REDES PRIVADAS VIRTUALES
Carlos Castillo Calderon26/01/2012 1
Esquema WAN convencional Esquema WAN convencional
Oficina Principal
UsuarioIntinerante
OficinaRegional
Acceso desde el hogar
Lineas Privadas
Frame Relay
Lineas Privadas
Frame Relay
Oficina Estatal
RAS
Carlos Castillo Calderon26/01/2012 2
Redes WAN Clasicas: Nuevos Redes WAN Clasicas: Nuevos RetosRetos
Cambios en marchaCambios en marcha Añadir nuevos sitiosAñadir nuevos sitios Acceso a usuarios Acceso a usuarios
remotos via dial upremotos via dial up Conectividad a socios de Conectividad a socios de
negociosnegocios Costo de la infraestructu-Costo de la infraestructu-
ra y ancho de Bandara y ancho de Banda
FortalezasFortalezasUso dedicado.Uso dedicado.
Ancho de Banda predecibleAncho de Banda predecible
Seguridad definidaSeguridad definida
Ampliamente disponibleAmpliamente disponible
Carlos Castillo Calderon26/01/2012 3
Oficina Principal
Usuarios Intinerantes
Socios De
Negocios
?
Acceso desde el Hogar
Oficina Regional
Red Wan ClasicaRed Wan Clasica
Oficina Estatal
Oficinas Remotas y/o
Internacionales
?
?Miles ó cientos
de usuarios remotos
Redes WAN Clasicas: Ahora Redes WAN Clasicas: Ahora existen nuevos retosexisten nuevos retos
Carlos Castillo Calderon26/01/2012 4
• Que es una Red Privada Virtual ?
– Es una red de comunicaciones, construida para el uso privado de una
organización, sobre una infraestructura pública compartida.
– “Canales privados de comunicación que usan una red pública como el
transporte básico para conectar centros corporativos de datos, oficinas
remotas, empleados nomadas, empleados “caseros”, clientes , proveedores y
socios de negocio”.
– Una Red Privada Virtual es la emulación de una red privada sobre
infraestructura compartida. Carlos Castillo Calderon26/01/2012 5
Tipos de VPN´S
Provider VPNs:– VPN Dedicado: MPLS
Edge VPNs– Site to Site IPSEC– Client to Site IPSEC
Integrated VPNs– IPSEC dedicado – MPLS– IPSEC móvil – MPLS
Carlos Castillo Calderon26/01/2012 6
INTRODUCION A REDES VPN -MPLS
Carlos Castillo Calderon26/01/2012 7
• Una infraestructura de red IP capaz de entregar servicios privadosprivados de red con prioritizaciòn sobre una infraestructura publica (ISP)
VPN - MPLS
Carlos Castillo Calderon26/01/2012 8
Conceptos MPLS
• MPLS: Multi Protocol Label Switching
• Desarrollado para integrar redes IP y ATM
• El “forwardeo” de paquetes es realizado en base a etiquetas
Carlos Castillo Calderon26/01/2012 9
UNA VPN MPLS (VIRTUAL PRIVATE NETWORK) PERMITE CONECTIVIDAD DE MÚLTIPLES SITIOS A
TRAVÉS DE UNA RED COMPARTIDA, CON LOS MISMOS ATRIBUTOS QUE UNA RED PRIVADA
Red PúblicaRed Privada Red PúblicaRed PúblicaRed PúblicaRed Privada
Carlos Castillo Calderon26/01/2012 10
LAS REDES ESTÁN EVOLUCIONANDO HACIA IP QUE ES EL PROTOCOLO QUE HA DOMINANADO EN LAS REDES Y
APLICACIONES ( INTERNET, E-BUSINESS, E-MAIL, INTRANET, EXTRANET, B2B, B2C, VOIP )
Frame Relay / ATM
VPN MPLS
VPN IPSEC
MPLSMPLS
InternetInternet
Carlos Castillo Calderon26/01/2012 11
INTEGRA TODOS LOS SERVICIOS Y APLICACIONES EN UNA SOLA CONEXIÓN (VOZ, DATOS, VIDEO E INTERNET).
