Red privada virtual: Descripción general Microsoft Corporation 25 de junio de 1998 Resumen Este documento proporciona una descripción general de las redes privadas virtuales (VPN), describe sus requerimientos básicos y analiza algunas de las tecnologías clave que permiten la operación en red privada a través de internetworks públicas. Asimismo, este documento incluye el soporte nativo para la operación en red privada virtual disponible en el Windows NT Server. Introducción # Una Red privada virtual (VPN) conecta los componentes y recursos de una red a otra. Las VPN logran lo anterior permitiendo al usuario conectarse a través de Internet u otra red pública en forma tal que los participantes de esta conexión pueden disfrutar la misma seguridad y funciones que antes estaban disponibles únicamente a través de redes privadas (vea la Figura 1). Operación entre redes internas Red privada virtual Equivalente lógico Figura 1. Red privada virtual Las VPN permiten que los usuarios remotos, como agentes de ventas, o incluso sucursales, se conecten en forma segura a un servidor corporativo # topic1 Documento sobre el Microsoft Windows NT Server 1 localizado al final de una Red de área local corporativa (LAN) utilizando la infraestructura de enrutamiento proporcionada por una red interna pública (como Internet). Desde la perspectiva del usuario, la VPN es una conexión de punto a punto entre la computadora del usuario y el servidor corporativo. La naturaleza de la red intermedia no es importante para el usuario porque parece como si los datos se enviaran a través de un enlace privada dedicado. Como se mencionó anteriormente, la tecnología VPN también permite que una corporación se conecte a sus sucursales u otras compañías (redes externas) a través de una red interna pública (como Internet), al tiempo que las comunicaciones se mantienen seguras. La conexión VPN a través de Internet lógicamente opera como un enlace de red de área amplia entre los sitios. En ambos casos, la conexión segura a través de la red interna aparece ante el usuario como una comunicación de red privada, a pesar del hecho de que esta comunicación se hace a través de una internetwork pública, de ahí se origina el nombre de Red privada virtual. La tecnología VPN está diseñada para cubrir aspectos relacionados a la tendencia actual comercial hacia el aumento de comunicaciones remotas, operaciones globales distribuidas ampliamente y operaciones con colegas altamente interdependientes, donde los empleados deben poder conectarse a recursos centrales, comunicarse unos con otros y las empresas necesitan administrar eficientemente inventarios para lograr una producción justo a tiempo. La capacidad de conectarse a recursos corporativos de computación sin importar el lugar donde se encuentre, una corporación debe instalar una solución de acceso remoto confiable y escalable. Típicamente, las corporaciones eligen: 1. Una solución dirigida al departamento de administración de sistemas de cómputo, donde un departamento interno de sistemas de información se encarga de comprar, instalar y dar mantenimiento a las agrupaciones de módem corporativos y a una infraestructura de red privada. 2. Soluciones de Red con valor agregado (VAN), donde pagan a una compañía externa para comprar, instalar y dar mantenimiento a las agrupaciones de módem y a la infraestructura de telecomunicaciones. Ninguna de estas soluciones proporciona la confiabilidad o escalabilidad óptimas en términos de costos, seguridad, administración y manejo flexibles, y satisfacción a la demanda por conexiones. Por lo tanto, es lógico tratar de encontrar un punto medio donde la organización complemente o reemplace sus inversiones actuales en agrupaciones de módem y su infraestructura de red privada con una solución menos costosa que se base en tecnología de Internet. En esta forma, las empresas pueden enfocarse en sus actividades base, con la certeza de que nunca se comprometerá la accesibilidad, y de que se ha instalado la solución menos costosa. La disponibilidad de una solución de Internet permite unas cuantas conexiones de Internet (vía los proveedores de servicio independientes o ISP); así como la instalación de varias computadoras de servidor final de red VPN para que den servicio a las necesidades remotas de operación en red de cientos e incluso miles de clientes remotos y sucursales, como se describe a continuación. Documento del Microsoft Windows NT Server 2 Usos comunes de las VPN # Las siguientes subsecciones describen más detalladamente los usos comunes de las VPN. Acceso de usuario remoto a través de Internet Las VPN proporcionan acceso remoto a los recursos corporativos a través de la Internet pública, al tiempo que conservan la confidencialidad de la información. La Figura 2 muestra una VPN que se utiliza para conectar un usuario remoto a una intranet corporativa. Red privada virtual Internet ISP Central corporativa Enlace dedicado a ISP Enlace dedicado a ISP Figura 2. Uso de una VPN para conectar a un cliente remoto a una LAN privada. En lugar de utilizar una línea arrendada, de hacer una llamada de larga distancia (o 1-800) a un servidor de acceso a red corporativo o externo (NAS), el usuario primero llama a un número telefónico NAS de ISP. Utilizando la conexión local al ISP, el software de la VPN crea una red privada virtual entre el usuario que marca y el servidor corporativo de VPN a través de Internet. Conexión de redes a través de Internet Existen dos métodos para utilizar las VPN y permitir conectar redes de área local a sitios remotos: • Uso de líneas dedicadas para conectar una sucursal LAN corporativa. En lugar de utilizar un circuito costoso dedicado de largo alcance entre la sucursal corporativa, tanto los enrutadores de la sucursal como los de la central corporativa pueden utilizar un circuito dedicado local y el ISP local para conectarse a Internet. El software de la VPN utiliza las conexiones de ISP locales e Internet pública para crear una red # Topic1 Documento sobre el Microsoft Windows NT Server 3 privada virtual entre el enrutador de la sucursal y el enrutador corporativo. • Uso de una línea de marcación para conectar una sucursal a una LAN corporativa. En lugar de hacer que un enrutador en la sucursal utilice una línea arrendada, haga una llamada de larga distancia o (1800) llame a un NAS corporativo o externo, el enrutador en la sucursal puede llamar al ISP local. El software de la VPN utiliza la conexión al ISP local para crear una red privada virtual entre el enrutador de la sucursal y el enrutador de la central corporativa a través de Internet. Red privada virtual Internet Central corporativa Sucursal Enlace dedicado o de marcación a ISP Enlace dedicado a ISP Figura 3. Uso de una VPN para conectar dos sitios remotos Note que en ambos casos, las facilidades que conectan a la sucursal y a las oficinas corporativas a Internet son locales. Los ahorros en costos de una VPN cliente-servidor y de servidor-servidor se anuncia ampliamente con base en el uso de un número telefónico de acceso local para lograr una conexión. Se recomienda que un enrutador de central corporativa que actúa como un servidor de VPN se conecte a un ISP local con una línea dedicada. Este servidor de VPN debe estar al pendiente 24 horas al día del tráfico de entrada de la VPN. Conexión de computadoras a través de una Intranet En algunas redes internas corporativas, los datos de los diferentes departamentos son tan sensibles que la LAN del departamento se encuentra físicamente desconectada del resto de las redes internas corporativas. A pesar de que esto protege la información confidencial del departamento, a su vez crea problemas de accesibilidad a la información para aquellos usuarios que no están conectados físicamente a una LAN separada. Servidor De VPN Red privada virtual Red interna corporativa Red segura o escondida Documento del Microsoft Windows NT Server 4 Figura 4. Uso de una VPN para conectar dos computadoras en la misma LAN Las VPN permiten que la LAN