos
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
 IPsec Remote Access

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
 IPsec Remote Access

▪ La solución Cisco Easy VPN consta de tres componentes:

▪ Cisco Easy VPN Servidor - Un router Cisco IOS o Cisco ASA el

Firewall actúa como dispositivo de cabecera VPN de sitio a sitio o
VPN de acceso remoto.
▪ Cisco Easy VPN remoto - Un router Cisco IOS o Cisco ASA Firewall
actúa como cliente VPN remoto.
▪ Cisco VPN Client - Una aplicación soportada en un PC se utiliza para
acceder a un servidor VPN de Cisco.

▪ La característica de la solución Cisco Easy VPN ofrece flexibilidad,

escalabilidad y facilidad de uso tanto para el sitio a sitio y acceso
remoto IPsec VPN.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
 Cisco Easy VPN Server and Remote

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
 Comparing IPsec and SSL

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40