wp el uso de vpn como medio de ampliación segura de redes

5/12/2018 WP El uso de VPN como medio de ampliación segura de redes - slidepdf.com

http://slidepdf.com/reader/full/wp-el-uso-de-vpn-como-medio-de-ampliacion-segura-de-redes 1/25



© Panda Software 2006 2

1. INTRODUCCIÓN..................................................................................................................... 3

2. DEFINICIÓN DE VPN.............................................................................................................. 4

3. TIPOS DE VPN........................................................................................................................ 5

3.1. VPN DE ACCESO REMOTO (PARA ROADWARRIORS)............................................................. 5

3.2. VPN PUNTO A PUNTO (PARA OFICINAS REMOTAS) .............................................................. 6

4. ESTABLECIMIENTO DE UNA CONEXIÓN VPN................................................................... 7

4.1. MÉTODOS DE AUTENTIFICACIÓN......................................................................................... 7

4.1.1. Usuario y contraseña ............................................................................................ 7

4.1.2. Infraestructura de clave pública .......................................................................... 8

5. PROTOCOLOS....................................................................................................................... 9 5.1. IPSEC (INTERNET PROTOCOL SECURITY) ............................................................................ 9

5.1.1. Autentificación y cifrado en IPSec....................................................................... 9

5.1.2. Ventajas ................................................................................................................ 11

5.1.3. Desventajas.......................................................................................................... 11

5.2. OPENVPN....................................................................................................................... 12

5.2.1. Ventajas ................................................................................................................ 13

5.2.2. Desventajas.......................................................................................................... 13

5.3. PPTP (POINT TO POINT TUNNELING PROTOCOL) .............................................................. 13

5.3.1. Ventajas ................................................................................................................ 14

5.3.2. Desventajas.......................................................................................................... 14

5.4. L2TP/IPSEC (LAYER 2 TUNNELING PROTOCOL)................................................................ 14

5.4.1. Ventajas ................................................................................................................ 15

5.4.2. Desventajas.......................................................................................................... 15

6. VPN EN PANDA GATEDEFENDER INTEGRA ................................................................... 16

7. DEFENSA EN PROFUNDIDAD CON GATEDEFENDER INTEGRA .................................. 17

7.1. CLASIFICACIÓN DE LAS AMENAZAS ................................................................................... 17

7.1.1. Amenazas de red ................................................................................................. 17

7.1.2. Amenazas de contenidos ................................................................................... 18

8. GLOSARIO............................................................................................................................ 20



El uso de VPN como medio de ampliación segura de redes


1. Introducción

La evolución del mercado de trabajo en los últimos años ha hecho queconceptos antes impensables como teletrabajo o acceso remoto se hayanconvertido en necesidades cotidianas de todo tipo de empresas.

Las ventajas que plantea la incorporación de puestos remotos y móviles a la redpara usuarios que por ejemplo están de viaje, residen en otras localidades, etc.,implican costes en cuanto a equipos, alquiler de líneas y un esfuerzosuplementario de administración que harían desestimar esta posibilidad si noexistiera Internet como canal de comunicación al alcance de todo tipo deusuarios. Sin embargo el carácter público de Internet hace que esta no sea elmedio más adecuado para comunicaciones fiables, seguras y privadas. Esteproblema es resuelto por las VPN (Virtual Private Networks o Redes Privadas

Virtuales).





2. Definición de VPN

Una VPN (Virtual Private Network o Red Privada Virtual) es una red que usa unainfraestructura pública e insegura de telecomunicaciones, que suele ser Internet,para proporcionar un acceso seguro a la red de una organización desdeusuarios u oficinas remotas (En realidad se puede ampliar esta definición porquenada nos impide establecer VPNs a través de medios privados de nuestra propiaorganización).

El uso de VPNs permite por lo tanto extender la red de la empresa hasta dondese encuentren estos usuarios remotos. Con una VPN se obtiene una red dedatos de gran seguridad que permite la transmisión de información confidencialentre la empresa y sus sucursales, proveedores, distribuidores, empleados y

clientes, utilizando Internet como medio de transmisión.

Mediante una VPN, cualquier organización está en condiciones de ”simular” unared WAN propia, sin preocuparse de soportar la infraestructura que ese tipo dered requiere. Es posible establecer redes sobre áreas geográficas extensas(distintas ciudades o países) reduciendo los costes dedicados a infraestructurasy a la vez simplificando la administración.

La principal ventaja de una VPN, aparte de la flexibilidad que proporcionan, es elahorro que supone poder usar medios de libre acceso, eliminando la necesidadde usar líneas arrendadas a cortas o largas distancias, Frame Relay u otros

servicios. Para implantar una VPN sólo se precisa de una conexión al proveedorde servicio (ISP) más cercano. Sobre un medio completamente público se lograla misma seguridad (al proporcionar privacidad, autenticidad e integridad dedatos) y características de operación que hay disponibles en los circuitos decomunicación dedicados.

Además las VPN son arquitecturas de red más escalables y flexibles que lasWAN. Las empresas pueden agregar o eliminar sistemas localizadosremotamente, de forma sencilla y barata.





3. Tipos de VPN

Según el tipo de acceso remoto que proporcionan, se pueden clasificar las VPNen dos tipos:

• VPN de acceso remoto (para Roadwarriors)

• VPN punto a punto (para Oficinas Remotas)

3.1. VPN de acceso remoto (para Roadwarriors)

Es el modelo de VPN más utilizado. Los usuarios se conectan con laorganización desde sitios remotos (oficinas, domicilios, hoteles, etc.)utilizando Internet. Una vez autenticados logran un nivel de acceso similaral que tienen en la red local de la empresa.