del departamento esté físicamente conectada a la red interna corporativa, pero separada por un servidor de VPN. Observe que el servidor de VPN NO actúa como un enrutador entre la red interna corporativa y la LAN del departamento. Un enrutador interconectaría las dos redes permitiendo que todos tuvieran acceso a la LAN sensible. Al utilizar una VPN, el administrador de la red puede asegurar que sólo aquellos usuarios en la red interna corporativa que tengan las credenciales adecuadas (con base en una política que todos deben saber dentro de la compañía), pueden establecer una VPN con el servidor de VPN, y lograr acceso a los recursos protegidos del departamento. Además, todas las comunicaciones a través de la VPN pueden codificarse para lograr confidencialidad de los datos. Aquellos usuarios que no tengan las credenciales adecuadas no podrán visualizar los datos de la LAN del departamento. Requerimientos básicos de VPN # Normalmente, cuando se instala una solución de conexión en red remota, una empresa desea facilitar el acceso controlado a los recursos y a la información corporativos. La solución debe dar libertad a los clientes remotos autorizados para que puedan conectarse a los recursos de una red de área local (LAN), y la solución también debe permitir que las oficinas remotas se conecten entre ellas para compartir recursos e información (conexiones de LAN a LAN). Por último, la solución debe asegurar la confidencialidad e integridad de los datos a medida que viajan a través de la Internet pública. Los mismos factores aplican en el caso de datos sensibles que viajan a través de una red interna corporativa. Por lo tanto, por lo menos, una solución de VPN debe proporcionar todo lo siguiente: • Autenticación del usuario. La solución debe verificar la identidad de los usuarios y restringir el acceso a VPN a los usuarios autorizados. Además, la solución debe proporcionar registros de auditoría y contabilidad que muestren quién acceso, qué información y cuándo. • Administración de direcciones. La solución debe asignar una dirección de cliente en la red privada y asegurar que las direcciones privadas se conserven así. • Codificación de datos. Los datos que se transmiten a través de la red pública deben ser ilegibles a los clientes no autorizados en la red. • Administración de claves. La solución debe generar y actualizar las claves de codificación para el cliente y el servidor. • Soporte a protocolos múltiples. La solución debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de Internet (IP), el intercambio de paquete de Internet (IPX), etc. # Topic2 Documento sobre el Microsoft Windows NT Server 5 Una solución de VPN de Internet basada en el protocolo de conexión de punto a punto (PPTP) o en el protocolo de conexión de nivel 2 (L2TP) cumple con todos estos requerimientos básicos y aprovecha la amplia disponibilidad de la Internet global. Otras soluciones, incluyendo el nuevo protocolo de seguridad IP (IPSec), cumplen algunos de estos requerimientos, pero no sirven en situaciones específicas. El resto de este documento analiza los conceptos, protocolos y componentes de la VPN más detalladamente. Aspectos básicos de la conexión de punto a punto # La conexión de punto a punto es un método donde se utiliza la infraestructura de una red interna para transferir datos de una red a través de otra red. Los datos que van a transferirse (o carga de pagos) pueden ser las tramas (o paquetes) de otro protocolo. En lugar de enviar una trama tal y como es producida por el nodo de origen, el protocolo de conexión de punto a punto encapsula la trama en una encabezado adicional. El encabezado adicional proporciona información de enrutamiento para que la carga de pago encapsulada pueda pasar a través de la red interna intermedia. Después, los paquetes encapsulados son enrutados a través de puntos finales de conexión a través de la red interna. La trayectoria lógica a través de la cual los paquetes encapsulados viajan vía la red interna se denomina un tunnel (túnel). Una vez que las tramas encapsuladas llegan a su destino en la red interna, se “desencapsulan” y se transmiten a su destino final. Considere que la conexión de punto a punto incluye todo este proceso (encapsulación, transmisión y desencapsulación de paquetes). Puntos finales del túnel En el túnel Internetwork Header Carga de pago Carga de pago Red interna de tránsito Túnel Carga de pago en el túnel Figura 5. Túnel Considere que la red interna de tránsito puede ser cualquier red interna, Internet es una red interna pública, y es el ejemplo real más conocido. Existen muchos ejemplos de túneles que pasan por las redes internas corporativas. A pesar de que Internet proporciona una de las redes internas # topic2a Documento del Microsoft Windows NT Server 6 más adecuadas y de costos más accesibles, las referencias que este documento hace a Internet pueden reemplazarse por referencias a cualquier otra red interna pública o privada que actúe como una red interna de tránsito. Las tecnologías de tunneling ya tienen tiempo de existir. Algunos ejemplos de tecnologías antiguas incluyen: • Túnel de SNA a través de redes internas de IP. Cuando se envía tráfico de arquitectura de red de sistemas (SNA) a través de una red interna de IP corporativa, la trama de SNA se encapsula en un UDP y encabezado de IP. • Conexión de IPX para NetWare de Novell a través de redes internas de IP. Cuando un paquete de IPX envía a un servidor NetWare o a un enrutador de IPX, el servidor o enrutador toma el paquete de IPX en un UDP y encabezado de IP, y después lo envía a través de una red interna de IP. El enrutador de destino de IP-a-IPX elimina el UDP y el encabezado de IP, y transmite el paquete al destino de IPX. Además, en los años recientes se han introducido nuevas tecnologías de tunneling. Estas tecnologías más recientes, que son el enfoque principal de este documento, incluyen: • Protocolo de conexión en túnel de punto a punto (PPTP). El PPTP permite que el tráfico de IP, IPX, o NetBEUI pueda codificarse y después encapsularse en un encabezado de IP para ser enviado a través de una red interna de IP corporativa o de una red de IP pública como Internet. • Protocolo de conexión en túnel de nivel 2 (L2TP). El L2TP permite que el tráfico de IP, IPX, o NetBEUI pueda codificarse y después enviarse a través de cualquier medio que soporte la entrega de datos de punto a punto, como el IP, X.25, Relé de trama, o ATM. • Modo de túnel de seguridad de IP (IPSec). El modo de IPSec permite que las cargas de pago de IP puedan codificarse y después encapsularse en un encabezado de IP para ser enviadas a través de una red interna corporativa de IP o una red interna pública de IP, como Internet. Protocolos de tunneling # Para que se pueda establecer un túnel, tanto el cliente del túnel como el servidor de túnel deben utilizar el mismo protocolo de tunneling. La tecnología de túnel puede basarse en un protocolo de tunneling nivel 2 o nivel 3. Estos niveles corresponden al modelo de referencia de interconexión de sistemas abiertos (OSI). Los protocolos de nivel 2 corresponden al nivel de enlace de datos, y utilizan tramas como su unidad de intercambio. El PPTP, L2TP y la transmisión de nivel 2 (L2F) son protocolos de conexión en túnel de nivel 2; todos encapsulan la carga de pago en una trama de protocolo de punto a punto (PPP) que se envía a través de una red interna. Los protocolos de nivel 3 corresponden al nivel de red, y utilizan paquetes. El IP a través del IP y el modo de túnel de seguridad de IP (IPSec) son ejemplos de los protocolos de tunneling de nivel 3. Estos protocolos encapsulan los # Topic3 Documento sobre el Microsoft Windows NT Server 7 paquetes de IP en un encabezado adicional de IP antes de enviarlos a través de una red interna de IP. Cómo funciona el tunneling Para las tecnologías de tunneling de nivel 2, como el PPTP y el L2TP, un túnel es similar a una sesión; ambos extremos del túnel deben de estar de acuerdo con el mismo y deben negociar las variables