METODOS DE ENCRIPTACION PARA REDES PRIVADAS VIRTUALES Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la Informacin yca!g"otmail#com 1. ABSTRACT A VPN is a communications environment in which access is controlled to permit peer connections only within a defined community of interest, and is constructed though some form of partitioning of a common underlying communications medium, where this underlying communications medium provides services to the network on a non-exclusive basis. ut the VPN result will been aviable, outwith a encriptacion method. 2. RESUMEN !a conexi"n remota a la red corporativa se ha convertido en una necesidad para las empresas de hoy en d#a. $l aumento del teletraba%o o los despla&amientos de personal, obligan a establecer sistemas de conexi"n con la red corporativa para, de esa manera, poder acceder a sus recursos. 'no de los sistemas m(s extendidos para comunicarse de forma remota con una red es a trav)s de conexiones VPN. *in embargo, una conexi"n VPN es tambi)n un punto cr#tico de entrada de todo tipo de ata+ue. A trav)s de una VPN cual+uier tipo de ata+ue puede entrar directamente en los servidores de la empresa. $l problema radica en verificar la seguridad del e+uipo +ue se est( conectando de forma remota y las pol#ticas de seguridad adecuadas para +ue la informaci"n no +uede expuesta a posibles ata+ues y para esto la implementaci"n de m)todos de encriptaci"n es esencial. . INTRODUCCI!N .1 VPN "RED PRIVADA VIRTUAL# 'na ,ed Privada Virtual -VPN. es una red de informaci"n privada +ue hace uso de una infraestructura p/blica de telecomunicaciones, +ue conecta diferentes segmentos de red o usuarios a una red principal, manteniendo la privacidad a trav)s del uso de un protocolo de Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la t/nel o aislamiento as# como de otras tecnolog#as +ue proveen seguridad. !a funci"n principal de una VPN es la de brindar conectividad a una red, a trav)s de una red p/blica, brindando la integridad de la informaci"n. Para la implementaci"n de una VPN, existen aspectos fundamentales +ue deben considerarse0 costo, desempe1o, confian&a y seguridad. 2e estas caracter#sticas, la seguridad es la m(s primordial, sin la existencia de esta caracter#stica las otras resultan ser improductivos3 puesto +ue no importa +u) tan barata, r(pida y confiable sea una red, sin la seguridad adecuada, los riesgos causaran la inestabilidad de la red. $n adici"n a los riesgos de seguridad, hay aspectos de 4alidad en el *ervicio -5o*. concernientes a al 6nternet +ue se deben de tratar. !a calidad en el servicio se refiere al acuerdo de servicio ofrecido por un Proveedor de *ervicios de 6nternet -6*P. a un cliente, +ue garanti&a cierto nivel de desempe1o. .1.1 VENTA$AS % DESVENTA$AS VENTA$AS 7 Ahorro en costos. 7 No se compromete la seguridad de la red empresarial. 7 $l cliente remoto ad+uiere la condici"n de miembro de la !AN con permisos, directivas de seguridad. 7 $l cliente tiene acceso a todos los recursos ofrecidos en la !AN como impresoras, correo electr"nico, base de datos. 7 Acceso desde cual+uier punto del mundo, siempre y cuando se tenga acceso a internet. DESVENTA$AS 7 No se garanti&a disponibilidad la conectividad 6nternet --8 VPN. 7 No se garanti&a el caudal. 7 9esti"n de claves de acceso y autenticaci"n delicada y laboriosa. 7 !a fiabilidad es menor +ue en una l#nea dedicada 7 :ayor carga de encapsulaci"n y encriptaci"n en el cliente VPN. 7 :ayor comple%idad en la configuraci"n del cliente, proxy, servidor de correo. 