Fig. 1 - Esquema de VPN para Roadwarriors





3.2. VPN punto a punto (para Oficinas Remotas)

Este modelo se emplea para conectar oficinas remotas con la sede centralde la empresa. El servidor VPN, permanentemente conectado a Internet,acepta las conexiones procedentes de las oficinas y establece el túnelVPN. Los servidores de las oficinas remotas se conectan a Internetutilizando los servicios de su proveedor local de Internet, típicamentemediante conexiones de banda ancha. Esto permite ahorrarnos los carosvínculos punto a punto (sobre todo en las comunicaciones internacionales).

Fig. 2 - Esquema de VPN para oficinas remotas

El dispositivo básico en el establecimiento y gestión de una VPN es el router quefunciona como servidor VPN entre la red privada y la red pública. PandaGateDefender Integra puede operar como tal.





4. Establecimiento de una conexión VPN

Una VPN debe poder verificar la identidad de los usuarios y restringir el acceso aaquellos usuarios que no estén autorizados. También debe crear registrosestadísticos que muestren quién accede, a qué información y cuándo.

La base de las VPNs es el uso de protocolos de túnel: Para el establecimientode un túnel el primer paso necesario es la autentificación de ambos extremos yde los usuarios de la conexión.

Primero debe existir un mecanismo de autentificación que se implementa enambos extremos de la VPN para que las máquinas que se encargan delestablecimiento del túnel (dos concentradores VPN o un concentrador y uncliente) se puedan autentificar una contra otra.

Respecto a la autentificación, son varios los mecanismos que se puedenemplear para establecer una conexión segura entre cliente y servidor de acceso.

• Autentificación de usuario y contraseña utilizando los protocolos EAP,PAP, CHAP o MS-CHAP (versión 1 y 2),

• Infraestructura de clave pública (PKI) empleando certificados X.509,claves precompartidas (preshared keys), tarjetas inteligentes (smartcards),

•

Mezclas de los mecanismos anteriores, certificados X.509 másvalidación por usuario y contraseña, etc.

4.1. Métodos de autentificación

4.1.1. Usuario y contraseña

El Challenge Handshake Authentication Protocol (CHAP) es unprotocolo usado comúnmente para la autentificación de usuarios através de conexiones PPP. Las claves se cifran de forma automática ytransparente. Las diferentes versiones de Microsoft CHAP sonvariaciones de CHAP usadas para autentificar usuarios contra unMódulo de Acceso de Seguridad (SAM) Windows. Estos protocolos deautenticación se emplean en las tecnologías VPN que utilizan PPP:PPTP y L2TP.

El Password Authentication Protocol (PAP) ofrece autentificación porcontraseña en claro, no se recomienda su uso si no es sobre un canalcifrado como sucede en L2TP cuando funciona sobre IPsec.





4.1.2. Infraestructura de clave pública

El uso de claves precompartidas simplemente establece que ambosextremos conozcan una clave secreta antes de establecerse laconexión.

La autentificación mediante certificados X.509 se basa en unainfraestructura de clave pública en la que los certificados de todos losparticipantes están firmados por una autoridad de certificación. Lavalidación se realiza comprobando que el otro extremo de la conexióntiene un certificado válido firmado por la autoridad de certificación,que su identificador se corresponde con el esperado y asegurándosede que el otro participante conoce la clave privada correspondiente ala clave pública de su certificado.

Completada esta fase se procede al establecimiento del canal seguro. Lainformación transmitida a través del medio público debe ir cifrada de forma queno sea legible por personas no autorizadas. La información se cifra en unextremo, se transmite protegida dentro de un “túnel” y se descifra al recibirlo enel otro.

El cifrado de la información se basa en el uso de algoritmos de cifrado simétricoscon claves de sesión negociadas entre ambos extremos mediante unintercambio Diffie-Hellman o, en el caso de PPTP, derivadas de las credencialesde los participantes. En IPsec y SSL se pueden realizar renegociaciones deestas claves a lo largo de la sesión. Normalmente el algoritmo de cifradoutilizado es 3DES o AES.

Además de todo esto se debe asegurar la autenticidad e integridad de los datostransmitidos; se usan algoritmos de hash (MD5, SHA1,...) que firman cadapaquete transmitido de forma que en la recepción mediante esta firma se puedaasegurar que el paquete no ha sido modificado.





5. Protocolos

De los cuatro protocolos soportados por GateDefender Integra el más extendidoy estándar es IPsec, pero cada uno de estos protocolos presenta ventajas ydesventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientessoportados.

5.1. IPsec (Internet Protocol Security)

Es una extensión al protocolo IP para permitir servicios de autenticación ycifrado y asegurar las comunicaciones IP. Inicialmente fue desarrolladopara usarse con el nuevo estándar IPv6, aunque posteriormente se adaptóa IPv4. IPsec es un conjunto de protocolos muy robusto, adecuado paraorganizaciones que precisan un alto grado de seguridad. La arquitectura deIPsec se describe en el RFC 2401.