de configuración, como la asignación de direcciones o los parámetros de codificación y compresión. En la mayoría de los casos, los datos transferidos a través del túnel se envían utilizando un protocolo basado en un datagrama. Un protocolo de mantenimiento de túnel se utiliza como el mecanismo para administrarlo. Generalmente, las tecnologías de tunneling de nivel 3 asumen que todos los aspectos de configuración han sido manejados fuera de banda, a menudo por procesos manuales. Para estos protocolos, no existe fase de mantenimiento de túnel. Sin embargo, para los protocolos de nivel 2 (PPTP y L2TP), un túnel debe crearse, mantenerse y después eliminarse. Una vez que se establece el túnel, los datos contenidos en el mismo pueden ser enviados. El cliente o servidor de túnel utiliza un protocolo de transferencia de datos de túnel para preparar los datos antes de su transferencia. Por ejemplo, cuando el cliente de túnel envía una carga de pago a un servidor de túnel, el cliente de túnel primero prepara un encabezado de protocolo de transferencia de datos de túnel para la carga de pago. Después, el cliente envía la carga de pago encapsulada resultante a través de la red interna, que a su vez la enruta al servidor de túnel. El servidor de túnel acepta los paquetes, elimina el encabezado de protocolo de transferencia de datos de túnel y transfiere la carga de pago a la red objetivo. La información que se envía entre el servidor de túnel y el cliente de túnel se comporta en forma similar. Los protocolos y los requerimientos básicos de tunneling Debido a que se basan en el protocolo bien definido PPP, los protocolos de nivel 2 (como el PPTP y L2TP) han heredado una serie de funciones útiles. Estas funciones y sus contrapartes de nivel 3 cubren los requerimientos básicos de VPN, tal como se describe a continuación. • Documento del Microsoft Windows NT Server 8 Autenticación de usuarios. Los protocolos de tunneling nivel 2 heredan los esquemas de autenticación de los usuarios del PPP, incluyendo los métodos EAP que se analizan a continuación. Muchos esquemas de túnel de nivel 3 asumen que los puntos finales eran bien conocidos (y autentificados) antes de que se estableciera el túnel. Una excepción a esto es la negociación ISAKMP de IPSec, que proporciona autenticación mutua de los puntos finales del túnel. (Considere que la mayoría de las implementaciones de IPSec dan soporte únicamente a certificados basados en máquinas, en lugar de a certificados de usuarios. Como resultado, cualquier usuario con acceso a una de las máquinas de punto final puede utilizar el túnel. Esta debilidad potencial de seguridad puede eliminarse cuando el IPSec se utiliza junto con un protocolo de nivel 2, como el L2TP.) • Tarjeta de soporte Token. Utilizando el protocolo de autenticación extensible (EAP), los protocolos de tunneling de nivel 2 pueden dar soporte a una gran variedad de métodos de autenticación, incluyendo contraseñas de uso único, calculadores criptográficos y tarjetas inteligentes. Los protocolos de tunneling de nivel 3 pueden utilizar métodos similares; por ejemplo, el IPSec define la autenticación de certificado de clave pública en su negociación ISAKMP/Oakley. • Asignación dinámica de direcciones. Los túneles de nivel 2 dan soporte a las asignación dinámica de direcciones de clientes basada en el mecanismo de negociación del protocolo de control de red (NCP). Generalmente, los esquemas de túneles de nivel 3 asumen que una dirección ya ha sido asignada antes de iniciar el túnel. Los esquemas para asignar direcciones en el modo de túnel de IPSec se encuentran actualmente bajo desarrollo y no están todavía disponibles. • Compresión de datos. Los protocolos de tunneling de nivel 2 dan soporte a los esquemas de compresión basados en PPP. Por ejemplo, las implementaciones de Microsoft tanto en el PPTP como en el L2TP, utilizan la Microsoft Point to Ponti Compression (MPPC). La IETF está investigando mecanismos similares (como la compresión de IP) para los protocolos de tunneling de nivel 3. • Codificación de datos. Los protocolos de tunneling de nivel 2 dan soporte a los mecanismos de codificación de datos basados en PPP. La implementación de Microsoft del PPTP da soporte al uso opcional de la Microsoft Point to Point Encryption (MPPE), con base en algoritmo RSA/RC4. Los protocolos de tunneling de nivel 3 pueden utilizar métodos similares; por ejemplo, el IPSec define varios métodos de codificación de datos opcionales que se negocian durante el intercambio ISAKMP/Oakley. La implementación de Microsoft del protocolo L2TP utiliza la codificación de IPSec para proteger la corriente de datos que viaja del cliente al servidor de túnel. • Administración de claves. El MPPE, un protocolo de nivel 2, se basa en la clave inicial generada durante la autenticación del usuario y después, la vuelve a generar periódicamente. El IPSec negocio explícitamente una clave común durante el intercambio ISAKMP y también la vuelve a generar periódicamente. • Soporte de protocolos múltiples. Los túneles de nivel 2 dan soporte a protocolos múltiples de carga de pago, que facilitan el acceso de los clientes de túnel a sus redes corporativas utilizando el IP, IPX, NetBEUI, etc. En contraste, los protocolos de tunneling de nivel 3, como el modo de túnel IPSec, normalmente dan soporte sólo a redes objetivo que utilizan el protocolo IP. Protocolo de punto a punto (PPP) # Debido a que los protocolos de nivel 2 dependen demasiado de las funciones originalmente especificadas para el PPP, vale la pena examinar este protocolo más a fondo. El PPP fue diseñado para enviar datos a través de conexiones de punto a punto de marcación o dedicadas. El PPP encapsula # Topic4 Documento sobre el Microsoft Windows NT Server 9 paquetes de IP, IPX, y NetBEUI dentro de las tramas del PPP, y después los transmite a través de un enlace de punto a punto. El PPP se utiliza entre un cliente de marcación y un NAS. Existen cuatro fases distintas de negociación en una sesión de marcación de PPP. Cada una de estas cuatro fases debe completarse satisfactoriamente antes de que la conexión de PPP esté lista para transferir los datos del usuario. Estas fases se explican a continuación. Fase 1: Establecimiento del enlace de PPP El PPP utiliza un protocolo de control de enlace (LCP) para establecer, mantener y terminar la conexión física. Durante la fase del LCP, se seleccionan las opciones de comunicación básica. Tome en cuenta que durante la fase de establecimiento del enlace (fase 1), se seleccionan los protocolos de autenticación, pero no se implementan realmente hasta la fase de autenticación de conexión (fase 2). En la misma forma, durante el LCP se toma una decisión como si dos compañeros negociaran el uso de la compresión y/o codificación. La selección real de los algoritmos de comprensión/codificación y otros detalles toma lugar durante la fase 4. Fase 2: Autenticación de usuarios En la segunda fase, la PC de cliente presenta las credenciales del usuario para el servidor de acceso remoto. Un esquema seguro de autenticación proporciona protección contra ataques de contestación e imitación de clientes remoto. (Un ataque de reproducción ocurre cuando una tercera parte monitorea una conexión exitosa y utiliza los paquetes capturados para reproducir la respuesta del cliente remoto y lograr así una conexión autentificada. La imitación de cliente remoto ocurre cuando una tercera parte toma control de una conexión autentificada. El intruso espera hasta que la conexión haya sido autentificada y después atrapa los parámetros de conversación, desconecta al usuario auténtico y se apodera de la conexión autenticada.) La mayoría de las implementaciones del PPP proporcionan métodos limitados de autenticación, normalmente el protocolo de autenticación de contraseñas (PAP), el protocolo de autenticación de intercambio de señales de reconocimiento (CHAP), y el Microsoft Challenge Handshake Authentication Protocol (MSCHAP). Documento del Microsoft Windows NT Server 