7 'na VPN se considera segura pero al via%ar por 6nternet no seguro y expuestos a ata+ues. .1.2 &'n()onam)en*o de 'na VPN 'na red privada virtual se basa en un protocolo denominado +,o*o(olo de *-nel, es decir, un protocolo +ue cifra los datos +ue se transmiten desde un lado de la VPN hacia el otro. ;ig <. ;uncionamiento del VPN ;uente0 www . argo . es !a palabra =t/nel= se usa para simboli&ar el hecho +ue los datos est)n cifrados desde el momento +ue entran a la VPN hasta +ue salen de ella y, por lo tanto, son incomprensibles para cual+uiera +ue no se encuentre en uno de los extremos de la VPN, como si los datos via%aran a trav)s de un t/nel. $n una VPN de dos e+uipos, el cliente de VPN es la parte +ue cifra y descifra los datos del lado del usuario y el servidor VPN -com/nmente llamado servidor de acceso remoto. es el elemento +ue descifra los datos del lado de la organi&aci"n. 2e esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, +ue se conecta con la red remota mediante la infraestructura de red p/blica como intermediaria3 luego transmite la solicitud de manera cifrada. $l e+uipo remoto le proporciona los datos al servidor VPN en su red y )ste env#a la respuesta cifrada. 4uando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los env#a al usuario. .1. T'nel $l t/nel es una t)cnica de +ue usa una infraestructura entre redes para transferir datos de una red a otra. !os datos o la carga pueden ser transferidos como tramas de otro protocolo. $l protocolo de tuneling encapsula las tramas con una cabecera adicional, en ve& de enviarla como se produ%o en el nodo original. !a cabecera adicional proporciona informaci"n al routing para hacer capa& a la carga de atravesar la red intermedia. !as tramas encapsuladas son encaminadas a trav)s de un t/nel +ue tiene como puntos finales, los dos puntos entre la red intermedia. $l t/nel en un camino l"gico a trav)s del cual se encapsulan pa+uetes via%ando entre la red intermedia. 4uando una trama encapsulada llega a su destino en la red intermedia, se desencapsula y se env#a a su destino final dentro de la red. >unneling incluye todo el proceso de encapsulado, desencapsulado transmisi"n de las tramas. .1.. P,o*o(olos de *-neles ;ig ?. ;uncionamiento del >'N$! ;uente0 www . argo . es !os protocolos PP>P, !?; y !?>P se enfocan principalmente a las VPN de acceso remoto, mientras +ue 6P*ec se enfoca mayormente en las soluciones VPN de sitio 7 sitio. !os principales protocolos de t/nel son0 Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la PP>P -Protocolo de t/nel punto a punto. o -Point-to-Point >unneling Protocol. permite extenderse a una red privada a trav)s de una red p/blica como 6nternet a trav)s de t/neles. $s un est(ndar propuesto por :icrosoft, entre otras compa1#as, y %unto con !?>P, propuesto por 4isco *ystems, son los candidatos m(s s"lidos para sentar las bases de un nuevo est(ndar de la 6$>;. 4on PP>P, +ue es una extensi"n del protocolo PPP -Point-to-Point Protocol., cual+uier usuario@a de un P4 con soporte de cliente PPP, puede usar un 6*P -6nternet *ervice Provider. independiente para conectar con un servidor cual+uiera dentro de la red privada a la +ue est) accediendo, de forma segura. !?; -,eenv#o de capa dos. es un protocolo de capa ? desarrollado por 4isco, Northern >elecom y *hiva. Actualmente es casi obsoleto. Precursor del !?>P. Afrece m)todos de autentificaci"n de usuarios remotos y carece de cifrado de datos !?>P -Protocolo de t/nel de capa dos. o -!ayer >wo >unneling Protocol. es una extensi"n del protocolo PP>P, usado por un 6*P para conseguir crear una red privada virtual o VPN -Virtual Private Network. a trav)s de 6nternet. !?>P surge de la confluencia de las me%ores caracter#sticas de otros dos protocolos de entunelamiento0 PP>P de :icrosoft, y !?; -!ayer-? ;orwarding. de 4isco *ystems. Adem(s de las diferencias en el sistema de autentificaci"n, !?>P ha ad+uirido una popularidad particular por el uso de 6Psec -6P *ecurity. para garanti&ar la privacidad. !os dos principales componentes +ue conforman !?>P son el !A4 -!?