IPsec actúa a nivel de capa de red, protegiendo y autentificando lospaquetes IP entre los equipos participantes. No está ligado a ningúnalgoritmo de cifrado o autenticación, tecnología de claves o algoritmos deseguridad específico. Es un marco de estándares que permite quecualquier nuevo algoritmo sea introducido sin necesitar de cambiar losestándares. IPsec combina mecanismos criptográficos para ofrecerconfidencialidad, integridad y autenticidad a los datagramas IP. Noestablece los algoritmos específicos a utilizar, sino que proporciona un

mecanismo para que se negocien aquellos que van a ser utilizados en lacomunicación.

5.1.1. Autentificación y cifrado en IPSec

Previamente al establecimiento de un túnel IPsec, se realiza laautenticación de los participantes y la negociación de los parámetrosde funcionamiento del túnel, tales como las subredes entre las cualesse quiere proteger el tráfico, los algoritmos de cifrado y validación depaquetes, el tiempo de vida de las claves, detección de NAT-Traversal, etc. Todo esto se hace en el protocolo IKE (Internet KeyExchange o Intercambio de claves de Internet).

La negociación IKE se realiza en dos fases, en la primera fase selleva a cabo la autenticación de ambos extremos, mediante clavesprecompartidas o certificados X509, y se produce un intercambioDiffie-Hellman para obtener claves de sesión que se utilizarán paraproteger la segunda fase. Tras finalizar con éxito la fase 1, seestablece una Asociación de Seguridad (SA) ISAKMP (InternetSecurity Association and Key Management Protocol) entre los dosparticipantes, creándose un canal seguro. En la segunda fase seestablecen las Asociaciones de Seguridad (SA) para IPsec. Una vezterminada la fase 2, es posible enviar tráfico a través del túnel IPsec





utilizando los algoritmos y claves acordados por ambos participantesdurante dicha fase.

Para proteger el tráfico que se envía por el túnel IPsec se puedenutilizar dos protocolos de seguridad, ESP (Encapsulating SecurityPayload) o AH (Authentication Header). La diferencia entre ESP y AHes que el primero cifra los paquetes con algoritmos de cifradodefinidos y los autentica, en tanto que AH sólo los autentica,aportando por ello una menor seguridad.

Existen dos modos distintos de conexiones IPsec: modo transporte ymodo túnel.

• En modo transporte se protegen los protocolos de capas

superiores a IP; incluye mecanismos de autentificación ycifrado para los equipos que operan en la conexión, pero no seforma túnel entre ellos. En este modo sólo se establece unacomunicación segura punto a punto. Bajo esta modalidad noexiste realmente una VPN, simplemente se establecen losparámetros de seguridad que han de cumplir los equipos quese interconectan. En este caso, se fuerza a que todas lasmáquinas de la red deban soportar IPsec.

• Si IPsec opera en modo túnel, protege el datagrama IPcompleto encapsulándolo dentro de otro datagrama IP, En estemodo, la autentificación y cifrado de datos se produce sóloentre los extremos declarados en la definición del túnel, queserán las dos pasarelas, independientemente de que losdispositivos intermedios tengan o no configurado esteprotocolo. Bajo este modo es cuando se crea una VPN.

Los participantes en la comunicación usan las Asociaciones deSeguridad (SA) para guardar la información necesaria paraencapsular y desencapsular los paquetes IPsec. En cada SAencontramos entre otros:

• El tipo de protocolo IPsec (AH o ESP).

• El algoritmo y la clave secreta para el cifrado.

• La dirección IP de origen y la dirección IP de destino.

Una asociación de seguridad sólo protege el tráfico en una de las dosdirecciones de la comunicación, por lo que son necesarias dos SApara proteger el tráfico entre los dos extremos: una en cada sentido.





Además, existen las políticas de seguridad SP (Security Policy) queespecifican cuándo hay que proteger el tráfico. Una SP define cosascomo:

• Dirección IP de origen y destino de los paquetes.

• Protocolos y puertos a proteger.

• La SA

Las SA y las SP se almacenan en la SADB (Base de Datos deAsociaciones de Seguridad) y SPDB (Base de Datos de Políticas deSeguridad) respectivamente. En función de ambas se establecen unconjunto de métodos de seguridad y cuándo deben ser aplicados.

Pese a todas sus ventajas en cuanto a seguridad IPsec tiene variosinconvenientes, entre ellos la necesidad de definir un túnel para cadapareja de subredes que se quieran proteger (no es posible hacerpasar tráfico por un túnel si no hay una SP definida para el mismo) ylos problemas que puede acarrear la existencia de dispositivos NATsituados entre los extremos del túnel.

5.1.2. Ventajas

• Es un estándar del que existen múltiples implementaciones enel mercado.

• Está ampliamente implantado.

• Proporciona un elevado nivel de seguridad.

5.1.3. Desventajas

• La configuración es compleja.

• Requiere la creación de un túnel para cada pareja de redesque se quieren proteger.

• Puede haber problemas en implantaciones para RoadWarriorsque se encuentren detrás de dispositivos NAT.





5.2. OpenVPN

OpenVPN es una solución para VPNs basada en TLS/SSL; SSL (SecureSocket Layer) es un protocolo estándar que permite asegurar lastransferencias de datos en Internet. TLS es una implementación posteriorbasada en SSL 3.0. El protocolo SSL es un sistema diseñado por NetscapeCommunications Corporation.