Video
Internet
Datos
Voz
Video
Datos
Voz
Internet
Carlos Castillo Calderon26/01/2012 12
MECANISMOS DE CALIDAD DE SERVICIO QOS QUE PERMITE DAR PRIORIDAD AL TRAFICO SENSIBLE AL RETRASO COMO
VOZ Y VIDEO O APLICACIONES DE MISIÓN CRÍTICA
Voz y Video
InternetDatos
Carlos Castillo Calderon26/01/2012 13
TECNOLOGIA VPN - MPLS
Core
Oficina Regional
Oficina Estatal
Oficina Corporativa
MPLS
Carlos Castillo Calderon26/01/2012 14
MPLS
México
VPN
AguascalientesMonterrey
VPN
INTERNET
TECNOLOGIA VPN - MPLS
Carlos Castillo Calderon26/01/2012 15
VPN - IPSEC
INTERNET
Carlos Castillo Calderon26/01/2012 16
IPSEC
- NO ES UN SOLO PROTOCOLO, ES UNA COLECCIÓN DE PROTOCOLOS ( MAS DE 40 ) DEFINIDOS MEDIANTE RFCs Y POR IETF´s IPSEC WORKING GROUP.
-SOPORTADO PARA IPV4 E IPV6.
-CUMPLE CON LOS 3 ELEMENTOS BÁSICOS DE VPN : AUTENTICACION (AH), ENCRIPCION(ESP) Y ADMINISTRACIÓN DE LLAVES.
-ALGORITMOS DE ENCRIPCIÓN DISPONIBLES PARA IPSEC :
DES (DATA ENCRYPTION STANDARD)3 DES RC4
IntegridadIntegridad
ConfidencialidadConfidencialidad
AutenticaciónAutenticaciónCarlos Castillo Calderon26/01/2012 17
ALGORITMOS Y ESTANDARES DE ENCRIPCION
TIPO TAMAÑO DE LA LLAVE FUENTE FUERZA RELATIVADES SIMETRICO 40 o 56 NSA, ANSI Moderada3DES SIMETRICO 112 NSA, ANSI FuerteRC2 SIMETRICO Variable RSA Se presume fuerteIDEA SIMETRICO 128 Ascom-Tech AG FuerteRSA Public Key 512 o 2,048 RSA FuerteECC Public Key 160 Certicom FuerteDSA Firma Digital 1.024 NIST FuerteMD5 Resumido N/A RSA DesconocidoMD4 Resumido N/A RSA DebilMD2 Resumido N/A RSA DesconocidoSHA Resumido N/A NIST, NSA DesconocidoSkipJack SIMETRICO 80 NSA Se presume fuerteRC4 SIMETRICO Variable RSA FuerteRC5 SIMETRICO Variable RSA Fuerte
Carlos Castillo Calderon26/01/2012 18
TUNELES
QUE ES UN TUNEL ?
-UN TUNEL ES LA ENCAPSULACIÓN DE PAQUETES O FRAMES DENTRO DE OTROS PAQUETES O FRAMES.
CUALES SON LOS PROTOCOLOS PARA GENERAR TUNELES ?
-IPSEC
-PPTP
-L2TP
-L2FCarlos Castillo Calderon26/01/2012 19
IntranetRed IP Compartida
BN
Tunel seguro IP1
IPSECPPTPL2TPL2F
Tuneles
MediaIP
140.100.20.101179.10.1.1
Encaps. EncripciónAutenticación
PPPIP
192.100.10.101192.100.10.230
Datos
MediaIP
192.100.10.101192.100.10.230
Datos
Encripción Desencripción
MediaIP
192.100.10.101192.100.10.230
Datos
Carlos Castillo Calderon26/01/2012 20
Cómo funciona?