>P Access 4oncentrator., +ue es el dispositivo +ue canali&a f#sicamente la llamada, y el !N* -!?>P Network *erver., +ue es el +ue canali&a y autentifica el stream PPP. *e define en el ,;4 ?BB<. IPSe( es un protocolo de capa C creado por el 6$>; +ue puede enviar datos cifrados para redes 6P. 6P*ec es un protocolo definido por el 6$>; +ue se usa para transferir datos de manera segura en la capa de red. $n realidad es un protocolo +ue me%ora la seguridad del protocolo 6P para garanti&ar la privacidad, control de acceso, integridad, confidencialidad y autentificaci"n del origen de los datos. D Encabezado de autenticacin IP -A/., +ue incluye integridad, autenticaci"n y protecci"n contra ata+ues de ,$P!AE a los pa+uetes. CABECERA A/ DATOS D Carga til de seguridad encapsulada -ESP., +ue define el cifrado del pa+uete. $*P brinda privacidad, integridad, autenticaci"n y protecci"n contra ata+ues de ,$P!AE. CABECERA DATOS ENCRIPTADOS D Asociacin de seguridad -SA. +ue define configuraciones de seguridad e intercambio clave. !as *A incluyen toda la informaci"n acerca de c"mo procesar pa+uetes 6P -los protocolos AF y@o $*P, el modo de transporte o t/nel, los algoritmos de seguridad utili&ados por los protocolos, las claves utili&adas.. $l intercambio clave se reali&a manualmente o con el protocolo de intercambio 6G$, lo +ue permite +ue ambas partes se escuchen entre s#. .1.0 En(,)+*a()1n de VPN 'na ve& dentro de la VPN, cada uno de los gateways env#an su clave p/blica a todos los dem(s gateways pertenecientes al sistema. 4on el uso de sistemas de encriptaci"n sim)tricos, de clave p/blica y clave privada, la informaci"n se encripta matem(ticamente de tal forma +ue es extremadamente comple%o desencriptar la informaci"n sin poseer las claves. $xiste un proceso de gesti"n de dichas claves -Gey management. +ue se encarga de su distribuci"n, su refresco cada cierto tiempo, y revocarlas cuando sea necesario hacerlo. *e ha de conseguir un balance entre los intervalos de intercambio de las claves y la cantidad de informaci"n +ue se transfiere0 'n intervalo demasiado corto sobrecargar#a los servidores de la VPN con la generaci"n de claves, mientras +ue uno excesivamente largo podr#a comprometer la clave y la informaci"n +ue esta protege. Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la Informacin 'na manera segura de la transmisi"n de datos o informaci"n en una red virtual privada -VPN. es implementar uno o m(s algoritmos de encriptaci"n, en la configuraci"n del VPN, ya +ue como medio de comunicaci"n se usa el internet o similares, data +ue puede ser vulnerable por este medio y puede ser f(cilmente capturada por personas a%enas, pero con los medios de encriptaci"n, esta data esta cifrada y no puede ser entendible por personas a%enas. DES 2ata $ncryption *tandard, es un algoritmo de cifrado en blo+ue sim)trico, de longitud fi%a, el cual consiste de dos permutaciones, <B vueltas en donde el mensa%e de BH bits es dividido en dos blo+ues de C? bits, despu)s de usar la primer permutaci"n llamada P<, es cifrado <B veces utili&ando cada ve& una subclave, la cual se genera <B veces en un pr o ceso paralelo. $n el proceso para descifrar se utili&a el mismo algoritmo con las subclaves en orden inverso, dando como consecuencia, la simetr#a del algoritmo. ;ig.0 2$* I2ata $ncryption *tandardJ ;uente0 www.