TITULO

Pamela Isabel Gonzales Maldonado

METODOS DE ENCRIPTACION PARA REDES PRIVADAS VIRTUALES
Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en
Auditora de Sistemas y Seguridad de los Activos de la Informacin
yca!g"otmail#com
1. ABSTRACT
A VPN is a communications environment in which access is controlled to permit peer
connections only within a defined community of interest, and is constructed though some
form of partitioning of a common underlying communications medium, where this
underlying communications medium provides services to the network on a non-exclusive
basis. ut the VPN result will been aviable, outwith a encriptacion method.
2. RESUMEN
!a conexi"n remota a la red corporativa se ha convertido en una necesidad para las
empresas de hoy en d#a. $l aumento del teletraba%o o los despla&amientos de personal,
obligan a establecer sistemas de conexi"n con la red corporativa para, de esa manera,
poder acceder a sus recursos. 'no de los sistemas m(s extendidos para comunicarse de
forma remota con una red es a trav)s de conexiones VPN. *in embargo, una conexi"n
VPN es tambi)n un punto cr#tico de entrada de todo tipo de ata+ue. A trav)s de una VPN
cual+uier tipo de ata+ue puede entrar directamente en los servidores de la empresa. $l
problema radica en verificar la seguridad del e+uipo +ue se est( conectando de forma
remota y las pol#ticas de seguridad adecuadas para +ue la informaci"n no +uede expuesta a
posibles ata+ues y para esto la implementaci"n de m)todos de encriptaci"n es esencial.
. INTRODUCCI!N
.1 VPN "RED PRIVADA VIRTUAL#
'na ,ed Privada Virtual -VPN. es una red de informaci"n privada +ue hace uso de una
infraestructura p/blica de telecomunicaciones, +ue conecta diferentes segmentos de red o
usuarios a una red principal, manteniendo la privacidad a trav)s del uso de un protocolo de
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
t/nel o aislamiento as# como de otras tecnolog#as +ue proveen seguridad. !a funci"n
principal de una VPN es la de brindar conectividad a una red, a trav)s de una red p/blica,
brindando la integridad de la informaci"n.
Para la implementaci"n de una VPN, existen aspectos fundamentales +ue deben
considerarse0 costo, desempe1o, confian&a y seguridad. 2e estas caracter#sticas, la
seguridad es la m(s primordial, sin la existencia de esta caracter#stica las otras resultan ser
improductivos3 puesto +ue no importa +u) tan barata, r(pida y confiable sea una red, sin la
seguridad adecuada, los riesgos causaran la inestabilidad de la red.
$n adici"n a los riesgos de seguridad, hay aspectos de 4alidad en el *ervicio -5o*.
concernientes a al 6nternet +ue se deben de tratar. !a calidad en el servicio se refiere al
acuerdo de servicio ofrecido por un Proveedor de *ervicios de 6nternet -6*P. a un cliente,
+ue garanti&a cierto nivel de desempe1o.
.1.1 VENTA$AS % DESVENTA$AS
VENTA$AS
7 Ahorro en costos.
7 No se compromete la seguridad de la red empresarial.
7 $l cliente remoto ad+uiere la condici"n de miembro de la !AN con
permisos, directivas de seguridad.
7 $l cliente tiene acceso a todos los recursos ofrecidos en la !AN como
impresoras, correo electr"nico, base de datos.
7 Acceso desde cual+uier punto del mundo, siempre y cuando se tenga acceso
a internet.
DESVENTA$AS
7 No se garanti&a disponibilidad la conectividad 6nternet --8 VPN.
7 No se garanti&a el caudal.
7 9esti"n de claves de acceso y autenticaci"n delicada y laboriosa.
7 !a fiabilidad es menor +ue en una l#nea dedicada
7 :ayor carga de encapsulaci"n y encriptaci"n en el cliente VPN.
7 :ayor comple%idad en la configuraci"n del cliente, proxy, servidor de
correo.