Corporativo
Internet
Datos
Encapsulado
Encriptado y encapsulado
Carlos Castillo Calderon26/01/2012 21
Tipos de VPNs IPSEC• Intranet
– Red corporativa de área amplia (WAN, Wide Area Network) con administración de tráfico a nivel aplicación
• Extranet– Extiende la infraestructura de conectividad corporativa (WAN) a
proveedores, clientes y socios. Principalmente para transporte de transacciones en modelos Business to Business (B2B)
• Acceso Remoto– Brinda acceso (dial up, broadband, wireless, etc) a personal
que requiere de alta movilidad, tanto nacional como internacional.
Carlos Castillo Calderon26/01/2012 22
Tipos de VPN IP-SEC ?
AccesoExtranet– Acceso Extranet
AccesoOficina
– Acceso Remoto
Acceso Remoto
– Acceso Oficinas
• Tres tipos diferentes de VPNs
Corporativo
Corporativo
Internet
Carlos Castillo Calderon26/01/2012 23
Acceso Remoto
Usuarios Remotos
Internet
VPNGateway
Oficina Central
Carlos Castillo Calderon26/01/2012 24
RADIUS (AAA)
BASES DE DATOS
Usuarios Institucionales/Socios
Intranet RPV
Esquema Funcional
Internet
Carlos Castillo Calderon26/01/2012 25
Oficina Regional
Oficina Estatal
Oficina Estatal
Internet
VPNGateway
Oficina Central
Acceso Sucursal y “Extranet”
Proveedor De Servicio
Carlos Castillo Calderon26/01/2012 26
CONEXIÓN SITE - SITE
México D.F.
Servidor de Autenticación
FW
PC
Boston
Servidor de Autenticación
FW
VPN Gateway
PC
VPN Gateway
Internet
IDS IDS
Carlos Castillo Calderon26/01/2012 27
Seguridad en redes inalámbricas Lan (WLan)
Acces Point
))))
)))) ((((((((
11 Mbps11 Mbps
Switch Lan
))))
))))
))))
)))) ))))
))))
))))
))))
))))))))
Computadoras
Desktop
Computadoras
NotebookDispositivos Mobiles
PDA
Equipos 802.11b con cliente VPN-IPSEC
VPN
Carlos Castillo Calderon26/01/2012 28
Seguridad en acceso inalámbricos via ISP
Acces Point
((((((((
))))
))))
))))
))))
))))
)))) ))))
))))
Notebook con clientes VPN-IPSEC
Palm con clientes VPN-IPSEC
VPN
Internet
Carlos Castillo Calderon26/01/2012 29
INTRANET
EXTRANET
INTERNET
VPN
Remplazo de enlaces Wan utilizando Site-to-Site IPSec VPN
POP
DSL
CABLE
SITIO PRINCIPAL
Carlos Castillo Calderon26/01/2012 30
Internet VPNPSTN/ISDN
ADSL
Enlaces DedicadosFrame Relay
Oficina Corporativa
ExtranetB2B
Intranet Oficinas Regionales y
Estatales
Respaldo de enlaces Wan utilizando Site-to Site Vpn IPSEC
Carlos Castillo Calderon26/01/2012 31
ESQUEMA DE ACCESO A INTERNET VIA DIAL-UP
Modem
UsuarioRemoto
Modem
Internet
Modem
UsuarioRemoto
•56/36 Kbits/seg
•UN EQUIPO POR CONEXIÓN
•TRANSMISION DE DATOS
•INTERNET
Carlos Castillo Calderon26/01/2012 32
ESQUEMA DE ACCESO A TRAVES INFINITUM
UsuarioRemoto
Internet
•256-2048 Kbits/seg
•MULTIPLES EQUIPOS POR CONEXIÓN
•TRANSMISION DE DATOS
•INTERNET
•INTRANET
•SERVICIO DE VOZ* Carlos Castillo Calderon26/01/2012 33
Oficinas Estatales
Direcciones Regionales
CensosUsuario Móvil
Usuarios Institucionales (sin conexión a Red
INEGI)
Edificio Sede Aguascalientes
Ejecutivo
Encuestas
USO DE REDES PRIVADAS VIRTUALES EN EL INEGI
Instituciones de
GobiernoCarlos Castillo Calderon26/01/2012 34