Professional Documents
Culture Documents
A Dios por cada una de las personas que puso en mi camino. A mi Padres Blanca
Quintero y Daniel Peña, por apoyarme en el transcurso de toda mi carrera. A mis
hermanos Daniel Peña, Alejandro Peña, Moisés Linares y a mi esposo Roberth
Castellanos que me han acompañado durante este camino. A ustedes les dedico el
trabajo de grado.
vi
AGRADECIMIENTO
Ante todo agradezco a Dios por darme la fortaleza y herramientas necesarias para
cumplir mis objetivos.
Agradezco a la Universidad Central de Venezuela (UCV), por haberme brindado
la oportunidad de cursar y adquirir conocimientos a lo largo de mi especialización.
Agradezco a mi tutor el prof. Vincenzo Mendillo por haberme orientado y
apoyado durante el desarrollo de Trabajo Especial de Grado. Agradezco a la sra. Gipsy
Azuaje por toda su colaboración e información suministrada durante mi
especialización.
A mi familia y amigos que de una u otra forma están presentes en mi crecimiento
personal y profesional.
Muchas Gracias a todos por haberme brindado durante todo este tiempo su
confianza, amor y apoyo en mis años de carrera.
vii
ÍNDICE GENERAL
DEDICATORIA ....................................................................................................................... ii
AGRADECIMIENTO ............................................................................................................ vii
RESUMEN ............................................................................................................................... v
ÍNDICE GENERAL .............................................................................................................. viii
ÍNDICE DE FIGURAS............................................................................................................ xi
ÍNDICE DE TABLAS ........................................................................................................... xiv
SIGLAS .................................................................................................................................. xv
ACRÓNIMOS........................................................................................................................ xvi
GLOSARIO GENERAL ...................................................................................................... xviii
INTRODUCCIÓN .................................................................................................................. 20
CAPÍTULO I .......................................................................................................................... 22
EL PROBLEMA ..................................................................................................................... 22
1.1 PLANTEAMIENTO DEL PROBLEMA ............................................................... 22
1.2 JUSTIFICACIÓN DEL PROBLEMA .................................................................... 23
1.3 OBJETIVOS ........................................................................................................... 24
1.3.1 OBJETIVO GENERAL .................................................................................. 24
1.3.2 OBJETIVOS ESPECÍFICOS .......................................................................... 24
1.4 ALCANCE DEL PROYECTO ............................................................................... 25
CAPÍTULO II ......................................................................................................................... 27
MARCO TEÓRICO................................................................................................................ 27
2.1 ANTECEDENTES ................................................................................................. 27
2.2 REQUISITOS PARA UNA VPN ........................................................................... 28
2.2.1 Compatibilidad ................................................................................................ 28
2.2.2 Seguridad ........................................................................................................ 29
2.2.3 Disponibilidad ................................................................................................. 29
2.2.4 Interoperabilidad ............................................................................................. 30
2.3 OCS INVENTORY ................................................................................................ 31
2.4 CONTROL DE APLICACIONES.......................................................................... 32
CAPÍTULO III ........................................................................................................................ 33
MARCO METODOLÓGICO ................................................................................................. 33
3.1 METODOLOGÍA DE LA INVESTIGACIÓN ...................................................... 33
viii
3.2 METODOLOGÍA EMPLEADA EN EL DISEÑO E IMPLEMENTACIÓN ........ 34
FASE I ............................................................................................................................. 34
FASE II............................................................................................................................ 34
FASE III .......................................................................................................................... 34
FASE IV .......................................................................................................................... 35
FASE V ............................................................................................................................ 35
CAPÍTULO IV........................................................................................................................ 36
CARACTERÍSTICAS DE LOS RECURSOS DE LA ORGANIZACIÓN............................ 36
4.1 RECURSOS TECNOLÓGICOS DE LA ORGANIZACIÓN ................................ 36
4.1.1 Servidor de Active Directory .......................................................................... 36
4.1.2 Firewall Fortigate ............................................................................................ 37
4.1.3 Recolector de Logs Fortianalyzer (FAZVM64) .............................................. 38
4.1.4 Diagrama de Red de la Organización.............................................................. 38
CAPÍTULO V ......................................................................................................................... 40
RESULTADOS....................................................................................................................... 40
5.1 DISEÑO DE LA VPN ............................................................................................ 40
5.2 ADECUACIÓN DE LA PLATAFORMA TECNOLÓGICA ................................ 41
5.2.1 Creación de Grupo de Seguridad en el Directorio Activo .............................. 41
5.2.2 Configuración e Instalación del OCS Inventory ............................................. 43
5.2.2.1 Instalación del OCS .................................................................................... 43
5.2.2.1.1 Instalación del OCS Server ................................................................... 44
5.2.2.1.2 Instalación del OCS Agente .................................................................. 49
5.2.2.2 Inventario de Software Remoto .................................................................. 54
5.2.3 Configuración de Control de Aplicaciones para el Acceso Remoto ............... 56
5.2.3.1 Verificación de Bloqueo Control de Aplicaciones...................................... 58
5.2.4 Creación de Certificado en OpenSSL ............................................................. 59
5.2.5 Política de Acceso Remoto ............................................................................. 63