7 'na VPN se considera segura pero al via%ar por 6nternet no seguro y
expuestos a ata+ues.
.1.2 &'n()onam)en*o de 'na VPN
'na red privada virtual se basa en un protocolo denominado +,o*o(olo de *-nel, es decir,
un protocolo +ue cifra los datos +ue se transmiten desde un lado de la VPN hacia el otro.
;ig <. ;uncionamiento del VPN
;uente0 www . argo . es
!a palabra =t/nel= se usa para simboli&ar el hecho +ue los datos est)n cifrados desde el
momento +ue entran a la VPN hasta +ue salen de ella y, por lo tanto, son incomprensibles
para cual+uiera +ue no se encuentre en uno de los extremos de la VPN, como si los datos
via%aran a trav)s de un t/nel. $n una VPN de dos e+uipos, el cliente de VPN es la parte +ue
cifra y descifra los datos del lado del usuario y el servidor VPN -com/nmente llamado
servidor de acceso remoto. es el elemento +ue descifra los datos del lado de la
organi&aci"n.
2e esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se
transmite sin cifrar al sistema de pasarela, +ue se conecta con la red remota mediante la
infraestructura de red p/blica como intermediaria3 luego transmite la solicitud de manera
cifrada. $l e+uipo remoto le proporciona los datos al servidor VPN en su red y )ste env#a la
respuesta cifrada. 4uando el cliente de VPN del usuario recibe los datos, los descifra y
finalmente los env#a al usuario.
.1. T'nel
$l t/nel es una t)cnica de +ue usa una infraestructura entre redes para transferir datos de
una red a otra. !os datos o la carga pueden ser transferidos como tramas de otro protocolo.
$l protocolo de tuneling encapsula las tramas con una cabecera adicional, en ve& de
enviarla como se produ%o en el nodo original. !a cabecera adicional proporciona
informaci"n al routing para hacer capa& a la carga de atravesar la red intermedia. !as
tramas encapsuladas son encaminadas a trav)s de un t/nel +ue tiene como puntos finales,
los dos puntos entre la red intermedia. $l t/nel en un camino l"gico a trav)s del cual se
encapsulan pa+uetes via%ando entre la red intermedia. 4uando una trama encapsulada llega
a su destino en la red intermedia, se desencapsula y se env#a a su destino final dentro de la
red. >unneling incluye todo el proceso de encapsulado, desencapsulado transmisi"n de las
tramas.
.1.. P,o*o(olos de *-neles
;ig ?. ;uncionamiento del >'N$!
;uente0 www . argo . es
!os protocolos PP>P, !?; y !?>P se enfocan principalmente a las VPN de acceso remoto,
mientras +ue 6P*ec se enfoca mayormente en las soluciones VPN de sitio 7 sitio.
!os principales protocolos de t/nel son0
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
PP>P -Protocolo de t/nel punto a punto. o -Point-to-Point >unneling Protocol.
permite extenderse a una red privada a trav)s de una red p/blica como 6nternet a
trav)s de t/neles. $s un est(ndar propuesto por :icrosoft, entre otras compa1#as, y
%unto con !?>P, propuesto por 4isco *ystems, son los candidatos m(s s"lidos para
sentar las bases de un nuevo est(ndar de la 6$>;. 4on PP>P, +ue es una extensi"n
del protocolo PPP -Point-to-Point Protocol., cual+uier usuario@a de un P4 con
soporte de cliente PPP, puede usar un 6*P -6nternet *ervice Provider. independiente
para conectar con un servidor cual+uiera dentro de la red privada a la +ue est)
accediendo, de forma segura.
!?; -,eenv#o de capa dos. es un protocolo de capa ? desarrollado por 4isco,
Northern >elecom y *hiva. Actualmente es casi obsoleto. Precursor del !?>P.