%alercom.com@c ms @upload @articles@art-pwrline.pd f 7 Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la Informacin 2$*, es un algoritmo de cifrado en blo+ues sim)trico, el tama1o del blo+ue es de longitud fi%a de BH bits, el algoritmo consta de dos permutaciones, una al inicio conocida como P1, la cual se muestr a a continuaci"n0 Tabla an*es la Pe,m'*a()1n 0 1 0 0 1 0 0 0 0 0 >abla <0 algoritmo 2$* permutaci"n 6nicial ;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf 2espu)s de recibir un blo+ue de entrada de BH bits, el primer paso consiste en aplicar al blo+ue de entrada la permutaci"n P<, teniendo como resultado un orden de salida +ue se identifica leyendo la tabla de i&+uierda a derecha y de arriba aba%o. *ignifica +ue el bit del lugar KL en el mensa%e de entrada, despu)s de la permutaci"n, ocupara la posici"n < y as# sucesivamente. *e muestra el resultado de haber reali&ado la permutaci"n P1, la parte superior se encuentra marcada con el fin de indicar cuales son los bits +ue forman el sub-blo+ue ! M , los bits restantes forman el sub-blo+ue , M , dando como resultado0 L 2 3 11111111 22211222 11212111 11121212 R 2 3 22222222 11111112 11221122 12222122 Sub-bloques inciales Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la Informacin 8 Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la Informacin Pe,m'*a()1n E4 !a salida de , M es de C? bits, se utili&a la permutaci"n $, con el prop"sito de expandir a HL bits y as# poder reali&ar la suma A, exclusiva con la clave G i . A continuaci"n se muestra la tabla para reali&ar la permutaci"n $. >abla ?0 algoritmo 2$* 7 C? bits ;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf Al tener la secuencia de , M de C? bits, es necesario aplicar la permutaci"n $, la cual se muestra a continuaci"n. R 0 = 0000 0000 1111 1110 1100 1100 1000 0100 9 Universidad Mayor de San Andrs Postgrado en Informtica Diplomado en Auditora de Sistemas y Seguridad de los Activos de la 2 1 2 2 2 2 2 2 1 2 2 2 >abla C0 algoritmo 2$* permutaci"n $ ;uente0 ccia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf $l resultado de la permutaci"n $-,M. es0 E"R2# 3 222222 222221 211111 111121 211221 211221 212222 221222 RSA -,ivest-*hamir-Adleman. es el algoritmo de encriptaci"n y autentificaci"n m(s com/nmente usado. ;ue desarrollado en <NOO por ,on ,ivest, Adi *hamir y !eonard Adleman, y se incluye como parte de los navegadores de Netscape y :icrosoft, as# como aplicaciones como !otus Notes y muchos otros productos. $l sistema de encriptaci"n era propiedad de ,*A *ecurity hasta +ue en septiembre de ?MMM caduc" la patente +ue hab#a sobre este algoritmo. asado en la dificultad de la factori&aci"n en factores primos de n/meros enteros bastante grandes y ampliamente utili&ado en nuestros tiempos. $l funcionamiento de este algoritmo se basa en multiplicar dos n/meros primos extremadamente grandes, y a trav)s de operaciones adicionales obtener un par de n/meros +ue constituyen la clave p/blica y otro n/mero +ue constituye la clave privada. 'na ve& +ue se han obtenido las claves, los n/meros primos originales ya no son necesarios para nada, y se descartan. *e necesitan tanto las claves p/blicas como las privadas para encriptar y desencriptar, pero solamente el due1o de la clave privada lo necesitar(. 'sando el sistema ,*A, la clave privada nunca necesitar( ser enviada. !a clave privada se usa para desencriptar el c"digo +ue ha sido encriptado con la clave p/blica. Por tanto, para enviar un mensa%e a alguien, hay +ue conocer su clave p/blica, pero no su clave privada. Al recibir el mensa%e, se necesitar( la clave privada para desencriptarlo. >ambi)n se puede usar para autentificar un mensa%e, firmando con la clave privada un certificado digital. *u longitud t#pica de llaves es K<? y <M?H bits. $n el algoritmo ,*A si0 D A genera dos enteros primos bastante grandes + y 5. 