10 • Protocolo de autenticación de contraseñas (PAP). El PAP es un esquema simple de autenticación de texto claro. El NAS solicita el nombre y contraseña del usuario, y el PAP los regresa en texto claro (no codificado). Obviamente, este esquema de autenticación no es seguro porque una tercera parte puede capturar el nombre y la contraseña del usuario, y utilizarlos para obtener acceso subsecuente al NAS y a todos los recursos proporcionados por el mismo. El PAP no proporciona protección contra los ataques de reproducción o las imitaciones de cliente remoto, una vez que la contraseña del usuario ha sido violada. • Protocolo de autenticación de intercambio de señales de reconocimiento (CHAP). El CHAP es un mecanismo de autenticación codificado que evita la transmisión de la contraseña real a través de la conexión. El NAS envía una señal de reconocimiento al cliente remoto, que consiste de una ID de sesión y de una cadena de reconocimiento arbitraria. El cliente remoto debe utilizar el algoritmo unidireccional de hashing MD5 para regresar el nombre del usuario y una codificación de la señal de reconocimiento, ID de sesión y de la contraseña del cliente. El nombre del usuario se envía sin hashing. Dispositivo de autenticación Cliente w Reto Respuesta Señal de reconocimiento = ID de sesión, cadena de reconocimiento spuesta = MD5 Hash(ID de Session, cadena de reconocimiento, contraseña del usuario Figura 6. El proceso CHAP CHAP es una mejora del PAP ya que la contraseña del texto claro no se envía a través del enlace. En lugar de eso, la contraseña se utiliza para crear un hash codificado a partir de la señal de reconocimiento original. El servidor sabe la contraseña del texto claro del cliente y, por lo tanto, replica la operación y compara el resultado con la contraseña enviada en la respuesta del cliente. CHAP protege en contra de los ataques de reproducción utilizando una cadena de reconocimiento arbitraria para cada intento de autenticación. CHAP protege en contra del la imitación de clientes remotos al enviar impredeciblemente señales de reconocimiento repetidas al cliente remoto durante la conexión. • Documento sobre el Microsoft Windows NT Server Microsoft Challenge-Handshake Authentication Protocol (MSCHAP). MS-CHAP es un mecanismo de autenticación codificado muy similar al CHAP. Como en el CHAP, el NAS envía al cliente remoto una señal de reconocimiento, que consiste de una ID de sesión y de una cadena de reconocimiento arbitraria. El cliente remoto debe regresar el nombre del usuario y un hash MD4 de la cadena de reconocimiento, la ID de sesión y de la contraseña con hash MD4. Este diseño, que manipula un hash del hash MD4 de la contraseña, proporciona un nivel adicional de seguridad porque permite que el servidor almacene contraseñas con hash en lugar de contraseñas de texto claro. MS-CHAP también proporciona códigos de error adicionales, incluyendo un código de expiración de contraseña, y mensajes adicionales codificados de cliente-servidor que permiten que los usuarios cambien sus contraseñas. En la implementación de Microsoft del MS-CHAP, el cliente y el NAS generan independientemente una clave inicial para lograr una codificación subsecuente de los datos a través del MPPE. El último punto es muy importante, ya que explica por qué la autenticación de MS-CHAP se requiere a fin de lograr la codificación de datos basados en el MPPE. 11 Durante la fase 2 de la configuración del enlace del PPP, el NAS reúne los datos de autenticación y después los valida con base en su propia base de datos de usuarios o basándose en un servidor central de base de datos de autenticación, como el que mantiene el Windows NT Primary Domain Controller (PDC) o un servidor de servicio de autenticación remota de usuario de marcación (RADIUS). Fase 3: Control de retorno de llamada de PPP La implementación de Microsoft del PPP incluye una fase opcional de control de retorno de llamada. Esta fase utiliza el protocolo de control de retorno de llamada (CBCP) inmediatamente después de la fase de autenticación. Si la configuración es para retorno de llamada, después de la autenticación el cliente remoto y el NAS se desconectan. Después, el NAS llama otra vez al cliente remoto a un número telefónico especificado. Esto proporciona un nivel adicional de seguridad para las redes de marcación. El NAS permitirá conexiones de clientes remotos que residen físicamente sólo en números telefónicos específicos. Fase 4: Invocación de protocolos de nivel de red Una vez que se han completado las fases anteriores, el PPP invoca los numerosos protocolos de control de red (NCP) que fueron seleccionados durante la fase de establecimiento del enlace (fase 1) para configurar los protocolos utilizados por el cliente remoto. Por ejemplo, durante esta fase el protocolo de control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación. En la implementación de Microsoft del PPP, el protocolo de control de compresión se utiliza para negociar la compresión de datos (utilizando el MPPC) y la codificación de datos (utilizando el MPPE) por la simple razón de que ambas se implementan en la misma rutina. Fase de transferencia de datos Una vez que se han completado las cuatro fases de negociación, el PPP empieza a transmitir los datos para y desde las dos partes. Cada paquete de datos transmitido se encapsula en un encabezado de PPP que es eliminado por el sistema receptor. Si la compresión de datos se seleccionó en la fase 1 y se negoció en la fase 4, los datos serán comprimidos antes de la transmisión. Si la codificación de datos se seleccionó y negoció en forma similar, los datos se abrirán (comprimidos opcionalmente) serán codificados antes de la transmisión. Protocolo de tunneling de punto a punto (PPTP) # PPTP es un protocolo de nivel 2 que encapsula las tramas de PPP en datagramas de IP para transmitirlas a través de una red interna de IP, como Internet. Así mismo, el PPTP puede utilizarse en operaciones en red privada de LAN a LAN. # Topic5 Documento del Microsoft Windows NT Server 12 PPTP se documenta en el borrador RFC, “Protocolo de túnel de punto a punto” (pptp-draft-ietf -ppext - pptp - 02.txt) . Este borrador fue presentado a la IETF en junio de 1996 por las compañías pertenecientes al foro PPTP, incluyendo a Microsoft Corporation, Ascend Communications, 3Com/Primary Access, ECI Telematics, y US Robotics (ahora 3Com). Nota: Los documentos preliminares sobre Internet deberán considerarse como trabajos en desarrollo. Para obtener copias de los documentos preliminares sobre Internet, vea http://www.ietf.org. El protocolo de túnel de punto a punto (PPTP) utiliza una conexión de TCP para el mantenimiento del túnel y las tramas de PPP encapsuladas con encapsulación de enrutamiento genérico (GRE) destinadas a los datos en el túnel. Las cargas de pago de las tramas de PPP encapsuladas pueden codificarse y/o comprimirse. La figura 7 muestra como un paquete de PPTP se ensambla antes de su transmisión. La figura muestra el cliente de marcación que crea un túnel a través de una red interna. El esquema final de la trama muestra la encapsulación para un cliente de marcación (controlador de dispositivo de PPP). Documento sobre el Microsoft Windows NT Server 13 Remote Client Cliente remoto Application Aplicación Pila de TCP/IP Stack TCP/IP Software PPTP de PPTP Software User Datos delData usuario IP TCP UDP DatosUser del Data usuario GRE PPP IP TCP UDP DatosUser del Data usuario Optionally compressed and Opcionalmente comprimidos y encrypted codificados Pila de TCP/IP TCP/IP Stack IP UDP PPP IP TCP UDP User Datos delData usuario Optionally compressed and yencrypted Opcionalmente comprimidos codificados PPP Controlador de Device Dispositivo de PPP Driver PPP IP UDP PPP IP TCP UDP User Datos delData usuario Optionally compressed and encrypted Opcionalmente comprimidos y codificados Network Access Server Servidor de acceso a red Tunnel Internetwork Red interna de túnel Tunnelde Server Servidor túnel Red objetivo Target Network