Afrece m)todos de autentificaci"n de usuarios remotos y carece de cifrado de datos
!?>P -Protocolo de t/nel de capa dos. o -!ayer >wo >unneling Protocol. es una
extensi"n del protocolo PP>P, usado por un 6*P para conseguir crear una red
privada virtual o VPN -Virtual Private Network. a trav)s de 6nternet. !?>P surge de
la confluencia de las me%ores caracter#sticas de otros dos protocolos de
entunelamiento0 PP>P de :icrosoft, y !?; -!ayer-? ;orwarding. de 4isco *ystems.
Adem(s de las diferencias en el sistema de autentificaci"n, !?>P ha ad+uirido una
popularidad particular por el uso de 6Psec -6P *ecurity. para garanti&ar la
privacidad. !os dos principales componentes +ue conforman !?>P son el !A4
-!?>P Access 4oncentrator., +ue es el dispositivo +ue canali&a f#sicamente la
llamada, y el !N* -!?>P Network *erver., +ue es el +ue canali&a y autentifica el
stream PPP. *e define en el ,;4 ?BB<.
IPSe( es un protocolo de capa C creado por el 6$>; +ue puede enviar datos cifrados
para redes 6P.
6P*ec es un protocolo definido por el 6$>; +ue se usa para transferir datos de
manera segura en la capa de red. $n realidad es un protocolo +ue me%ora la
seguridad del protocolo 6P para garanti&ar la privacidad, control de acceso,
integridad, confidencialidad y autentificaci"n del origen de los datos.
D Encabezado de autenticacin IP -A/., +ue incluye integridad, autenticaci"n
y protecci"n contra ata+ues de ,$P!AE a los pa+uetes.
CABECERA A/ DATOS
D Carga til de seguridad encapsulada -ESP., +ue define el cifrado del
pa+uete. $*P brinda privacidad, integridad, autenticaci"n y protecci"n
contra ata+ues de ,$P!AE.
CABECERA DATOS ENCRIPTADOS
D Asociacin de seguridad -SA. +ue define configuraciones de seguridad e
intercambio clave. !as *A incluyen toda la informaci"n acerca de c"mo
procesar pa+uetes 6P -los protocolos AF y@o $*P, el modo de transporte o
t/nel, los algoritmos de seguridad utili&ados por los protocolos, las claves
utili&adas.. $l intercambio clave se reali&a manualmente o con el protocolo
de intercambio 6G$, lo +ue permite +ue ambas partes se escuchen entre s#.
.1.0 En(,)+*a()1n de VPN
'na ve& dentro de la VPN, cada uno de los gateways env#an su clave p/blica a todos los dem(s
gateways pertenecientes al sistema. 4on el uso de sistemas de encriptaci"n sim)tricos, de clave
p/blica y clave privada, la informaci"n se encripta matem(ticamente de tal forma +ue es
extremadamente comple%o desencriptar la informaci"n sin poseer las claves. $xiste un proceso de
gesti"n de dichas claves -Gey management. +ue se encarga de su distribuci"n, su refresco cada
cierto tiempo, y revocarlas cuando sea necesario hacerlo. *e ha de conseguir un balance entre
los intervalos de intercambio de las claves y la cantidad de informaci"n +ue se transfiere0 'n
intervalo demasiado corto sobrecargar#a los servidores de la VPN con la generaci"n de claves,
mientras +ue uno excesivamente largo podr#a comprometer la clave y la informaci"n +ue esta
protege.
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
Informacin
'na manera segura de la transmisi"n de datos o informaci"n en una red virtual privada
-VPN. es implementar uno o m(s algoritmos de encriptaci"n, en la configuraci"n del VPN,
ya +ue como medio de comunicaci"n se usa el internet o similares, data +ue puede ser
vulnerable por este medio y puede ser f(cilmente capturada por personas a%enas, pero con
los medios de encriptaci"n, esta data esta cifrada y no puede ser entendible por personas
a%enas.