OpenVPN ofrece dos mecanismos para realizar la autenticación, el primeroes utilizar claves estáticas para el cifrado de datos, la clave se instala enlos dos participantes en la conexión y éstos pueden enviar tráfico por eltúnel sin ninguna negociación previa. Utilizando claves estáticas es trivialestablecer un túnel OpenVPN, sin embargo no es lo recomendado al tener

algunas desventajas importantes:

• Con el uso de claves estáticas no existe Perfect Forward Secrecy(PFS). En otras palabras, si la clave estática es revelada a untercero, éste puede utilizarla para descifrar todo el tráfico que hayapasado previamente por el túnel.

• Las claves no se refrescan mientras no se haga manualmente, yesto hay que hacerlo simultáneamente en ambas máquinas.

El segundo mecanismo de autenticación, más seguro y escalable, es lautilización de certificados X509, al igual que en IPsec.

Una vez autenticados ambos participantes, el túnel se crea de una maneraparecida a IPsec, se lleva a cabo un intercambio Diffie-Hellman paragenerar claves de sesión que se utilizan para cifrar el tráfico y se refrescanperiódicamente. La ventaja de OpenVPN es que los datos viajan dentro dela misma conexión UDP o TCP por la que se negocia la conexión,eliminando problemas con dispositivos NAT.

OpenVPN funciona sobre los sistemas operativos más extendidos: Linux,Windows, Mac OS X, BSD, Solaris, etc. Gracias a esto, en general, nodebería presentar problemas de interoperabilidad, exceptuando aquellos

casos donde ya exista otra solución implantada y no sea deseablesustituirla.

OpenVPN funciona en espacio de usuario y emplea un único puerto UDP oTCP. El uso de TCP permite establecer el túnel a través de proxies HTTPy firewalls, pero en determinadas circunstancias puede provocar problemasen el rendimiento de la comunicación al encapsularse paquetes TCP dentrode paquetes TCP.

Se puede encontrar más información sobre OpenVPN en http://openvpn.net





5.2.1. Ventajas

• Es más sencillo de utilizar que IPsec, proporcionando unafuncionalidad equivalente.

• Funciona en la mayor parte de sistemas operativos.

• A pesar de no estar estandarizado está basado en protocolosque sí lo están y son muy maduros: SSL y ESP.

• No tiene ningún problema para funcionar a través dedispositivos NAT.

• Es capaz de funcionar a través de proxies HTTP.

5.2.2. Desventajas

• No está estandarizado y sólo existe una implementación:OpenVPN.

5.3. PPTP (Point to Point Tunneling Protocol)

El Point-to-Point Tunneling Protocol o Protocolo de Túnel Punto a Puntoencapsula paquetes PPP en datagramas IP. PPTP usa una conexión TCPpara mantener el túnel y para poder rutar los paquetes PPP sobre redes IPutiliza una versión modificada de GRE (Generic Routing Encapsulation oEncapsulación Genérica de Rutado).

La autenticación PPTP está basada en el sistema de acceso de WindowsNT, en el cual todos los clientes deben proporcionar un par login/password.Los mecanismos de autentificación que soporta PPTP para establecer eltúnel pueden ser:

EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP (MS-CHAP yMS-CHAPv2 son propios de redes Microsoft).

Para que se genere un túnel PPTP el cliente genera una comunicaciónTCP saliendo por cualquier puerto TCP de su maquina al puerto TCP 1723del servidor VPN. La creación del túnel sólo se llevará a cabo si lasnegociaciones de seguridad (la autentificación) han sido satisfactorias. Acontinuación se debe autentificar el usuario para ver si tiene los derechosde acceso VPN.





Una vez establecido el túnel, los paquetes que son enviados sobre estemedio, deben ser cifrados para poder ser transmitidos sobre redespublicas. El tráfico en PPTP se cifra mediante Microsoft Point to Point

Encription (MPPE) que puede ser definido a 40 o 128 bits de longitud declave. Cliente y servidor deben emplear la misma codificación. Si unservidor requiere de más seguridad de la que soporta el cliente, ésterechaza la conexión. Sería posible realizar conexiones sin cifrado, pero yano se trataría de una VPN. PPTP opera sobre redes IP, IPX, y NetBEUI.

PPTP es un estándar propuesto por Microsoft. Su utilización sólo esaconsejable cuando sólo se requiere autentificación de usuario, no demáquina, y cuando el cliente es NT o Windows 9X. Utiliza el protocolo MS-CHAP, versión 1 o versión 2. La implementación PPTP de Microsoft hapresentado problemas en cuanto a seguridad.

5.3.1. Ventajas

• En escenarios donde sea necesaria compatibilidad coninstalaciones previas puede resultar necesario.

5.3.2. Desventajas

• No es seguro.

5.4. L2TP/IPsec (Layer 2 Tunneling Protocol)L2TP (Layer 2 Tunneling Protocol o Protocolo de Túnel de Nivel 2)encapsula los paquetes PPP para ser enviados sobre IP, X.25, FrameRelay o ATM, aunque solo IP esta definido como estándar. Este protocoloes una combinación de PPTP y Layer 2 Forwarding de Cisco Systems.Para la creación de VPNs en internet L2TP se encapsula sobre un túnelIPsec, que es el que asegura la privacidad, integridad y autenticidad de losdatos. Junto a PPTP es la implementación más utilizada en Windows.