Figura 7. Construcción de un paquete de PPTP Transmisión de nivel 2 (L2F) # L2F, una tecnología propuesta por Cisco, es un protocolo de transmisión que permite a los servidores de acceso por marcación estructurar el tráfico de marcación en un PPP y transmitirlo a través de enlaces WAN a un servidor L2F (un enrutador). Después, el servidor L2F “abre” los paquetes y los transmite a través de la red. A diferencia del PPTP y del L2TP, el L2F no tiene un cliente definido. Asimismo, recuerde que el L2F sólo funciona en túneles obligatorios. (Para un análisis detallado de túneles voluntarios y obligatorios, vea la sección, “Tipos de túneles” más adelante en este documento.) # Topic6 Documento del Microsoft Windows NT Server 14 Protocolo de tunneling de nivel 2 (L2TP) # L2TP es una combinación del PPTP y del L2F. Sus diseñadores esperan que el L2TP represente las mejores características del PPTP y del L2F. L2TP es un protocolo de red que encapsula las tramas de PPP para enviarlas a través de redes de IP, X.25, Relé de trama o de modo de transferencia asíncrona (ATM). Cuando se configura para utilizar el IP y su transporte de datagrama, el L2TP puede utilizarse como un protocolo de túnel a través de Internet. L2TP también puede utilizarse directamente a través de varios medios de WAN media (como el relé de trama) sin un nivel de transporte de IP. El 2TP se documenta en el borrador RFC, protocolo de tunneling de nivel 2 “L2TP” (draft-ietf-pppext-l2tp-09.txt). Este documento fue presentado a la IETF en enero de 1998. Nota: Los documentos preliminares sobre Internet deberán considerarse como trabajos en desarrollo. Para obtener copias de los documentos preliminares sobre Internet, vea http://www.ietf.org. El L2TP a través de redes internas de IP utiliza el UDP y una serie de mensajes L2TP para mantener el túnel. El L2TP también utiliza al UDP para enviar tramas de PPP encapsuladas L2TP como los datos en el túnel. Las cargas de pago de las tramas de PPP encapsuladas pueden codificarse y/o comprimirse. La figura 8 muestra como un paquete de L2TP se ensambla antes de su transmisión. La figura muestra un cliente de marcación que crea un túnel a través de una red interna. El esquema final de la trama muestra la encapsulación para un cliente de marcación (controlador de dispositivo de PPP). La encapsulación asume que el L2TP se transmite a través del IP. # Topic7 Documento sobre el Microsoft Windows NT Server 15 Remote Client Cliente remoto Aplicación Application DatosUser del Data usuario Pila de TCP/IP TCP/IP Stack IP TCP UDP L2TP de Software Software L2TP UDP PPP User Datos del Data usuario IP TCP UDP DatosUser del usuario Data Optionally compressed and yencrypted Opcionalmente comprimidos codificados Pila de TCP/IP Stack TCP/IP IP UDP PPP IP TCP UDP DatosUser del Data usuario Optionally compressed and encrypted Opcionalmente comprimidos y codificados PPP Controlador de Device dispositivo de PPP Driver PPP IP UDP PPP IP TCP UDP Datos delData usuario User Optionally compressed andyencrypted Opcionalmente comprimidos codificados Network Access Server Servidor de acceso a red Tunnel Internetwork Red interna de túnel Tunnel Server Servidor de túnel Target Network Red objetivo Figura 8. Construcción de un paquete de L2TP Comparación del PPTP y del L2TP El PPTP y el L2TP utilizan el PPP para proporcionar un sobre inicial para datos, y después utilizan encabezados adicionales para transmitirlos a través de la red interna. Los dos protocolos son muy similares. Sin embargo, existen diferencias entre el PPTP y el L2TP: Documento del Microsoft Windows NT Server 16 • El PPTP requiere que la red interna sea una red interna de IP. El L2TP requiere únicamente que el medio de túnel proporcione conectividad de punto a punto orientada a paquetes. El L2TP puede utilizarse a través del IP (utilizando el UDP), de circuitos virtuales permanentes de Relé de trama (PVC), circuitos virtuales X.25 (VC), o VC de ATM. • El PPTP sólo puede dar soporte a un solo túnel entre puntos finales. L2TP permite el uso de túneles múltiples entre puntos finales. Con el L2TP, usted puede crear diferentes túneles para diferentes calidades de servicio. • L2TP proporciona compresión de encabezados. Cuando la compresión de encabezados se habilita, el L2TP opera con 4 bits de sobrecarga en comparación con los 6 bits del PPTP. • El L2TP proporciona autenticación de túnel, mientras el PPTP no. Sin embargo, cuando se utiliza cualquiera de los protocolos a través de la IPSec, este proporciona la autenticación de túnel para que no sea necesaria la autenticación de túnel de nivel 2. Modo de túnel de seguridad de protocolo de Internet (IPSec) # La IPSec de protocolo de nivel 3 que da soporte a la transferencia segura de información a través de una red interna de IP. La IPSec en su totalidad se describe a detalle en la sección seguridad avanzada a continuación. Sin embargo, existe un aspecto de la IPSec que debe analizarse en el contexto de protocolos de tunneling. Además de definir los mecanismos de codificación para el tráfico de IP, la IPSec define el formato de un paquete para un IP a través del modo de túnel de IP, generalmente denominado como modo de túnel de IPSec. Un túnel de IPSec consta de un cliente de túnel y de un servidor de túnel, los cuales se configuran para utilizar la transmisión en túnel de IPSec y un mecanismo de codificación negociado. El modo de túnel de IPSec utiliza el método de seguridad negociada (si es que hay alguna) para encapsular y codificar todos los paquetes de IP con el fin de lograr una transferencia segura a través de las redes internas de IP públicas o privadas. Después, la carga de pago codificada se encapsula de nuevo en un encabezado de IP de texto plano, y se envía a través de la red interna para que lo reciba el servidor de túnel. Después de recibir este datagrama, el servidor de túnel procesa y descarta el encabezado de IP de texto plano y después decodifica su contenido para recuperar el paquete original de IP de carga de pago. Posteriormente, el paquete de IP de carga de pago es procesado normalmente y enrutado a su destino en la red objetivo. El modo de túnel de IPSec tiene las siguientes funciones y limitaciones: • Sólo da soporte a trafico de IP. • Funciona en el nivel inferior de la pila de IP, por lo tanto las aplicaciones y los protocolos de nivel superior heredan su comportamiento. • Es controlado por una política de seguridad un conjunto de reglas de correspondencia de filtros. Esta política de seguridad establece por orden de preferencia los mecanismos de codificación y de transmisión en túnel disponibles, así como los métodos de autenticación, también por orden de preferencia. Tan pronto como se genere tráfico, las dos máquinas realizan la autenticación mutua y después negocian los métodos de codificación que se utilizarán. Después, todo el tráfico es codificado # Topic8 Documento sobre el Microsoft Windows NT Server 17 utilizando el mecanismo de codificación negociado y después “se envuelve” en un encabezado de túnel. Para mayor información de la IPSec, consulte la sección, “seguridad avanzada”, posteriormente en este documento. Tipos de túnel # Los túneles pueden crearse en diferentes formas. • Túneles voluntarios. Una computadora de usuario o de cliente puede emitir una solicitud de VPN para configurar y crear un túnel voluntario. En este caso, la computadora del usuario es un punto final de túnel y actúa como el cliente de túnel. • Túneles obligatorios. Un servidor de acceso por marcación capaz de VPN configura y crea un túnel obligatorio. Con un túnel obligatorio, la computadora del usuario no es un punto final de túnel. Otro dispositivo, el servidor de acceso remoto entre la computadora del usuario y el servidor de túnel, es el punto final de túnel y actúa como el cliente de túnel. Hasta la fecha, los túneles voluntarios están probando ser el tipo de túnel más popular. Las siguientes secciones describen con mayor detalle estos tipos de túneles. Tunneling voluntaria La tunneling