DES 2ata $ncryption *tandard, es un algoritmo de cifrado en blo+ue sim)trico, de
longitud fi%a, el cual consiste de dos permutaciones, <B vueltas en donde el mensa%e
de BH bits es dividido en dos blo+ues de C? bits, despu)s de usar la primer
permutaci"n llamada P<, es cifrado <B veces utili&ando cada ve& una subclave, la
cual se genera <B veces en un pr o ceso paralelo. $n el proceso para descifrar se
utili&a el mismo algoritmo con las subclaves en orden inverso, dando como
consecuencia, la simetr#a del algoritmo.
;ig.0 2$* I2ata $ncryption *tandardJ
;uente0 www.%alercom.com@c ms @upload @articles@art-pwrline.pd f
7
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
Informacin
2$*, es un algoritmo de cifrado en blo+ues sim)trico, el tama1o del blo+ue es de
longitud fi%a de BH bits, el algoritmo consta de dos permutaciones, una al inicio
conocida como P1, la cual se muestr a a continuaci"n0
Tabla an*es la Pe,m'*a()1n
0
1 0
0
1 0
0
0
0
0
>abla <0 algoritmo 2$* permutaci"n 6nicial
;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf
2espu)s de recibir un blo+ue de entrada de BH bits, el primer paso consiste en
aplicar al blo+ue de entrada la permutaci"n P<, teniendo como resultado un orden de
salida +ue se identifica leyendo la tabla de i&+uierda a derecha y de arriba aba%o.
*ignifica +ue el bit del lugar KL en el mensa%e de entrada, despu)s de la
permutaci"n, ocupara la posici"n < y as# sucesivamente.
*e muestra el resultado de haber reali&ado la permutaci"n P1, la parte superior se
encuentra marcada con el fin de indicar cuales son los bits +ue forman el sub-blo+ue
!
M
, los bits restantes forman el sub-blo+ue ,
M
, dando como resultado0
L
2
3 11111111 22211222 11212111
11121212
R
2
3 22222222 11111112 11221122
12222122
Sub-bloques inciales
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
Informacin
8
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
Informacin
Pe,m'*a()1n E4 !a salida de ,
M
es de C? bits, se utili&a la permutaci"n $, con el
prop"sito de expandir a HL bits y as# poder reali&ar la suma A, exclusiva con la
clave G
i
. A continuaci"n se muestra la tabla para reali&ar la permutaci"n $.
>abla ?0 algoritmo 2$* 7 C? bits
;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf
Al tener la secuencia de ,
M
de C? bits, es necesario aplicar la permutaci"n $, la cual
se muestra a continuaci"n.
R
0
= 0000 0000 1111 1110 1100 1100 1000
0100
9
Universidad Mayor de San Andrs Postgrado en Informtica
Diplomado en Auditora de Sistemas y Seguridad de los Activos de la
2 1 2 2 2 2
2 2 1 2 2 2
>abla C0 algoritmo 2$* permutaci"n $
;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf
$l resultado de la permutaci"n $-,M. es0
E"R2# 3 222222 222221 211111 111121 211221 211221 212222 221222
RSA -,ivest-*hamir-Adleman. es el algoritmo de encriptaci"n y autentificaci"n
m(s com/nmente usado. ;ue desarrollado en <NOO por ,on ,ivest, Adi *hamir y
!eonard Adleman, y se incluye como parte de los navegadores de Netscape y
:icrosoft, as# como aplicaciones como !otus Notes y muchos otros productos. $l
sistema de encriptaci"n era propiedad de ,*A *ecurity hasta +ue en septiembre de
?MMM caduc" la patente +ue hab#a sobre este algoritmo. asado en la dificultad de la
factori&aci"n en factores primos de n/meros enteros bastante grandes y
ampliamente utili&ado en nuestros tiempos.