10 D A calcula n3+5 y 6"n#3"+71#"571#. D A escoge aleatoriamente un b tal +ue 18b86"n# y m(d"b9 6"n##31. D A calcula a3b71mod 6"n#. D A guarda su llave privada "a9n#. D A publica su llave p/blica "b9n# ,*A en la encriptaci"n de mensa%e de un elemento 0 D compone el mensa%e : -un entero.. D recupera la llave publica de A "b9n#. D encripta el mensa%e ;3:bmod n. D env#a el mensa%e codificado ; a A. ,*A para la 2ecriptaci"n de un mensa%e el elemento A0 D A recibe el mensa%e codificado ;. D A decripta el mensa%e :3;amod n con su llave privada "a9n#. ,*A contra intento de Ata+ue de un elemento 40 D 4 recupera la llave p/blica de A "b9n#. D 4 recupera el mensa%e codificado ; enviado a A y D 4 necesita conocer a para poder descodificar el mensa%e. ;actori&ando n en + y 5, se puede calcular 6"n#3"+71#"571#, y con b se puede calcular a3b7 1mod 6"n#. D Pero la ;A4>A,6PA46QN es un problema :'E 26;646!. AES -Advanced $ncryption *tandard. es un algoritmo de encriptaci"n para proteger informaci"n delicada, aun+ue no clasificada, por las agencias gubernamentales de '*A y, como consecuencia, puede transformarse en el est(ndar de facto para las transacciones comerciales en el sector privado. !a criptograf#a para las comunicaciones clasificadas, incluyendo las militares, es gestionada por algoritmos secretos. $n enero de <NNO, $l N6*> -Nacional 6nstitute of *tandards and >echnology. inici" un proceso para encontrar un algoritmo m(s robusto +ue reempla&ara a 2$* y en menor medida a triple 2$* -C2$*.. !a especificaci"n solicitaba un algoritmo sim)trico usando encriptaci"n por blo+ues de <?L bits de tama1o, +ue soportara como m#nimo claves de <?L, <N? y ?KB bits. 2eb#a ser royalty-free para su uso en todo el mundo, y ofrecer un nivel de seguridad suficiente para los pr"ximos ?M " CM a1os. 11 IDEA -6nternational 2ata $ncryption Algorithm. es un algoritmo de encriptaci"n desarrollado en el $>F de Purich -*ui&a. por Rames :assey y Sue%ia !ai. 'sa criptograf#a de blo+ue con una clave de <?L bits, y se suele considerar como muy seguro. $st( considerado como uno de los algoritmos m(s conocidos. 2urante los a1os +ue lleva siendo usado, no ha sido publicado ning/n m)todo pr(ctico para reventarlo, a pesar de los numerosos intentos +ue han habido de encontrar uno. 62$A est( patentada en '*A y en la mayor parte de los pa#ses europeos, y la patente est( en manos de Ascom->ech A9. $l uso no comercial de 62$A es gratuito. &'n()onam)en*o 62$A 7 9eneraci"n de las sub-llaves <. !a llave de <?L bits divididos en L sub-llaves de <B bits. ?. !os bits de la llave de <?L bits sufren una rotaci"n circular de ?K bits a la i&+uierda. 4on esta nueva llave se contin/a en el paso <. C. !os pasos anteriores se repiten hasta obtener las K? sub-llaves de <B bits, llamadas0 P<, P?,...,PK?. 62$A en la $ncriptaci"n0 <. $l mensa%e se divide en blo+ues de BH bits, los cuales son codificados uno por uno. ?. 4ada blo+ue de BH bits se divide en H subblo+ues de <B bits, llamados0 S<, S?, SC y SH. C. A estos cuatro blo+ues se aplica L veces los pasos < a <H de la transparencia consecutiva. H. ;inalmente, a los cuatro blo+ues resultantes se les aplica los pasos <K a <L de la transparencia consecutiva. K. $stos /ltimos cuatro blo+ues resultantes forman el blo+ue de BH bits codificado. 12 62$A en la 2ecriptaci"n !a decriptaci"n de un blo+ue de BH bits se reali&a de la misma manera +ue la encriptaci"n, salvo +ue las sub-llaves son las sgtes.0 .1.0.2 Con*,oles ; ,)es<os aso()ados a la *e(nolo<=a VPN 4uando se desea implantar una VPN se debe estar consciente de las venta%as +ue va a aportar a la organi&aci"n, sin embargo, es importante considerar los riesgos +ue estas facilidades implican en caso de no adoptarse las medidas necesarias al implantar una VPN segura. !os est(ndares utili&ados para la implementaci"n de VPNs, garanti&an la privacidad e integridad de los datos y permiten la autenticaci"n de los extremos de la comunicaci"n, pero esto no es suficiente0 el uso err"neo de las VPN puede ser catastr"fico para el negocio. !as medidas para implantar una VPN TseguraU incluyen el uso de certificados digitales para la autenticaci"n de e+uipos VPN, token cards o tar%etas inteligentes para la autenticaci"n TfuerteU de usuarios remotos, y para el control de acceso es importante contar con un ;irewall y sistemas de autori&aci"n. 13 .1.0. Ce,*)>)(ados d)<)*ales4 4on el uso de certificados digitales, se garanti&a la autenticaci"n de los elementos remotos +ue generan el t/nel y elimina el problema de la distribuci"n de claves. 