Descripción de la tecnología ViPNet

Base de la Tecnología ViPNet:

Driver ViPNet

Principios de funcionamiento del Driver ViPNet

El Driver ViPNet es el núcleo de la Tecnología ViPNet. Sus funciones principales son el filtrado, el cifrado y el
descifrado de los paquetes IP entrantes y salientes.

Cada paquete IP saliente se procesa por el Driver

ViPNet de alguno de los modos siguientes:

■ Se cifra y se envía;
■ Se envía tal y como está (sin cifrar);
■ Se bloquea (según los filtros de la red).

Cada paquete IP entrante se procesa de alguno

de los modos siguientes:

■ Se permite (si el paquete no está cifrado y

los filtros permiten el tráfico no cifrado);
■ Se descifra (si el paquete estaba cifrado);
■ Se bloquea (según los filtros de la red).

© Infotecs Americas Inc. («Infotecs»), 2016.

Todos los derechos reservados. Aviso legal. La información del presente documento ha sido preparada sólo para proporcionar la
información general sobre Infotecs y sus productos. Infotecs es el responsable de la preparación del contenido de estos materiales. La
presente información se considera relevante, pero puede ser modificada en cualquier momento sin aviso previo. Infotecs renuncia a todas
las garantías, tanto expresas como implícitas, en cuanto a este contenido. Infotecs no asume que la información del presente documento
es exacta o completa y no aceptará ninguna responsabilidad por el contenido del mismo ni por cualquier recurso impuesto sobre la
información por cualquier persona.
Todos los brands y nombres de productos que son marcas o marcas registradas pertenecen a sus titulares. Los símbolos ™ y ® se omiten
en este documento.

2
El Driver ViPNet funciona entre el nivel de enlace de datos y el nivel de red del modelo OSI, lo que permite
el procesamiento de los paquetes IP antes de que los mismos lleguen a la pila TCP/IP y en el momento
dado, a la capa de aplicación. Por lo tanto, el Driver ViPNet protege el tráfico IP de todas las aplicaciones
sin afectar su flujo de trabajo habitual.

Gracias a este enfoque, la implementación de la Tecnología ViPNet no require de ningún cambio de los procesos
de negocio establecidos y el precio de implementación de la red ViPNet no es alto.

En la figura más abajo puede consultarse cómo el controlador ViPNet participa en el procesamiento de una
solicitud de ver una página WEB. La página WEB está ubicada en un servidor IIS instalado en el equipo B.

El equipo A solicita al equipo B visualizar la página WEB a través del protocolo HTTP. Esta solicitud se transfiere
a las capas inferiores de la pila TCP/IP y la información de servicio se añade a esta solicitud en cada capa.
Luego el Driver ViPNet en el equipo A recibe la solicitud y la cifra al añadir su propia información a la solicitud. El
Driver ViPNet en el equipo B recibe la solicitud y borra la información de servicio de la misma. Luego el Driver
ViPNet descifra la solicitud y la envía a la capa de la aplicación por la pila TCP/IP para su procesamiento.

Descripción de la tecnología ViPNet 3

Filtrado del tráfico por el Driver ViPNet
Cada paquete saliente se procesa por el Driver ViPNet según alguna de las reglas siguientes:

■ Si un paquete no se debe cifrar, se bloquea o se envía a la red sin cifrar según las reglas de filtrado para la
red pública. En caso necesario, se realiza NAT por el Coordinador.
■ Si un paquete se debe cifrar, se bloquea o se envía a la red aplicando el cifrado según las reglas de filtrado
para la red ViPNet. En caso necesario, se realiza NAT por el Coordinador.
Al procesarse por el Driver
ViPNet, el paquete IP original
destinado para el abonado
privado se convierte en cifrado.
Un nuevo paquete IP se crea, Procesar los paquetes salientes
que consiste en el paquete
IP original cifrado, el encabezado
de ID público y los encabezados
de servicio privados protegidos
con MAC, y los encabezados del
nuevo paquete IP.