$l funcionamiento de este algoritmo se basa en multiplicar dos n/meros primos
extremadamente grandes, y a trav)s de operaciones adicionales obtener un par de
n/meros +ue constituyen la clave p/blica y otro n/mero +ue constituye la clave
privada. 'na ve& +ue se han obtenido las claves, los n/meros primos originales ya
no son necesarios para nada, y se descartan. *e necesitan tanto las claves p/blicas
como las privadas para encriptar y desencriptar, pero solamente el due1o de la clave
privada lo necesitar(. 'sando el sistema ,*A, la clave privada nunca necesitar( ser
enviada. !a clave privada se usa para desencriptar el c"digo +ue ha sido encriptado
con la clave p/blica. Por tanto, para enviar un mensa%e a alguien, hay +ue conocer
su clave p/blica, pero no su clave privada. Al recibir el mensa%e, se necesitar( la
clave privada para desencriptarlo. >ambi)n se puede usar para autentificar un
mensa%e, firmando con la clave privada un certificado digital. *u longitud t#pica de
llaves es K<? y <M?H bits.
$n el algoritmo ,*A si0
D A genera dos enteros primos bastante grandes + y 5.
10
D A calcula n3+5 y 6"n#3"+71#"571#.
D A escoge aleatoriamente un b tal +ue 18b86"n# y m(d"b9 6"n##31.
D A calcula a3b71mod 6"n#.
D A guarda su llave privada "a9n#.
D A publica su llave p/blica "b9n#
,*A en la encriptaci"n de mensa%e de un elemento 0
D compone el mensa%e : -un entero..
D recupera la llave publica de A "b9n#.
D encripta el mensa%e ;3:bmod n.
D env#a el mensa%e codificado ; a A.
,*A para la 2ecriptaci"n de un mensa%e el elemento A0
D A recibe el mensa%e codificado ;.
D A decripta el mensa%e :3;amod n con su llave privada "a9n#.
,*A contra intento de Ata+ue de un elemento 40
D 4 recupera la llave p/blica de A "b9n#.
D 4 recupera el mensa%e codificado ; enviado a A y
D 4 necesita conocer a para poder descodificar el mensa%e. ;actori&ando n en
+ y 5, se puede calcular 6"n#3"+71#"571#, y con b se puede calcular a3b7
1mod 6"n#.
D Pero la ;A4>A,6PA46QN es un problema :'E 26;646!.
AES -Advanced $ncryption *tandard. es un algoritmo de encriptaci"n para proteger
informaci"n delicada, aun+ue no clasificada, por las agencias gubernamentales de
'*A y, como consecuencia, puede transformarse en el est(ndar de facto para las
transacciones comerciales en el sector privado. !a criptograf#a para las
comunicaciones clasificadas, incluyendo las militares, es gestionada por algoritmos
secretos. $n enero de <NNO, $l N6*> -Nacional 6nstitute of *tandards and
>echnology. inici" un proceso para encontrar un algoritmo m(s robusto +ue
reempla&ara a 2$* y en menor medida a triple 2$* -C2$*.. !a especificaci"n
solicitaba un algoritmo sim)trico usando encriptaci"n por blo+ues de <?L bits de
tama1o, +ue soportara como m#nimo claves de <?L, <N? y ?KB bits. 2eb#a ser
royalty-free para su uso en todo el mundo, y ofrecer un nivel de seguridad suficiente
para los pr"ximos ?M " CM a1os.
11
IDEA -6nternational 2ata $ncryption Algorithm. es un algoritmo de encriptaci"n
desarrollado en el $>F de Purich -*ui&a. por Rames :assey y Sue%ia !ai. 'sa
criptograf#a de blo+ue con una clave de <?L bits, y se suele considerar como muy
seguro. $st( considerado como uno de los algoritmos m(s conocidos. 2urante los
a1os +ue lleva siendo usado, no ha sido publicado ning/n m)todo pr(ctico para
reventarlo, a pesar de los numerosos intentos +ue han habido de encontrar uno.