6mplantar un sistema PG6 -6nfraestructura de 4lave P/blica. para emitir los certificados digitales, permite tener el control absoluto de la emisi"n, renovaci"n y revocaci"n de los certificados digitales usados en la VPN. $l uso de PG6 no se limita s"lo a las VPNs sino +ue puede utili&arse para aplicaciones como firmas digitales, cifrado de correo electr"nico, entre otras. .1.0.. A'*en*)(a()1n >'e,*e4 $n la implantaci"n de una VPN se debe verificar +ue se est)n realmente autenticando los usuarios. $sto depender( de d"nde se almacene el certificado digital y la clave privada. *i el certificado digital y la clave privada se almacenan, protegidos por un P6N, en una tar%eta inteligente +ue el usuario lleva consigo, se est( autenticando al usuario. 2esafortunadamente, aun no existe un est(ndar definido +ue permita la implantaci"n a gran escala de lectores de tar%etas en los P4s. Por lo +ue esta opci"n en algunos casos no es factible. *i, por el contrario, el certificado digital y la clave privada se almacenan en el propio P4, no se est( autenticando al usuario sino al P4. Para autenticar al usuario, algunos fabricantes de sistemas VPN han a1adido un segundo nivel de autenticaci"n. $l uso de contrase1as es un nivel adicional de seguridad, pero no es el m(s adecuado, ya +ue carecen de los niveles de seguridad necesarios debido a +ue son f(cilmente reproducibles, pueden ser capturadas y realmente no autentican a la persona. $l m)todo m(s adecuado es autenticar a los usuarios remotos mediante un la utili&aci"n de sistemas de autenticaci"n fuerte. $stos sistemas se basan en la combinaci"n de dos factores0 el token y el P6N. 2e esta forma se asegura +ue s"lo los usuarios autori&ados acceden a la VPN de la organi&aci"n. M?*odos de a'*en*)>)(a()1n ,e(omendables D :*-4FAP v? 7 Versi"n me%orada de :*-4FAP 7 'sada frecuentemente 7 2esde el punto de vista del cifrado es mas fuerte +ue PAP, 4FAP, :*- 4FAP 7 ,ecomendada cuando no es posible implementar $AP->!* D $AP 7 $xtensible Authentication Protocol 7 *oporta varios tipos de Autenticaci"n D $AP-:2K0 2esafi"@,espuesta. No muy seguro. D $AP->!*0 asado en cerificados3 re+uiere pertenencia a un dominio3 dise1ado para ser utili&ado con *mart 4ards D $AP-,A26'*0 :ecanismo proxy de reenvi" de datos en un formato $AP especifico a un servidor ,A26'* 7 $l tipo a utili&ar se puede especificar en el servidor o mediante pol#ticas a un grupo especifico de usuarios. D P$AP0 Protected $AP 7 Protege las negociaciones $AP envolvi)ndolas con >!* 7 *e usa solo para conexiones wireless LM?.<< D *oporta reconexiones r(pidas para entornos grandes con roaming 7 Puede usar P$AP plus D $AP-:*-4FAPv?0 a1ade autenticaci"n mutua3 re+uiere +ue el cliente confi) en los certificados del servidor3 f(cil de implementar. D $AP->!*0 :uy seguro3 re+uiere una infraestructura PG6 7 Fay documentaci"n completa de como implementarlo en la Veb de >echNet M?