voluntaria se presenta cuando una estación de trabajo o un servidor de enrutamiento utiliza el software de cliente de túnel para crear una conexión virtual al servidor de túnel objetivo. A fin de lograr esto, debe instalarse el protocolo adecuado de túnel en la computadora de cliente. Para los protocolos que se describen en este documento, los túneles voluntarios requieren una conexión de IP (ya sea a través de una LAN o de marcación). En una situación de marcación, el cliente debe establecer una conexión de marcación con la red interna antes de que puede establecer un túnel. Este es el caso más común. El mejor ejemplo de esto es el usuario de Internet por marcación, quien debe marcar un ISP y obtener una conexión de Internet antes de que pueda crearse un túnel a través de Internet. Para una PC conectada a una LAN, el cliente ya tiene una conexión con la red interna que puede proporcionar enrutamiento de cargas de pago encapsuladas al servidor de túnel de LAN seleccionado. Este sería el caso para un cliente de una LAN corporativa que inicia un túnel para llegar a una subred privada o escondida en la misma LAN (como la red de recursos humanos que se comentó anteriormente). Es un error común pensar que las VPN requieren una conexión de marcación. Sólo requieren una red de IP. Algunos clientes (como las PC centrales) utilizan conexiones de marcación para Internet, con el fin de # Topic9 Documento del Microsoft Windows NT Server 18 establecer un transporte de IP. Este es un paso preliminar en la preparación para crear un túnel, y no es parte del protocolo de túnel en sí. Tunneling obligatorio Algunos de los distribuidores que venden servidores de acceso de marcación han implementado la capacidad de crear un túnel a nombre de un cliente de marcación. La computadora o dispositivo de red que proporciona el túnel para la computadora de cliente se conoce como procesador centra (FEP) en PPTP, un concentrador de acceso L2TP (LAC) en L2TP, o una central internacional de seguridad de IP en IPSec. Para los fines de este documento, el término FEP se utilizará para describir esta funcionalidad, sin importar el protocolo de tunneling. Para llevar a cabo su función, el FEP debe tener instalado el protocolo adecuado de tunneling y ser capaz de establecerlo cuando se conecte la computadora de cliente. Cliente de marcación Cliente de túnel Servidor de túnel Internet Conexión de PPP ISP FEP Túnel intranet Figura 9. Tunneling obligatoria En el ejemplo de Internet, la computadora de cliente realiza una llamada de marcación a un NAS con una tunneling habilitada en el ISP. Por ejemplo, una corporación pudo haber contratado un ISP para instalar un conjunto nacional de FEP. Estos FEP pueden establecer túneles a través de Internet a un servidor de túnel conectado a la red privada de la corporación, por lo tanto, consolidando las llamadas de zonas geográficas diversas en una sola conexión a Internet en la red corporativa. Esta configuración se conoce como “tunneling obligatoria” porque el cliente está obligado a utilizar el túnel creado por el FEP. Una vez que se hace la conexión inicial, todo el tráfico de red que entra y sale del cliente se envía automáticamente a través del túnel. Con la tunneling obligatoria, la computadora de cliente hace una sola conexión de PPP, y cuando un cliente marca al NAS, se crea un túnel y todo el tráfico se enruta automáticamente a través del mismo. Un FEP puede configurarse para todos los clientes de marcación de túnel a un servidor de túnel específico. En forma alterna, el FEP podría conectar un túnel a clientes individuales con base en su nombre de usuario o destino. A diferencia de los túneles separados creados para cada cliente voluntario, un túnel entre el FEP y el servidor de túnel puede ser compartido por clientes múltiples de marcación. Cuando un segundo cliente marca al servidor de acceso (FEP) con el fin de llegar a un destino para el cual ya existe un túnel, no hay necesidad de crear una nueva instancia del túnel entre el FEP y el Documento sobre el Microsoft Windows NT Server 19 servidor de túnel. En lugar de ello, el tráfico de datos para el nuevo cliente se transmite a través del túnel existente. Ya que puede haber clientes múltiples en un solo túnel, el túnel no termina hasta que el último usuario del túnel se desconecte. Funciones de seguridad avanzada # Debido a que Internet facilita la atracción de VPN desde cualquier lugar, las redes necesitan funciones de alta seguridad para evitar el acceso indebido a las redes privadas y proteger los datos privados a medida que pasan por una red pública.. La autenticación de usuarios y la codificación de datos ya se han analizado. Esta sección proporciona un análisis breve de las capacidades más sólidas de autenticación y codificación que estarán disponibles con el EAP y la IPSec. Empezaremos con una descripción general de la codificación de claves públicas y de los certificados basados en claves públicas ya que jugarán un papel importante en las nuevas funciones de seguridad de EAP y de IPSec que se encuentran ahora en desarrollo gracias a Microsoft y a otros proveedores de software. Codificación simétrica vs. Codificación asimétrica (claves privadas vs. Claves públicas) # La codificación simétrica, o claves privadas (también conocida como codificación convencional, se basa en una clave secreta que es compartida por ambas partes de la comunicación. La parte que envía utiliza la clave secreta como parte de la operación matemática para codificar (o cifrar) texto plano en texto codificado. La parte receptora utiliza la misma clave secreta para decodificar (o descifrar) el texto codificado en texto plano. Ejemplos de esquemas de codificación simétrica son el algoritmo RC4 de RSA (que proporciona la base para la Microsoft Point-to-Point Encryption (MPPE), el estándar de codificación de datos (DES), el algoritmo internacional de codificación de datos (IDEA), y la tecnología de codificación Skipjack propuesta por el gobierno de los Estados Unidos (e implementada en el chip Clipper). La codificación asimétrica o claves públicas utilizan dos diferentes claves para cada usuario: una es una clave privada conocida sólo para un usuario. La otra es una clave pública correspondiente, que es accesible a cualquiera .Las claves privada y pública están matemáticamente relacionadas por el algoritmo de codificación. Una clave se utiliza para codificación y la otra para decodificar, dependiendo de la naturaleza del servicio de comunicaciones que se está implementando. Además, las tecnologías de codificación de claves públicas permiten que firmas digitales se coloquen en los mensajes. Una firma digital utiliza la clave privada del que envía el mensaje para codificar parte del mismo. Cuando el mensaje es recibido, el receptor utiliza la clave pública del transmisor para # topic3a # Topic10 Documento del Microsoft Windows NT Server 20 descifrar la firma digital como una forma de verificar la identidad del transmisor. Certificados # Con la codificación simétrica, el transmisor y el receptor tienen una clave secreta compartida. La distribución de la clave secreta debe hacerse (con protección adecuada) antes de cualquier comunicación codificada. Sin embargo, con la codificación asimétrica el transmisor utiliza una clave privada para codificar o firmar digitalmente mensajes, mientras que el receptor utiliza una clave pública para descifrar estos mensajes. La clave pública puede distribuirse libremente a cualquiera que necesite recibir los mensajes codificados o con firma digital. El transmisor sólo necesita proteger cuidadosamente la clave privada. Para asegurar la integridad de la clave pública, este se publica con un certificado Un certificado (o certificado de clave pública) es una estructura de datos que es firmada digitalmente por una autoridad de certificación (CA): una autoridad en que los usuarios del certificado pueden confiar El certificado contiene una serie de valores, como el nombre y uso del certificado, información que