L2TP/IPsec es en realidad una variación de un protocolo de encapsulado

IP. Un túnel L2TP se crea encapsulando una trama L2TP en un paqueteUDP, el cual es encapsulado a su vez en un paquete IP, cuyas direccionesde origen y destino definen los extremos del túnel. Siendo IP, el protocolode encapsulado más externo, los protocolos IPsec pueden ser utilizadossobre este paquete, protegiendo así la información que se transporta por eltúnel.

La autentificación en L2TP sobre IPsec (L2TP/IPsec) es a nivel de usuarioy maquina. La autentificación entre las maquinas (que es la que hacesegura la creación del túnel y los extremos de la conexión) se haceintercambiando los certificados de las máquinas.





Los mecanismos de autentificación a nivel de usuario son los mismos quepara PPTP (EAP, MS-CHAP, MS-CHAPv2, CHAP, SHIVA, SPAP y PAP ).En Windows 2000 y posteriores, el establecimiento del túnel se realiza a

través del puerto UDP 1701.

L2TP es más adecuado que PPTP cuando la seguridad es crítica, ya queproporciona una excelente plataforma en la que acomodar IPsec.

5.4.1. Ventajas

• Ofrece el mismo nivel de seguridad que IPsec simplificando suimplantación.

5.4.2. Desventajas• Obliga a los clientes a tener al mismo tiempo, certificados X509

y un nombre de usuario y contraseña.

• Tiene los mismos problemas que IPsec con NAT transversal.





6. VPN en Panda GateDefender Integra

Una red privada virtual (VPN) precisa en ambos extremos de un software capazde cifrar el tráfico saliente a la red pública y de descifrar el tráfico entrante. Estesoftware puede ser ejecutado en un dispositivo hardware dedicado, o en un PCcon un sistema operativo de propósito general, como Linux o Windows. Losordenadores corren otras tareas que además pueden presentar agujeros deseguridad por lo que más seguro y eficaz es emplear un dispositivo dedicado.

Panda GateDefender Integra implementa la gestión de VPNs IPsec, L2TP/IPsec,PPTP y OpenVPN para Roadwarriors y de VPNs IPsec y OpenVPN paraoficinas remotas. Además, tiene la ventaja añadida de aplicar al tráfico quecircula por las VPNs las mismas protecciones que al resto de conexiones que

atraviesan el appliance: firewall, sistema de prevención contra intrusiones (IPS) yprotección antimalware para protocolos HTTP, FTP, SMTP, POP3, IMAP, NNTP.

El módulo destinado a tal efecto permite pues cifrar tráfico VPN y dirigirlomediante túneles a o otros servidores o clientes VPN para comunicar de formasegura Roadwarriors u Oficinas Remotas con la red corporativa de una empresau organización.

Panda GateDefender Integra incluye el sistema VPN para la creación, gestión ymonitorización de sus propias redes privadas virtuales, ampliando el alcance dela red y asegurando la confidencialidad de las conexiones.





7. Defensa en profundidad con GateDefender

IntegraPanda GateDefender Integra es una solución destinada a la defensa enprofundidad de una red empresarial.

Si bien este white paper es objeto de la funcionalidad VPN de GateDefenderIntegra, es importante aclarar que la defensa en profundidad es una estrategiaque consiste en utilizar múltiples capas de seguridad para proteger las redesfrente a múltiples riesgos o amenazas, que se describen a continuación..

7.1. Clasificación de las amenazas

Las posibles amenazas procedentes de Internet se dividen en dos tipos.Los dos tipos principales de amenazas son Amenazas a nivel de red yAmenazas a nivel de contenidos.

7.1.1. Amenazas de red

Las amenazas a nivel de red son aquellas que representan un peligropor el sólo hecho de poder darse en un momento dado. Es decir, sontransmisiones que, con sólo establecerse entrañan un riesgo para lared interna de la compañía. Se dividen en

Conexiones no permitidas.: Todas las conexiones entre equiposde la red y el exterior deben ser permitidas y conocidas por eladministrador de red. De este modo se asegura que no habrápersonas ajenas a la organización que puedan acceder al interiorde la red. Como se ha visto, la tecnología necesaria para evitareste tipo de amenazas es un Firewall capaz de bloquear lasconexiones no necesarias.

Robo de información en las transmisiones. Las comunicacionesentre los puestos remotos y la red corporativa se realizan utilizandoInternet como medio de transporte de la información, que es un

medio de acceso público al que también tienen acceso multitud depersonas malintencionadas que podrían interceptar lastransmisiones realizadas entre la red corporativa y los puestosremotos. Para evitar el robo de la información en la red pública sepuede cifrar la información que viaja por Internet, para descifrarla alllegar a su destino. Para realizar este cifrado y descifrado esnecesario disponer de una tecnología llamada VPN.





Intrusiones y ataques de hackers. Las intrusiones son amenazasdifíciles de detectar porque se producen haciendo un mal uso de

los puertos, protocolos y conexiones que están autorizados y sonconocidos por los administradores de la red. Suelen estarasociadas a aplicaciones de uso corriente. Estas aplicacionesdiseñadas para una tarea específica permiten realizar otras tareasque, si son utilizadas con habilidad pueden permitir el acceso a lared por parte de personas ajenas a la misma y realizar todo tipo deoperaciones sin que el administrador de la red sea consciente.Para evitar que estas situaciones se produzcan se utiliza unatecnología conocida como IDS/IPS o Sistema deDetección/Prevención contra Intrusiones.

