VPN.

En este post voy a explicar lo que es una vpn y las dos clasificaciones que tienen (sitio a sitio y acceso remoto).

También voy a explicar los tipos de cifrado.

Una vpn permite una extensión segura de la red de área local sobre una red pública como puede ser internet.

Permite que un ordenador en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.

Otro tipo de vpn que me gustaría comentar es (vpn over lan) es poco difundido pero es muy útil para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto”. En vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WIFI).

Se les suele aplicar cifrado aunque no es obligatorio. Algunos algoritmos de cifrado son Data Encryption Standard (DES),Triple DES (3DES) y Advanced Encryption Standard (AES).

En las vpn se usa un sistema de encapsulamiento para crear un túnel entre la red externa y la red interna.

El proceso de encapsulamiento guarda un paquete IP dentro del campo de datos de otro paquete ip. Así parece que el usuario externo tiene una dirección en la red interna y tiene acceso a sus recursos.

Clasificación de vpns.

Las vpns se pueden clasificar en dos tipos.

Sitio a sitio.

En la que dos redes locales se unen entre sí utilizando una infraestructura pública. Un ejemplo pueden ser dos sucursales de una empresa. Esta vpn está permanentemente creada entre los dos sitios y los usuarios no tienen que iniciar la vpn.

En este caso se establece una vpn en cada sentido.

Acceso remoto.

En este caso suele ser un usuario externo que accede a lo red local de la empresa.

Aquí es el usuario el que inicia la vpn.

En este caso hemos usado un tipo de cifrado PPTP (Point to point tunneling protocol) que usa el puerto 1723 y usa una conexión directa entre los dos.

Uno de los principales probleas es que su seguridad ha sido rota.

La utilidad ASLEAP puede obtener claves de sesiones PPTP y descifrar el tráfico de la VPN.

Los ataques a PPTP no pueden ser detectados por el cliente o el servidor porque el exploit es pasivo.

El fallo de PPTP es causado por errores de diseño en la criptografía en los protocolos handshake LEAP de Cisco y MSCHAP-v2 de Microsoft y por las limitaciones de la longitud de la clave en MPPE.

Otros tipo de cifrado son:

GRE (Generic routing encapsulation).

L2TP (Layer 2 tunneliing protocol).

SSTP (Secure socket tunnelling Protocol): Es un protocolo basado en SSL que tiene la ventaja de usar el puerto 443 que es un puerto común. Aunque tiene el incoveniente de que requiere el uso de certificados.

IPSEC.

Una cosa a tener en cuenta cuando nos autenticamos contra el servidor en vez de contra un radius es que en el usuario que creamos tenemos que ir a sus propiedades a las pestaña dial-in y seleccionar permitir el acceso. Si no hacemos esto no nos permitirá acceder a la vpn.

Cuando lo hacemos con un servidor de autenticación radius esto no es necesario. Es más tiene una opción cuando configuramos la política de red del radius desde network policy and Access services que nos permite ignorar si las cuentas de usuario tienen dial-in marcado.

 

Autor: David Lázaro Rodríguez.

Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018