62$A est( patentada en '*A y en la mayor parte de los pa#ses europeos, y la
patente est( en manos de Ascom->ech A9. $l uso no comercial de 62$A es
gratuito.
&'n()onam)en*o
62$A 7 9eneraci"n de las sub-llaves
<. !a llave de <?L bits divididos en L sub-llaves de <B bits.
?. !os bits de la llave de <?L bits sufren una rotaci"n circular de ?K bits a la
i&+uierda. 4on esta nueva llave se contin/a en el paso <.
C. !os pasos anteriores se repiten hasta obtener las K? sub-llaves de <B bits,
llamadas0 P<, P?,...,PK?.
62$A en la $ncriptaci"n0
<. $l mensa%e se divide en blo+ues de BH bits, los cuales son codificados uno por
uno.
?. 4ada blo+ue de BH bits se divide en H subblo+ues de <B bits, llamados0 S<, S?,
SC y SH.
C. A estos cuatro blo+ues se aplica L veces los pasos < a <H de la transparencia
consecutiva.
H. ;inalmente, a los cuatro blo+ues resultantes se les aplica los pasos <K a <L de la
transparencia consecutiva.
K. $stos /ltimos cuatro blo+ues resultantes forman el blo+ue de BH bits codificado.
12
62$A en la 2ecriptaci"n
!a decriptaci"n de un blo+ue de BH bits se reali&a de la misma manera +ue la encriptaci"n,
salvo +ue las sub-llaves son las sgtes.0
.1.0.2 Con*,oles ; ,)es<os aso()ados a la *e(nolo<=a VPN
4uando se desea implantar una VPN se debe estar consciente de las venta%as +ue va a
aportar a la organi&aci"n, sin embargo, es importante considerar los riesgos +ue estas
facilidades implican en caso de no adoptarse las medidas necesarias al implantar una VPN
segura. !os est(ndares utili&ados para la implementaci"n de VPNs, garanti&an la privacidad
e integridad de los datos y permiten la autenticaci"n de los extremos de la comunicaci"n,
pero esto no es suficiente0 el uso err"neo de las VPN puede ser catastr"fico para el negocio.
!as medidas para implantar una VPN TseguraU incluyen el uso de certificados digitales para
la autenticaci"n de e+uipos VPN, token cards o tar%etas inteligentes para la autenticaci"n
TfuerteU de usuarios remotos, y para el control de acceso es importante contar con un
;irewall y sistemas de autori&aci"n.
13
.1.0. Ce,*)>)(ados d)<)*ales4
4on el uso de certificados digitales, se garanti&a la autenticaci"n de los elementos remotos
+ue generan el t/nel y elimina el problema de la distribuci"n de claves. 6mplantar un
sistema PG6 -6nfraestructura de 4lave P/blica. para emitir los certificados digitales, permite
tener el control absoluto de la emisi"n, renovaci"n y revocaci"n de los certificados digitales
usados en la VPN. $l uso de PG6 no se limita s"lo a las VPNs sino +ue puede utili&arse
para aplicaciones como firmas digitales, cifrado de correo electr"nico, entre otras.
.1.0.. A'*en*)(a()1n >'e,*e4
$n la implantaci"n de una VPN se debe verificar +ue se est)n realmente autenticando los
usuarios. $sto depender( de d"nde se almacene el certificado digital y la clave privada. *i
el certificado digital y la clave privada se almacenan, protegidos por un P6N, en una tar%eta
inteligente +ue el usuario lleva consigo, se est( autenticando al usuario.
2esafortunadamente, aun no existe un est(ndar definido +ue permita la implantaci"n a gran
escala de lectores de tar%etas en los P4s. Por lo +ue esta opci"n en algunos casos no es
factible. *i, por el contrario, el certificado digital y la clave privada se almacenan en el
propio P4, no se est( autenticando al usuario sino al P4. Para autenticar al usuario, algunos
fabricantes de sistemas VPN han a1adido un segundo nivel de autenticaci"n.