4
Cada paquete entrante se procesa de alguno de los modos siguientes:

■ Los paquetes sin cifrar recibidos de abonados no privados se bloquean o se permiten según las reglas de
filtrado para las redes públicas. Un paquete sin cifrar recibido de un abonado privado se bloquea como
potencialmente falso.
■ Los paquetes cifrados destinados a este abonado (según su ID) se descifran, se bloquean o se traducen
(según las reglas de filtrado para la red ViPNet indicadas más arriba), y se reenvían a la pila TCP/IP.
■ Si un paquete cifrado destinado a otro abonado (según el ID del paquete) se recibe por el Coordinador,
el paquete no se descifra,
y las direcciones IP y los
Procesar los paquetes entrantes puertos del paquete ViPNet
se sustituyen en función
de la información relevante
sobre el punto de acceso al
abonado de destino más
próximo. El paquete se
reenvía a la red a través de
la interfaz del Coordinador,
más conveniente para
transmitir los paquetes al
abonado de destino según
las tablas de enrutamiento.

Descripción de la tecnología ViPNet 5

Sistema de claves ViPNet

La comunicación privada de los objetos de la red ViPNet se realiza usando las claves simétricas de varios tipos.
Las claves se generan de forma centralizada en el módulo de ViPNet Administrador y se transfieren de forma
segura a los usuarios o administradores de los abonados correspondientes. Si la topología de la red se cambia,
las claves se actualizan de forma remota desde ViPNet Administrador a través de los mismos canales de la red
ViPNet.
Las claves se distribuyen en la red, en la capa de aplicación usando el Sistema de actualización automática de
l a s claves, sin importar la capa de la red. Esto proporciona el funcionamiento correcto de la red ViPNet, sobre
todo en las redes locales.

Claves simétricas en la tecnología ViPNet

Los algoritmos simétricos se usan para cifrar la información y controlar su integridad. En la tecnología ViPNet,
se usan las siguientes claves simétricas:

■ La claves de intercambio se usan para

cifrar el tráfico a nivel de red entre los
abonados, pero no directamente. El cifrado
se realiza usando las claves derivadas
de las claves de intercambio. Las claves
derivadas son únicas para cada paquete IP.
En caso de un cambio de claves planificado,
compromiso de claves del abonado y
cambios en la estructura de la red, las
claves de intercambio se transfieren desde
ViPNet Administrador a los abonados
ViPNet correspondientes. Al guardarse en
los abonados ViPNet, estas claves se cifran
usando las claves de protección específicas.
■ Las claves de protección de las claves
de intercambio se usan para organizar la
interacción entre un abonado ViPNet con
ViPNet Administrador y todos los demás
abonados de la red ViPNet en la capa de
la aplicación. Estas claves se usan para el
cifrado de las claves de intercambio. Al
guardarse en los abonados ViPNet, estas claves se cifran usando las claves de protección especiales.
■ Las claves personales se usan para separar el acceso de varios usuarios del mismo abonado a diferentes
datos. Estas claves se usan para cifrar las claves de protección de las claves de intercambio, así como otra
información personal de un usuario individual. Vd. puede almacenar las claves personales en un dispositivo
externo, así como en su abonado ViPNet. Al guardarse, las claves personales se cifran usando la clave de la
contraseña del usuario.

6
■ La clave de la contraseña es una secuencia de bytes obtenida por medio de calcular el valor de la función
HASH de la contraseña del usuario. La clave de la contraseña se usa para cifrar las claves personales de
cada usuario. Las claves de la contraseña pueden ser generadas en ViPNet Administrador o por un
usuario en un abonado ViPNet. Las claves de la contraseña se generan tantas veces como sea necesario,
para el uso temporal, y no se guardan en los dispositivos.
■ Una contraseña es una secuencia de caracteres alfanuméricos, de 9 a 32 bytes. Las contraseñas pueden ser
generadas en el programa ViPNet Administrador, o por un usuario en un abonado ViPNet. En caso de usar
un dispositivo externo protegido con un PIN (SmartCard), puede usarse el PIN en vez de la contraseña.