*odos de a'*en*)>)(a()1n no ,e(omendables D Password Authentication Protocol -PAP. 7 $nv#a la password en texto claro. D *hiva Password Authentication Protocol -*PAP. 7 'tili&a cifrado reversible D 4hallenge Fandshake Authentication Protocol -4FAP. 7 'tili&a :2K para proporcionar autenticaci"n mediante desaf#o-respuesta < 7 ,e+uiere almacenar las contrase1as con cifrado reversible en el servidor D :*-4FAP 7 $xisten debilidades conocidas .1.0.0 &),e@all ; S)s*emas de A'*o,)za()1n4 $l control de acceso se puede reali&ar utili&ando ;irewalls y sistemas de autori&aci"n3 de esta manera se aplican pol#ticas de acceso a determinados sistemas y aplicaciones de acuerdo al tipo de usuarios o grupos de usuarios +ue los acceden. .. CONCLUSIONES D !as VPNs representan una gran soluci"n para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y pr(cticamente se ha convertido en un tema importante en las organi&aciones, debido a +ue reduce significativamente el costo de la transferencia de datos de un lugar a otro. D !as VPNs sin embargo, tienen inconvenientes y para ello primeramente se deben establecer correctamente las pol#ticas de seguridad y de acceso por+ue si esto no est( bien definido pueden existir consecuencias serias. D Para permitir la comunicaci"n entre dos personas sin +ue una tercera persona pueda comprender el mensa%e transmitido se puede optar por alg/n tipo de algoritmos de encriptaci"n. D Para elaboraci"n de pol#ticas de seguridad de VPNs, estas deben estar construidas de acuerdo al tipo de empresa, donde est(n implementadas. D !a seguridad es uno de los factores fundamentales y de )xito de la utili&aci"n de algoritmos de encriptaci"n, garanti&a en todo momento +ue las comunicaciones sean fiables. D $l uso de m)todos de autentificaci"n en implementaci"n de VPNs asegura +ue s"lo los usuarios autori&ados acceden a la VPN de la organi&aci"n, puedan tener acceso a esta. D !a resistencia de la criptograf#a a los ata+ues est( basada en la dificultad calculatoria de ciertos problemas matem(ticos, o en la extrema confusi"n y dispersi"n aplicada a la informaci"n. D $n un entorno distribuido y abierto como es 6nternet, la criptograf#a tiene un papel muy importante. D 4on el uso de protocolos de encriptaci"n, la informaci"n +ue atraviesa 6nternet lo hace de forma cifrada, de modo +ue s"lo el destinatario seleccionado ser( capa& de leer la misma. 6ncluso en el caso de escuchas no permitidas, no ser( posible la recuperaci"n de la informaci"n original de forma legible sin conocer las claves +ue s"lo los interlocutores leg#timos poseen. A. DATOS PERSONALES Pamela 6sabel 9on&ales :aldonado naci" un C de noviembre de <NL?,en la ciudad de !a Pa& - olivia, estudio en el 4olegio *anta Ana de esta misma ciudad, egresando el a1o ?MMM, posteriormente ingreso a estudiar a la 'niversidad 4at"lica oliviana T*an PabloU donde obtuvo el grado de !icenciada en 6ngenier#a de *istemas. Actualmente se encuentra cursando la :aestr#a de telecomunicaciones E >elem(tica en 'niversidad 4at"lica oliviana T*an PabloU, y el 2iplomado en Auditor#a de *istemas y *eguridad de los Activos de la 6nformaci"n en la 'niversidad :ayor de *an Andres. A. IN&OGRA&IA D http0@@www.acis.org.co@ m e m orias@Rornadas*eguridad@6VRN*6@:auricio:uno&- 6VRN*6.pdf D http0@@www.idg.es@co m puterworld@articulo.aspWidX<KCCBC D http0@@www.co m puting.es@6nfor m es @?MMLM??<MM<L@4ontrol-de-acceso-la-solucion- de-seguridad-para-redes-de-altas-prestaciones.aspx D http0@@www. m i crosoft.co m @ spain@tec h net@recursos@articulos@ipsecchK. m spx D www.idg.es@co m unicaciones@articulo.asp W idX<CC<HM D http0@@www.canalsw.co m @ayudas@glo s ario@glosario?.aspWidXLMKYicXH D http0@@www.uv.es@ciuv@cas@vpn@index.ht m l D www.publispain.co m @supertutoriales@ m at e m a tica@criptografia@ c ursos@C@crypto.pdf - D eia.udg.es@Zcmantill@admonxarxes@clase<?.pdf - D ccia.ei.uvigo.es@docencia@**6@practicas@cifrado-%ce.pdf - D cia.ei.uvigo.es@docencia@**6@>emaC.p?.pdf D www.caserveis.net@aplication@c m s@docu m entos@doc<[<H<??MMKM<CB?N.pdf D www.%alerc o m .c o m @c ms@upload @ articles@art-pwrline.pdf D www.g e m e l ostorage.co m @ 4ontenidos@:anu a les@Personal@ 9 A[Personal[6nscripci" n.pdf D geneura.ugr.es@Z%merelo@2y$4@>emaH@2y$4->emaH.pdf D www.cesip.org@es@enlaces-bdd@traba%os@bo livia@?MMC@villalba[criptografia.pdf