$l uso de contrase1as es un nivel adicional de seguridad, pero no es el m(s adecuado, ya
+ue carecen de los niveles de seguridad necesarios debido a +ue son f(cilmente
reproducibles, pueden ser capturadas y realmente no autentican a la persona.
$l m)todo m(s adecuado es autenticar a los usuarios remotos mediante un la utili&aci"n de
sistemas de autenticaci"n fuerte. $stos sistemas se basan en la combinaci"n de dos factores0
el token y el P6N. 2e esta forma se asegura +ue s"lo los usuarios autori&ados acceden a la
VPN de la organi&aci"n.
M?*odos de a'*en*)>)(a()1n ,e(omendables
D :*-4FAP v?
7 Versi"n me%orada de :*-4FAP
7 'sada frecuentemente
7 2esde el punto de vista del cifrado es mas fuerte +ue PAP, 4FAP, :*-
4FAP
7 ,ecomendada cuando no es posible implementar $AP->!*
D $AP
7 $xtensible Authentication Protocol
7 *oporta varios tipos de Autenticaci"n
D $AP-:2K0 2esafi"@,espuesta. No muy seguro.
D $AP->!*0 asado en cerificados3 re+uiere pertenencia a un dominio3
dise1ado para ser utili&ado con *mart 4ards
D $AP-,A26'*0 :ecanismo proxy de reenvi" de datos en un formato
$AP especifico a un servidor ,A26'*
7 $l tipo a utili&ar se puede especificar en el servidor o mediante pol#ticas a un
grupo especifico de usuarios.
D P$AP0 Protected $AP
7 Protege las negociaciones $AP envolvi)ndolas con >!*
7 *e usa solo para conexiones wireless LM?.<<
D *oporta reconexiones r(pidas para entornos grandes con roaming
7 Puede usar P$AP plus
D $AP-:*-4FAPv?0 a1ade autenticaci"n mutua3 re+uiere +ue el
cliente confi) en los certificados del servidor3 f(cil de implementar.
D $AP->!*0 :uy seguro3 re+uiere una infraestructura PG6
7 Fay documentaci"n completa de como implementarlo en la Veb de
>echNet
M?*odos de a'*en*)>)(a()1n no ,e(omendables
D Password Authentication Protocol -PAP.
7 $nv#a la password en texto claro.
D *hiva Password Authentication Protocol -*PAP.
7 'tili&a cifrado reversible
D 4hallenge Fandshake Authentication Protocol -4FAP.
7 'tili&a :2K para proporcionar autenticaci"n mediante desaf#o-respuesta
<
7 ,e+uiere almacenar las contrase1as con cifrado reversible en el servidor
D :*-4FAP
7 $xisten debilidades conocidas
.1.0.0 &),e@all ; S)s*emas de A'*o,)za()1n4
$l control de acceso se puede reali&ar utili&ando ;irewalls y sistemas de autori&aci"n3 de
esta manera se aplican pol#ticas de acceso a determinados sistemas y aplicaciones de
acuerdo al tipo de usuarios o grupos de usuarios +ue los acceden.
.. CONCLUSIONES
D !as VPNs representan una gran soluci"n para las empresas en cuanto a seguridad,
confidencialidad e integridad de los datos y pr(cticamente se ha convertido en un
tema importante en las organi&aciones, debido a +ue reduce significativamente el
costo de la transferencia de datos de un lugar a otro.
D !as VPNs sin embargo, tienen inconvenientes y para ello primeramente se deben
establecer correctamente las pol#ticas de seguridad y de acceso por+ue si esto no
est( bien definido pueden existir consecuencias serias.
D Para permitir la comunicaci"n entre dos personas sin +ue una tercera persona pueda
comprender el mensa%e transmitido se puede optar por alg/n tipo de algoritmos de
encriptaci"n.