identifica al propietario de la clave pública, la clave pública en sí, una fecha de expiración y el nombre de la utilidad de certificación. La CA utiliza su clave privada para firmar el certificado. Si el receptor conoce la clave pública de la autoridad de certificación, entonces puede verificar que el certificado es en realidad de la CA confiable y, por lo tanto, contiene información segura y una clave pública válida. Los certificados pueden distribuirse electrónicamente (a través del acceso a la Web o correo electrónico) en tarjetas pequeñas o en discos flexibles. En resumen, los certificados de clave pública proporcionan un método confiable conveniente para verificar la identidad de un transmisor. IPSec puede utilizar opcionalmente este método para autenticación de extremo a extremo. Los servidores de acceso remoto pueden utilizar los certificados de clave pública para la autenticación de usuarios, tal y como se describe en la siguiente sección, “Seguridad de nivel de operaciones (EAP-TLS)”. Protocolo de autenticación extensible (EAP) # Como se mencionó anteriormente en este documento, la mayoría de las implementaciones del PPP proporcionan métodos de autenticación muy limitados. EAP es una extensión propuesta por la IETF para el PPP que permite que los mecanismos de autenticación arbitraria se utilicen para la validación de una conexión de PPP. EAP fue diseñado para permitir la adición dinámica de módulos de conexión de autenticación en ambos extremos de clientes y de servidor de una conexión. Esto permite que los distribuidores provean un nuevo esquema de autenticación en cualquier momento. EAP proporciona la flexibilidad más alta en particularidad y variación de autenticación. # Topic11 # Topic12 Documento sobre el Microsoft Windows NT Server 21 EAP será implementado en Microsoft® Windows NT® 5.0. Seguridad de nivel de operaciones (EAP-TLS) EAP-TLS ha sido presentada a la IETF como una propuesta preliminar para un método sólido de autenticación basado en certificados de claves públicas. Con la EAP-TLS, un cliente presenta un certificado de usuario al servidor de marcación, al tiempo que el servidor presenta un certificado de servidor al cliente. El primero proporciona autenticación sólida de usuario al servidor y el segundo certeza de que el usuario ha contactado el servidor que esperaba. Ambos sistemas se basan en una cadena de autoridades confiables para verificar la validez del certificado ofrecido. El certificado el usuario puede almacenarse en la PC de cliente de marcación o en una tarjeta inteligente externa En cualquier caso, el certificado no puede ser accesado sin alguna forma de identificación de usuario (número de PIN o intercambio de nombre/contraseña) entre el usuario y la PC del cliente. Este enfoque cumple con los criterios “algo que se sabe más algo que se tiene” recomendados por la mayoría de los expertos de seguridad. La EAP-TLS es el método específico de EAP que será implementado en Windows NT 5.0. Como el MS-CHAP, la EAP-TLS regresará una clave de codificación para permitir que el MPPE codifique datos subsecuentes. Seguridad de IP (IPSec) # La seguridad de protocolo de Internet (IPSec) fue diseñada por la IETF como un mecanismo de extremo a extremo para asegurar la confiabilidad de los datos en comunicaciones basadas en IP. IPSec ha sido definida en una serie de RFC, especialmente, los RFC 1825, 1826, y 1827, que definen la arquitectura general, un encabezado de autenticación para verificar la integridad de los datos, y una carga de pago de seguridad encapsulación para la integridad y codificación de datos. La IPSec define dos funciones que aseguran la confidencialidad: la codificación e integridad de datos. Tal y como define la fuerza de ingeniería de Internet, la IPSec utiliza un encabezado de autenticación (AH) para proporcionar autenticación de fuentes e integridad sin codificación, y la carga de pago de seguridad encapsulada (ESP) para autentificar e integrar junto con codificación. Con la seguridad de IP sólo el transmisor y el receptor saben la clave de seguridad. Si los datos de autenticación son válidos, el receptor sabe que las comunicaciones provienen del transmisor, y que no hubo cambio alguno en su transferencia. La IPSec puede considerarse como un nivel debajo de la pila de TCP/IP. Este nivel es controlado por una política de seguridad en cada máquina y en una asociación de seguridad negociada entre el transmisor y el receptor. La política consta de un conjunto de filtros y comportamientos de seguridad asociados. Si la dirección de IP, protocolo y número de puerto de un paquete # Topic13 Documento del Microsoft Windows NT Server 22 concuerda con un filtro, entonces el paquete es sujeto al comportamiento de seguridad asociado. Asociación de seguridad negociada El primer paquete activa una negociación de una asociación de seguridad entre el transmisor y el receptor. ISAKMP/Oakley es el protocolo estándar para esta negociación. Durante un intercambio de ISAKMP/Oakley, las dos máquinas acuerdan los métodos de autenticación y seguridad de datos, realizan una autenticación mutua y después generan una clave compartida para la codificación de datos subsecuente. Después de que la asociación de seguridad ha sido establecida, la transmisión de datos puede proceder para cada máquina aplicando tratamiento de seguridad de datos a los paquetes que transmite al receptor remoto. El tratamiento puede simplemente asegurar la integridad de los datos transmitidos o puede codificarlos también. Estas opciones se analizan a continuación. Encabezado de autenticación La integridad y autenticación de datos para las cargas de pago de IP pueden proporcionarse por un encabezado de autenticación localizado entre el encabezado de IP y el encabezado de transporte. El encabezado de autenticación incluye datos de autenticación y un número de secuencia, que en conjunto se utilizan para verificar al transmisor, asegurar que el mensaje no ha sido modificado mientras que transmitía y evitar un ataque de reproducción. El encabezado de autenticación de IPSec no proporciona codificación de datos codificación de datos; mensajes de texto claro pueden enviarse y el encabezado de autenticación asegura que se originen de un usuario específico y que no se modifiquen mientras se transmiten. Encabezado de seguridad de encapsulación Para la confiabilidad de los datos y su protección contra captura de terceras partes, la carga de pago de seguridad de encapsulación (ESP) proporciona un mecanismo para codificar la carga de pago de IP. ESP también proporciona servicios de autenticación e integridad de datos; por lo tanto, los encabezados de EPS son una alternativa para los encabezados de AH en los paquetes de IPSec. Administración de usuarios # Al seleccionar una tecnología de VPN es importante considerar los aspectos administrativos. Las redes grandes necesitan almacenar información de # topic4a Documento sobre el Microsoft Windows NT Server 23 directorio por usuario en un almacén de datos centralizado, o servicio de directorio, para que los administradores y las aplicaciones puedan agregarse, modificarse o solicitar esta información. Cada acceso o servidor de túnel debería mantener su propia base de datos interna de propiedades por usuario, como nombres, contraseñas y atributos de autorizaciones de marcación. Sin embargo, debido a que administrativamente no se puede dar soporte para mantener cuentas múltiples de usuario en servidores múltiples, y mantenerlos simultáneamente actualizados , la mayoría de los administradores establecen una base de datos de cuentas maestras en el servidor de directorio o controlador de dominio principal, o en servidor de RADIUS. Soporte en el RAS # El Microsoft Remote Access Server (RAS) está diseñado para funcionar con información individual de usuario almacenada en el controlador de dominio o en un servidor de RADIUS. Utilizar un controlador de dominio simplifica la administración del sistema porque los permisos de marcación son un subconjunto de la