7.1.2. Amenazas de contenidosLas amenazas a nivel de contenidos siempre van asociadas a datosque alcanzan el interior de la red, tales como ficheros, textos,imágenes, etc. Las formas en que afectan a las redes son muyvariadas y van desde el código malicioso, que destruye la informacióncontenida en la red, a contenidos de las páginas web que no estandorelacionados con el trabajo, hacen a los empleados perderproductividad, pasando por el correo basura que satura los recursosde la red y entorpece el trabajo de los empleados. Según esto lasamenazas a nivel de contenidos son:

Malware (Código malicioso). Se trata d programas que soncapaces de causar diferentes tipos de daños en la red. Dentro delmalware se pueden distinguir virus, gusanos, troyanos, spyware,phishing, dialers, jokes, herramientas de hacking, riesgos deseguridad y las amenazas combinadas que utilizan varios tipos demalware a la vez. Para evitar los efectos causados por el malwarees necsario disponer de una tecnología Antivirus (o antimalware)que pueda proteger la red de dichas amenazas.

Contenidos Potencialmente peligrosos. Son ficheros o correosque llegan a la red y que, a juicio del administrador de red, podrían

suponer un riesgo o un daño a la compañía si entran o salen de lared corporativa. Se trata de la aplicación práctica de lapersonalización de las políticas de seguridad de la empresa. Parapoder definir estas políticas, el administrador ha de disponer deuna tecnología llamada Content Filter o Filtrado de Contenidos.





Spam (Correo Basura). Es el correo no deseado o no solicitadoque satura la red con tráfico innecesario, reduciendo, por un lado,

la eficiencia de los recursos y la productividad de los empleadospor otro, al obligarles a leer y borrar una cantidad de correo que noes interesante para ellos. La tecnología capaz de discriminar elcorreo no deseado se denomina Antispam.

Contenidos web no deseados. El acceso a páginas web concontenidos no relevantes para el desarrollo del trabajo, por partede los usuarios de la red, reduce la productividad de lostrabajadores y la disponibilidad de recursos para ser usados porotros compañeros de la misma red. La tecnología que evita losaccesos a las páginas web con contenidos no interesantes para la

empresa se llama Filtrado web o Filtrado URL.Panda GateDefender Integra es un dispositivo Hardware de protecciónperimetral que está diseñado para ofrecer una protección unificada en un solopunto de administración contra todo tipo de amenazas provenientes de Internet.Las funcionalidades incluidas en Panda GateDefender Integra son lassiguientes

• Firewall

• VPN

• IPS

• Anti-malware 1

• Content-Filter

• Anti-spam

• Filtrado web

Ofrece un sistema de protección a nivel de Gateway diseñado para implantarseen cualquier red de una forma sencilla y evitando que las amenazas queproceden de Internet lleguen a entrar en la red de la compañía.

1El módulo Anti-malware incluye protección contra virus, spyware, gusanos, troyanos, phishing, jokes,

dialers y otros riesgos, además del análisis heurístico contra malware no catalogado todavía..





8. Glosario

VPN: Virtual Private Network o Red Privada Virtual,

ISP: Siglas de Internet Solution Provider (Proveedor de soluciones deInternet). Son compañías que ofrecen una conexión a Internet, servicios decorreo electrónico y otros servicios relacionados, tales como la construcción depáginas web o el alquiler de páginas y sitios Web en sus servidores.

Frame Relay: Es un sistema o mecanismo de transmisión de datos que permiteconectar y compartir información entre redes locales LAN separadasgeográficamente. Este servicio de comunicación permite que dos redes localesestén conectadas y que se pueda acceder y compartir la información entre

distintos centros o delegaciones de una empresa, construyendo así una redprivada propia, una Intranet, con una elevada capacidad y velocidad en latransmisión de la información.

WAN: Siglas de Wide Area Network (Red de área amplia). Es una red deenrutadores conectados entre sí y distribuida por un área grande (ciudad,provincia, país, etc.). Su característica definitoria es que no tiene límites encuanto a su amplitud tecnológica.

EAP: Siglas de Extensible Authentication Protocol. Es un protocolo enviado aun servidor para la autenticación del usuario o el equipo utilizado, para darpermiso de acceso a distintos servicios y contenidos. Puede soportar múltiplesmecanismos de autenticación tales como: smart cards, claves públicas deencriptación, one-time passwords, certificados, etc.

PAP: Siglas de Password Authentication Protocol (Protocolo de autenticaciónpor password). Permite al sistema verificar la identidad del otro punto de laconexión mediante password.

CHAP/MSCHAP: Siglas de Challenge-Handshake Authentication Protocol.Es un protodcolo de autenticación para PPP donde la contraseña no sólo seexige al empezar la conexión sino también se requiere durante la conexión, unfallo proporcionando la contraseña correcta durante el login o el desafio

producirá la desconexión

SAM: Siglas de Software Asset Management. Es una herrramienta concebidapara ayudar a las organizaciones a tener control sobre sus activos de softwaredurante todo el ciclo de vida del mismo: desde la adquisición hasta sudesinstalación o actualización, pasando por las fases de implementación,soporte, mantenimiento y formación para su total aprovechamiento. Laadministración de activos de software afecta a toda la empresa e implica a todoslos departamentos de la misma, desde la dirección general y la financiera, hastael último de los trabajadores que gestionan y trabajan con información.





PPP: Siglas de Point to point Protocol o Protocolo punto a punto. Protocoloutilizado en Internet para establecer enlace entre dos ordenadores remotos.