D Para elaboraci"n de pol#ticas de seguridad de VPNs, estas deben estar construidas
de acuerdo al tipo de empresa, donde est(n implementadas.
D !a seguridad es uno de los factores fundamentales y de )xito de la utili&aci"n de
algoritmos de encriptaci"n, garanti&a en todo momento +ue las comunicaciones
sean fiables.
D $l uso de m)todos de autentificaci"n en implementaci"n de VPNs asegura +ue s"lo
los usuarios autori&ados acceden a la VPN de la organi&aci"n, puedan tener acceso a
esta.
D !a resistencia de la criptograf#a a los ata+ues est( basada en la dificultad
calculatoria de ciertos problemas matem(ticos, o en la extrema confusi"n y
dispersi"n aplicada a la informaci"n.
D $n un entorno distribuido y abierto como es 6nternet, la criptograf#a tiene un papel
muy importante.
D 4on el uso de protocolos de encriptaci"n, la informaci"n +ue atraviesa 6nternet lo
hace de forma cifrada, de modo +ue s"lo el destinatario seleccionado ser( capa& de
leer la misma. 6ncluso en el caso de escuchas no permitidas, no ser( posible la
recuperaci"n de la informaci"n original de forma legible sin conocer las claves +ue
s"lo los interlocutores leg#timos poseen.
A. DATOS PERSONALES
Pamela 6sabel 9on&ales :aldonado naci" un C de noviembre de
<NL?,en la ciudad de !a Pa& - olivia, estudio en el 4olegio
*anta Ana de esta misma ciudad, egresando el a1o ?MMM,
posteriormente ingreso a estudiar a la 'niversidad 4at"lica
oliviana T*an PabloU donde obtuvo el grado de !icenciada en
6ngenier#a de *istemas. Actualmente se encuentra cursando la :aestr#a de
telecomunicaciones E >elem(tica en 'niversidad 4at"lica oliviana T*an PabloU, y el
2iplomado en Auditor#a de *istemas y *eguridad de los Activos de la 6nformaci"n en la
'niversidad :ayor de *an Andres.
A. IN&OGRA&IA
D http0@@www.acis.org.co@ m e m orias@Rornadas*eguridad@6VRN*6@:auricio:uno&-
6VRN*6.pdf
D http0@@www.idg.es@co m puterworld@articulo.aspWidX<KCCBC
D http0@@www.co m puting.es@6nfor m es @?MMLM??<MM<L@4ontrol-de-acceso-la-solucion-
de-seguridad-para-redes-de-altas-prestaciones.aspx
D http0@@www. m i crosoft.co m @ spain@tec h net@recursos@articulos@ipsecchK. m spx
D www.idg.es@co m unicaciones@articulo.asp W idX<CC<HM
D http0@@www.canalsw.co m @ayudas@glo s ario@glosario?.aspWidXLMKYicXH
D http0@@www.uv.es@ciuv@cas@vpn@index.ht m l
D www.publispain.co m @supertutoriales@ m at e m a tica@criptografia@ c ursos@C@crypto.pdf -
D eia.udg.es@Zcmantill@admonxarxes@clase<?.pdf -
D ccia.ei.uvigo.es@docencia@**6@practicas@cifrado-%ce.pdf -
D cia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf
D www.caserveis.net@aplication@c m s@docu m entos@doc<[<H<??MMKM<CB?N.pdf
D www.%alerc o m .c o m @c ms@upload @ articles@art-pwrline.pdf
D www.g e m e l ostorage.co m @ 4ontenidos@:anu a les@Personal@ 9 A[Personal[6nscripci"
n.pdf
D geneura.ugr.es@Z%merelo@2y$4@>emaH@2y$4->emaH.pdf
D www.cesip.org@es@enlaces-bdd@traba%os@bo livia@?MMC@villalba[criptografia.pdf