Aclaración dudas VPN IPSec

¿Qué es una VPN?

Una red privada virtual (VPN) es el modo de utilizar una infraestructura de telecomunicación pública, como Internet, para ofrecer a oficinas o usuarios individuales remotos la posibilidad de conectarse a la red de su empresa de manera securizada. En el pasado, las compañías alquilaban costosos sistemas de líneas para construir su propia red privada, que sólo podían utilizar entre ellos. Una VPN proporciona el mismo servicio a un coste bastante inferior. Una VPN funciona utilizando Internet al mismo tiempo que mantiene la seguridad de los datos transportados a través de mecanismos (procedimientos y protocolos) que permiten el "tunneling" (L2TP o IPSec). Los datos son cifrados por el emisor y descifrados por el destinatario, creando así un túnel cerrado en el que no puede entrar o transitar ningún otro dato.

	¿Por qué IPSec está en la categoría de "Seguridad fuerte"?

Definición: IPSec (abreviatura de Internet Protocol Security) proporciona a la capa IP un conjunto de servicios de seguridad permitiendo que un sistema elija los protocolos de seguridad requeridos, determine el algoritmo que se utilizará para el servicio en cuestión e instaure todas las claves de cifrado que se necesiten para asegurar los servicios solicitados. La arquitectura IPSec aparece descrita en la RFC-2401 (www.ietf.org RFC-2401). IPSec ha sido seleccionada para incluirse en IPv6. IPSec fue inicialmente diseñada como un protocolo de seguridad fuerte, particularmente para sustituir otros protocolos más antiguos como PPTP. Hoy en día IPSec es la manera más segura de acceder a la red de una empresa desde Internet, entre otros, por:

• Mecanismos de fuerte cifrado como Encapsulated Security Payload (ESP) utilizando DES, 3DES, AES con claves de longitud importante (128, 192, 256)
• Autentificación fuerte de las identidades gracias al empleo de X-Auth y de certificados con claves de longitud importante (1536, 2048)
• Utilización de IKE (Intercambio de Claves de Internet) e ISAKMP para intercambiar automáticamente claves y realizar autentificaciones mutuas.
• Protección contra ataques del tipo "denegación de servicio". Los protocolos IPSec utilizan una ventana deslizante. Los paquetes están numerados y sólo son aceptados si entran en la ventana.
• Utilización de Memoria USB o Token USB con el Cliente IPSec para proteger las informaciones de identidad/autentificación y las configuraciones VPN (específicamente TheGreenBow).

	¿Qué es la NAT Traversal?

Definición: El mecanismo de traducción de dirección de red (NAT) fue concebido para reducir la frustración por las escasas direcciones IP públicas. El sistema NAT toma la dirección IP privada originada por un paquete, la traduce en direcciones IP públicas y envía el paquete por Internet a su destino. Utiliza una tabla interna para seguir las direcciones traducidas pero desgraciadamente manipula el encabezamiento IP original del paquete, impactando en la capacidad de IPSec para
funcionar correctamente. El Grupo IETF (Grupo de Trabajo en Ingeniería de Internet) desarrolló una solución llamada NAT Traversal (NAT-T RFC-3193) que se ha implementado en la mayoría de routers y aplicaciones.
El Cliente VPN IPSec TheGreenBow soporta NAT-T drafts 1, 2 y 3, incluyendo la encapsulación udp.

	¿Modo Túnel versus Modo Transporte?

Las diferencias entre el modo Transporte y el modo Túnel pueden definirse (www.ietf.org RFC-2401) utilizando las siguientes configuraciones de red:

• El Modo Túnel es el utilizado con más frecuencia, cuando el extremo de una asociación de seguridad es un router VPN o cuando los dos extremos son routers VPN, donde la gateweay de seguridad actúa como proxy para los servidores que se encuentran detrás. El modo Túnel cifra tanto la carga útil como el encabezamiento completo (UDP/TCP e IP).
   
  
• El modo Transporte se utiliza cuando el tráfico está destinado a una gateway de seguridad y esta actúa como host (por ejemplo, comandos SNMP). El modo Transporte sólo cifra los datos, dejando intacto el encabezamiento IP.
   
  

El Cliente VPN IPSec TheGreenBow soporta ambos modos.

	¿Pre-shared key versus Certificados?

La autentificación del ordenador por IPSec puede efectuarse utilizando preshared keys o certificados. Una pre-shared key (clave compartida con anterioridad) identifica una de las partes durante la Fase de Autentificación. Por definición, "Pre-shared" significa que comparte la clave con el otro usuario antes de establecer un túnel VPN securizado. El método de autentificación más fuerte es el sistema PKL y los certificados. No obstante, las pequeñas empresas no pueden afrontar una implementación del sistema PKI y utilizan el método de preshared key ya que es más sencillo e igual de potente.
El Cliente VPN IPSec TheGreenBow soporta ambos modos.

	¿Qué es DPD?

La Detección de Punto Inactivo (DPD) en una extensión IKE (Internet Key Exchange - Intercambio de Claves de Internet) (RFC3706) para detectar un punto IKE inactivo. Este mecanismo se utiliza en la opción Gateway Redundante.