PPTP: Siglas de Point to Point Tunneling Protocol. Es un protocolodesarrollado por Microsoft y normalizado por la IETF (Internet Engineering TaskForce) como RFC 2637 para el acceso a redes privadas virtuales (VPN). Seemplea en situaciones en las que los usuarios de una red privada corporativaprecisan de un acceso a la red privada desde un lugar remoto.

L2TP: Siglas de Layer 2 Tunneling Protocol. Es un protocolo que utiliza PPPpara proporcionar acceso telefónico que puede ser dirigido a través de un túnelpor Internet hasta un punto determinado. L2TP define su propio protocolo deestablecimiento de túneles, basado en L2F. El transporte de L2TP está definidopor una gran variedad de tipos de paquete, incluyendo X25, Frame relay y ATM.

IPsec: Siglas de Internet Protocol Security. Es una extensión al protocolo IPque añade un cifrado fuerte para permitir servicios de autenticación y cifrado y,de esta manera, asegurar las comunicaciones a través de dicho protocolo.Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6, aunqueposteriormente se adaptó a IPv4.

SSL: Siglas de Secure Sockets Layer. Protocolo diseñado por NetscapeCommunications, que permite cifrar la conexión, incluso garantiza laautenticación. Se basa en la criptografía asimétrica y en el concepto de loscertificados.

3DES: Es una triple version fuerte de la criptografía estándar DES (DataEncryption System). Se trata de un algoritmo o clave de fuerte encriptaciónsimétrica, es decir un método para cifrar información, donde tres son las clavesutilizadas para proporcionar una seguridad adicional.

AES: Advanced Encryption Standard. Es un algoritmo de encriptaciónsimétrica que utiliza claves de bloqueo, fue usado para reemplazar el método deencriptación DES.

Hash: Un hash o función resumen se refiere a una función o método paragenerar claves o llaves que representen de manera unívoca a un documento,registro, archivo, etc. Estos métodos son muy variados, pueden llegar a tomar encuenta diversos parámetros tales como el nombre de un archivo, su longitud,hora de creación, datos que contenga, etc. aplicándole diversastransformaciones y operaciones matemáticas.

MD5: Acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen delMensaje 5 es un algoritmo de reducción criptográfico de 128 bits ampliamenteusado. El código MD5 fue diseñado por Ronald Rivest en 1991. Durante el año2004 fueron divulgados ciertos defectos de seguridad, lo que hará que en unfuturo cercano se cambie de este sistema a otro más seguro.

SHA1: Secure-Hash Algorithm 1 - Algoritmo 1 de Tabla Segura





IPv6: Es la versión 6 del Protocolo IP (Internet Protocol). Es la versión quesustituye a la actual estándar IPv4

IPv4: Es la versión 4 del Protocolo IP (Internet Protocol). Esta fue la primeraversión del protocolo que se implemento extensamente, y forma la base deInternet. Usa direcciones de 32 bits, limitándola a 232 = 4.294.967.296direcciones únicas, muchas de las cuales están dedicadas a redes locales(LANs).

RFC: Acrónimo de Request For Comments. Conjunto de notas técnicas yorganizativas donde se describen los estándares o recomendaciones de Internet(originalmente ARPANET), comenzado en 1969. Están hechos para hacercompatibles los programas entre sí y que se pueda usar diferente software parala misma función. Definen protocolos y lenguajes, se garantiza la

interoperabilidad entre sistemas si ambos cumplen el mismo RFC.

IP: Internet Protocol (Protocolo de Internet) Cada uno de los ordenadores delmundo que están conectados a la red de Internet, tiene asociado undeterminado número que le identifica a él exclusivamente dentro de dicha Red.IP es un código de Identificación o número de pasaporte, aplicado al ordenador.

NAT: Network Address Translation o Traducción de Dirección de Red) es unestándar creado por la Internet Engineering Task Force (IETF) el cual utiliza unao más direcciones IP para conectar varios computadores a otra red(normalmente a Internet), los cuales tienen una dirección IP completamentedistinta (normalmente una IP no válida de Internet definida por el RFC 1918). Por

lo tanto, se puede utilizar para dar salida a redes públicas a computadores quese encuentran con direccionamiento privado o para proteger máquinas públicas.

TLS: Transport Layer Security o Capa de Transporte Segura. Es una versiónestandarizada del protocolo SSL que pretende abarcar toda la capa detransporte de la pila OSI.

UDP: User Datagram Protocol (Protocolo de Datagrama de Usuario) Es unprotocolo de conexión de redes informáticas alternativo a TCP. Es, como elprotocolo TCP, un protocolo de datagramas (paquetes que contieneninformación, que se transportan por la red, y que contienen las direcciones de

origen y de destino) usado en el intercambio de información a través de Internet.Tiene una cabecera: el software de gestión de red pone esta cabecera delantede la información a enviar del mismo modo.

TCP/ IP: Siglas de las palabras inglesas Transmisión Control Protocol /Internet Protocol (Protocolo de control de transmisión / Protocolo de Internet)Se trata de un estándar de comunicaciones, protocolos o tipos de lenguaje muyextendido y de uso muy frecuente para software de red, y en ellos se basabuena parte de Internet. El primero, TCP, se encarga de dividir la información enpaquetes en el punto de origen de la transmisión para luego recomponerla en el





punto de destino. El segundo, IP, se responsabiliza de dirigir la informaciónadecuadamente en su viaje por Internet.