Distribución de las claves en una red ViPNet

La estructura de las claves simétricas multinivel le permite implementar un sistema escalable y seguro de
distribución de las claves simétricas, así como un sistema fácil de administrar, protegido con métodos
criptográficos, para controlar el acceso a los recursos compartidos y a los recursos personales del usuario. La
distribución de las claves simétricas es completamente automática y no necesita operaciones adicionales por
parte del usuario.

Un abonado ViPNet puede conectarse a la red ViPNet en las siguientes condiciones:

■ El abonado y sus usuarios están registrados en el programa ViPNet Administrador.

■ El Administrador estableció los manuales de direcciones entre este abonado y otros abonados ViPNet.
■ Para el abonado, el Administrador ha creado un archivo del conjunto de claves que contiene las claves
del usuario, un conjunto de las claves de intercambio para intercambiar con otros abonados ViPNet, los
manuales de direcciones necesarios para conectarse a otros abonados ViPNet.

Al obtener un conjunto de claves, puede instalar el programa ViPNet en su equipo. Al completar la instalación,
puede conectar el equipo a la red ViPNet y comunicarse con otros abonados en la misma red ViPNet, así como
en otras redes ViPNet (redes partner), con las cuales el Administrador estableció la conexión de la red partner
en el programa ViPNet Administrador.

Para añadir los nuevos abonados a la red ViPNet existente, registre estos abonados en el programa ViPNet
Administrador. Luego, cree las nuevas claves tanto para los nuevos abonados de su red como para los
abonados de su red que tienen permiso de comunicarse con estos nuevos abonados. Junto con las claves, se
generan los manuales de las direcciones. El conjunto de las claves se transfiere de forma segura al nuevo
abonado. Antes de enviar las claves y los manuales de direcciones al abonado ViPNet existente, los mismos se
cifran usando las claves de intercambio del abonado ViPNet Administrador con el abonado ViPNet A. Luego,
las claves cifradas y los manuales de direcciones se envían al abonado por los túneles ViPNet existentes. Al
recibir las nuevas claves y los manuales de direcciones, el abonado ViPNet actualiza automáticamente su base
de claves y manuales de direcciones. El mismo procedimiento se realiza al borrar un abonado ViPNet desde la
estructura de red, o, en caso de cambiar los manuales de direcciones con otros abonados. Al borrar los
manuales, las claves no necesarias también se eliminan de la base de las claves.

Descripción de la tecnología ViPNet 7

Arquitectura

La tecnología ViPNet ofrece las funciones criptográficas a nivel de aplicación así como a nivel de los núcleos OS.

Cifrado del canal

A nivel del núcleo OS, el cifrado de los paquetes IP se implementa por el controlador criptográfico ITCSCrpt.

Para el cifrado, el controlador ITCSCrpt puede usar varios módulos para implementar los algoritmos
criptográficos. Los módulos criptográficos se acceden por interfaces estandartizadas. Los módulos para
implementar los algoritmos como el AES-256 simétrico (certificado FIPS 140-2) están implementados y
disponibles.

Esta arquitectura le permite implementar módulos que proporcionan varios algoritmos criptográficos a precio
bajo. Estos módulos pueden basarse tanto en software como en hardware.

Cifrado a nivel de la aplicación y administración de las claves

El nivel de aplicación proporciona la autenticación Добавлено примечание ([DS1]): Надо убрать гость из
del usuario, la carga de las claves al controlador диаграммы

criptográfico, el cifrado de los datos y la

actualización de las claves.

Para las funciones criptográficas, se usan las

interfaces universales Microsoft CryptoAPI 2.0.

Para los los sistema operativos distintos de

Windows, está implementada una interfaz similar
y la tecnología de comunicación con el
proveedor criptográfico. Esta tecnología ofrece la
activación transparente de varias
implementaciones de algoritmos criptográficos.
De momento el módulo AES- está disponible. Se
puede usar cualquier módulo criptográfico,
incluidos los módulos de otros vendedores
usando la interfaz estándar del proveedor del
servicio criptográfico (CSP).

8
Infotecs Americas Inc.
77 Water Street,
New York, NY 10005
Teléfono: +1 (646) 274-1494 (ventas)
10026-01 101 01 ESN

+1 (646) 274-0887 (soporte)

Correo-E: support@[Link]
WEB: [Link]