información por usuario que el administrador ya administra en una sola base de datos. Microsoft RAS se diseñó originalmente como un servidor de acceso para los usuarios de marcación. Así mismo, el RAS es un servidor para las conexiones de PPTP y L2TP. (El L2TP soporte a se agregará en el Windows NT Server versión 5.0.) Consecuentemente, estas soluciones de VPN de nivel 2 heredan toda la infraestructura de administración que ya existe en las redes de marcación. En Windows NT 5.0, el RAS aprovechará los nuevos servicios de directorio, una base de datos replicada que abarca a toda una empresa y que se basa en el protocolo ligero de acceso a directorio (LDAP). El LDAP es un protocolo estándar en la industria para accesar servicios de directorio y fue desarrollado como una alternativa más simple al protocolo DAP X.500. El LDAP es extensible, independiente del distribuidor y se basa en los estándares. Esta integración con el DS permitirá que un administrador asigne una variedad de propiedades de conexión para sesiones de marcación o de VPN destinadas a usuarios individuales o grupos. Estas propiedades pueden definir los filtros por usuario, la autenticación requerida o los métodos de codificación, las limitaciones de hora, del día, etc.. Escalabilidad # La redundancia y el equilibrio de carga se logra utilizando un DNS de “redondo” para dividir las solicitudes entre un número de servidores de túnel de VPN que comparten un perímetro de seguridad común. Un perímetro de seguridad tiene un nombre de DNS externo, por ejemplo, vpnx.support bigcompany.com, sin embargo numerosas direcciones de IP y cargas se distribuyen aleatoriamente a través de todas las direcciones de IP. Todos los servidores pueden autenticar las solicitudes de acceso con base en una base # Topic14 # Topic15 Documento del Microsoft Windows NT Server 24 de datos compartida, como el Windows NT Domain Controller. Recuerde que las bases de datos de dominio Windows NT se replican por diseño. RADIUS # El protocolo de servicio de autenticación de usuario remoto de marcación (RADIUS) es un método popular para administrar la autenticación y autorización de usuarios remotos. RADIUS es un protocolo muy ligero basado en el UDP. Los servidores de RADIUS pueden localizarse en cualquier lugar de Internet y proporcionan autenticación (incluyendo PPP PAP, CHAP, MSCHAP y EAP) para su NAS de cliente. Además, los servidores de RADIUS pueden proporcionar un servicio proxy para transmitir las solicitudes de autenticación a servidores distantes de RADIUS. Por ejemplo, muchos ISP se han asociado para permitir que los suscriptores móviles utilicen los servicios locales de el ISP más cercano con el fin de obtener acceso por marcación a Internet y a las redes privadas virtuales a nivel global. Estas “alianzas para usuarios móviles” aprovechan el servicio proxy RADIUS. Si un ISP reconoce un nombre de usuario como el de un suscriptor a una red remota, el ISP utiliza un proxy de RADIUS para transmitir la solicitud de acceso a la red apropiada. El resultado e s una solución eficiente de recursos externos donde la corporación conserva sus derechos de autorización al tiempo que se utiliza la infraestructura del proveedor de servicio para minimizar los costos de infraestructura. Contabilidad, auditoría y alarmas # Para administrar adecuadamente un sistema de VPN, los administradores de redes deben poder monitorear quién utiliza el sistema y cuántas conexiones se hacen, las actividades inusuales, las condiciones de error y situaciones que puedan indicar la falla del equipo o un fraude en la red. La información registrada y de tiempo real puede utilizarse para facturación, auditorías y para fines de alarmas o notificación de errores. Por ejemplo, un administrador puede necesitar saber quien se conectó al sistema y por cuánto tiempo a fin de desarrollar datos de facturación. Actividades inusuales pueden indicar un uso indebido del sistema o recursos inadecuados del mismo. El monitoreo de tiempo real del equipo (por ejemplo, actividad inusualmente alta en un módem y no actividad en otro) puede generar alertas para notificar al administrador de una falla del módem o de un abuso del sistema. El servidor de túnel debe proporcionar toda esta información y el sistema proporcionar bitácoras de eventos, reportes y una facilidad de almacenamiento de datos para manejarlos adecuadamente. Microsoft Windows NT 4.0 proporciona soporte de contabilidad, auditoría y notificación de errores en el RAS. # Topic16 # topic5a Documento sobre el Microsoft Windows NT Server 25 El protocolo de RADIUS define una serie de solicitudes de contabilidad de llamadas que son independientes de las de autenticación que hemos analizado anteriormente. Estos mensajes del RAS al servidor de RADIUS solicitan a este último generar registros de contabilidad al inicio de una llamada al final de la misma y a intervalos predeterminados. Windows NT Server 5.0 generará nativamente estas solicitudes de contabilidad del RADIUS a partir de las solicitudes de autenticación de acceso (que podrían ir al controlador de dominio o al servidor de RADIUS). Esto permitirá que un administrador configure un servidor de RADIUS de contabilidad donde el RADIUS se utilice o no para autenticación. Un servidor de contabilidad entonces puede reunir registros para cada conexión de VPN con fines de planeación de capacidad, auditoría, facturación y análisis. Un número de terceras partes ya han desarrollado paquetes de facturación y auditoría que leen estos registros de contabilidad de RADIUS y producen múltiples reportes útiles. Conclusión # Como se explicó en este documento, los servicios nativos de VPN Windows permiten a los usuarios o a las corporaciones conectarse en forma segura y confiable a los servidores remotos, a las sucursales o a otras compañías a través de redes públicas y privadas. En todos los casos, la conexión segura cruzada aparece ante el usuario como una comunicación de red privada, sin importar el hecho de que esta comunicación se genere a través de una red interna pública. La tecnología VPN Windows está diseñada para cubrir aspectos relacionados con la tendencia actual comercial hacia las comunicaciones remotas y a las operaciones globales ampliamente distribuidas, donde los empleados deben poder conectarse recursos centrales y las empresas comunicarse unas con otras en forma eficiente. Este documento proporciona una descripción general de las redes privadas virtuales y describe los requerimientos básicos de tecnologías útiles de VPN: autenticación de usuarios, administración de direcciones, codificación de datos, administración de claves y soporte a protocolos múltiples. Analiza cómo los protocolos de nivel 2, específicamente el PPTP y el L2TP, cumplen estos requerimientos, y cómo la IPSec (un protocolo de nivel 3) los cumplirá en el futuro. Cada solución de VPN necesita cubrir los aspectos tecnológicos mencionados anteriormente y proporcionar la flexibilidad para satisfacer necesidades empresariales como la interoperabilidad entre redes, la integración rica de aplicaciones y la transparencia de infraestructuras. Las decisiones organizaciones de infraestructura necesitan hacerse en tal forma que se otorgue acceso al cliente a conexiones locales y se le brinde utilización de la red en una manera transparente para impulsar la economía y productividad. A utilizar un sistema operativo de red con funciones completas en sistemas abiertos estándar, las organizaciones pueden proporcionar comunicaciones confiables en una forma fácil, segura y económica, así como brindar una infraestructura de red más programable para enfrentarse a los retos del mañana. # topic6a Documento del Microsoft Windows NT Server 26 Para obtener mayores Informes: # Para mayor información sobre las soluciones de comunicaciones Windows, consulte nuestro World Wide Web site http://www.microsoft.com/communications// o el Windows NT Server Forum en Microsoft Network (GO WORD: MSNTS). # Topic17 Documento sobre el Microsoft Windows NT Server 27