HTTP: HyperText Transfer Protocol (Protocolo de Transferencia de Hipertexto)Es el protocolo de comunicación que se usa para entrar, moverse por Internet ybajarse las páginas de los distintos sitios de la Web. Se usa este protocolo paralas páginas con extensión HTML o HTM.

FTP: File Transfer Protocol (Protocolo de Transferencia de Ficheros) Es elprotocolo (forma en que se entienden los ordenadores para comunicarse entresí) que usamos en Internet para transferir ficheros entre ordenadores. También,por analogía, se le suele llamar así a las aplicaciones o programas que sirvenpara transferir ficheros en Internet y que usan este tipo de protocolo para hacerlo

SMTP: Simple Mail Transfer Protocol (Protocolo Simple de Transferencia deCorreo) Es el protocolo (tipo de lenguaje entre ordenadores) que se usa paratransferir correo electrónico entre ordenadores que actúan como servidores.

Es un protocolo de servidor a servidor, de tal manera que para acceder a losmensajes desde los clientes es preciso utilizar otros protocolos.

POP3: Post Office Protocol (Protocolo de Oficina de Correos). Se trata de unprotocolo para recibir u obtener los mensajes de correo electrónico desde unServidor de Correo. Un cliente de correo POP establece una conexión con elservidor sólo el tiempo necesario para enviar o recibir correo, y luego cierra laconexión.

IMAP: Internet Massage Access Protocol. Protocolo de red de acceso amensajes almacenados en un servidor. Mediante IMAP se puede tener acceso alcorreo electrónico desde cualquier equipo que tenga una conexión a Internet.Una vez configurada la cuenta IMAP, puede especificar las carpetas que deseamostrar y las que desea ocultar, esta característica lo hace diferente delprotocolo POP

NNTP: Network News Transport Protocol, Protocolo de transferencia denoticias a través de la red. Es el protocolo usado para distribuir mensajes denoticias de red a servidores NNTP y a clientes NNTP (lectores de noticias) enInternet. Proporciona distribución, consulta, recuperación y exposición deartículos de noticias mediante el uso de una transmisión confiable basada ensecuencias de noticias en Internet. Está diseñado de forma que los artículos denoticias se almacenan en un servidor en una base de datos centralizada, demanera que los usuarios pueden seleccionar elementos específicos que leer.También se proporciona indización, las referencias cruzadas y la caducidad demensajes antiguos.

IDS: Intrusion Detection System o Sistema de detección de intrusos. Es unprograma usado para detectar accesos no autorizados a un ordenador o unared. Se basa en el análisis pormenorizado del tráfico de red el cual escomparado con firmas de ataques conocidos o comportamientos sospechosos.





IPS: Acrónimo que corresponde a las siglas inglesas Intrusion Prevention System o Sistema de Prevención contra Intrusiones. Estos sistemas consistenen blindar las redes o los equipos de la misma contra intrusiones ajenas a la

propia red, que puedan darse a través de programas ejecutados desde el interiorde la red.

Virus: Los virus son programas que se pueden introducir en los ordenadores ysistemas informáticos de formas muy diversas, produciendo efectos molestos,nocivos e incluso destructivos e irreparables.

Gusano (Worm): Es un programa similar a un virus que, a diferencia de éste,solamente realiza copias de sí mismo, o de partes de él, pudiendo propagarse yreplicarse por todo un equipo o por toda la red.

Troyano / Caballo de Troya: Se trata de programas que llegan al ordenador(por cualquier medio), se introducen en él, se instalan y realizan determinadasacciones para tomar el control del sistema afectado. La historia mitológica ElCaballo de Troya ha inspirado su nombre.

Spyware.- Los programas espía, también conocidos como spyware, sonaplicaciones que recopilan datos sobre los hábitos de navegación,preferencias y gustos del usuario. Los datos recogidos son transmitidos a lospropios fabricantes o a terceros, bien directamente, bien después de seralmacenados en el ordenador.

Dialers.- Los Dialers son programas de marcación telefónica automática que

cambian la configuración de acceso telefónico a redes de los ordenadores conconexión vía módem y hacen que se conecte a números telefónicos de pago.

Phishing.- Consiste en el envío de correos electrónicos que, aparentandoprovenir de fuentes fiables (por ejemplo, de entidades bancarias), tratan deconseguir los datos confidenciales del usuario. Para ello, suelen incluir unenlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, elusuario, creyendo estar en un sitio de toda confianza, introduce la informaciónsolicitada que, en realidad, va a parar a manos del estafador.

Jokes.- Los Jokes o bromas son un tipo de malware que no causan dañosreales. Generalmente avisan sobre vulnerabilidades o ataques de virus que noson reales pero que provocan la pérdida de tiempo de los usuarios que losreciben, al intentar comprobar su veracidad.

Amenazas combinadas.- En los últimos años, han aparecido este tipo deamenazas que son capaces de atacar las redes desde varios frentes a la vez.En una amenaza combinada se mezclan los peores aspectos de los gusanos,los virus y los troyanos y se les dota de técnicas avanzadas de pirateoinformático.

Hacking tools son todas aquellas herramientas que se puedan utilizar pararobar información, accesos no permitidos, etc.





Security risks son aplicaciones que suponen una amenaza clara para laseguridad, y que sin embargo no pueden ser catalogados como virus. Porejemplo, un programa dedicado a la creación de virus o troyanos.

wp el uso de vpn como medio de ampliación segura de redes

Documents