5.2.6 Elección de Protocolo VPN ............................................................................ 63
5.3 CONFIGURACIÓN DE VPN-SSL-LDAP ............................................................ 66
5.3.1 Configuración Servidor LDAP ....................................................................... 66
5.3.2 Configuración parámetros VPN SSL .............................................................. 69
5.3.2.1 Configuración SSL-VPN Settings............................................................... 69
5.3.2.2 Creación Objeto de Firewall para VPN-SSL .............................................. 70
ix
5.3.2.3 Creación de Portal VPN-SSL ...................................................................... 71
5.3.3 Política de Firewall VPN-SSL ........................................................................ 72
5.4 MANUAL DE CONEXIÓN VPN .......................................................................... 73
5.5 PRUEBAS Y RESULTADOS CONEXIÓN VPN ................................................. 78
CAPÍTULO VI........................................................................................................................ 80
CONCLUSIONES Y RECOMENDACIONES ...................................................................... 80
6.1 CONCLUSIONES .................................................................................................. 80
6.2 RECOMENDACIONES ......................................................................................... 82
REFERENCIAS ...................................................................................................................... 83
ANEXOS ................................................................................................................................ 85
ANEXO A............................................................................................................................... 85
ANEXO B ............................................................................................................................... 99
ANEXO C ............................................................................................................................. 113
ANEXO D............................................................................................................................. 120
x
ÍNDICE DE FIGURAS
Figura 1. Características del Sistema Active Directory de la Organización. .......................... 36
Figura 2. Fortigate 60D ........................................................................................................... 38
Figura 3. Diagrama de red de la Organización ....................................................................... 39
Figura 4. Diseño VPN-SSL..................................................................................................... 41
Figura 5. Grupo VPN LDAP en el Directorio Activo ............................................................. 42
Figura 6. Propiedades del Grupo VPN SSL ............................................................................ 42
Figura 7. Características del Sistema Active Directory de la Organización. .......................... 43
Figura 8. Inicio instalación OCS Inventory Server ................................................................. 44
Figura 9. Instalación como administrador OCS Inventory Server .......................................... 44
Figura 10. Menú Installer Language – OCS Inventory ........................................................... 45
Figura 11. Asistente de Instalación OCS Inventory ................................................................ 45
Figura 12. Acuerdo de Licencia OCS Inventory Server ......................................................... 46
Figura 13. Carpeta de Instalación OCS Inventory Server ....................................................... 46
Figura 14. Selección de Componentes Instalación OCS Inventory ........................................ 47
Figura 15. Asistente de Instalación OCS Inventory ................................................................ 47
Figura 16. Finalización de la Instalación OCS Inventory Server............................................ 48
Figura 17. Verificación vía web OCS Inventory .................................................................... 48
Figura 18. Finalización actualización base de datos OCS Inventory ...................................... 49
Figura 19. Inicio instalación OCS Agent ................................................................................ 49
Figura 20. Instalación como administrador OCS Inventory Agent......................................... 50
Figura 21. Instalación de OCS Inventory NG Agent .............................................................. 50
Figura 22. Acuerdo de Licencia OCS Inventory Agent .......................................................... 51
Figura 23. Selección de Componentes Instalación OCS Inventory Agent ............................. 51
Figura 24. Propiedades del OCS Inventory NG Server .......................................................... 52
Figura 25. Propiedades Servidor Proxy Instalación OCS Agent ............................................ 52
Figura 26. Propiedades del Agente OCS Inventory para Windows ........................................ 53
Figura 27. Carpeta de Instalación OCS Inventory Server ....................................................... 53
Figura 28. Finalización de la Instalación OCS Inventory Agent ............................................ 54
Figura 29. Administración web del OCS Inventory................................................................ 54
xi
Figura 30. Máquinas registradas en el OCS Inventory ........................................................... 55
Figura 31. Búsqueda de Software en el OCS Inventory ......................................................... 55
Figura 32. Identificación de Software de Acceso Remoto en el OCS Inventory .................... 56
Figura 33. Configuración del sensor de control de aplicaciones, bloqueo de Team Viewer .. 56
Figura 34. Finalización de la configuración del sensor de control de aplicaciones ................ 57
Figura 35. Política de firewall con control de aplicaciones en enlace Inter. ........................... 57
Figura 36. Política de firewall con control de aplicaciones en enlace Level3 ........................ 58
Figura 37. Bloqueo del Team Viewer a través del control de aplicaciones ............................ 58
Figura 38. Mensaje del Team Viewer luego de aplicar el control de aplicaciones ................. 58
Figura 39. Log de bloqueo del Team Viewer – Fortianalyzer ................................................ 59
Figura 40. Key generado con OpenSSL.................................................................................. 60
Figura 41. Certificado generado con OpenSSL ...................................................................... 60
Figura 42. Archivos: SSL-LDAP.crt y el LDAP-vpn.key ..................................................... 60
Figura 43. Importar certificado en el Fortigate 60D ............................................................... 61
Figura 44. Importar certificado Local en Fortigate 60D ......................................................... 61
Figura 45. Carga de archivos SSL-LDAP.crt y LDAP-vpn.key en el Fortigate 60D ............. 62
Figura 46. Descarga del certificado en el Fortigate 60D ........................................................ 62
Figura 47. Descarga del certificado en la máquina del usuario .............................................. 62
Figura 48. Atributo LDAP ...................................................................................................... 66
Figura 49. Creación del Servidor LDAP en el Fortigate ......................................................... 67
Figura 50. Creación de Grupo de Usuarios en el Fortigate ..................................................... 67
Figura 51. Creación de Grupo de Usuarios VPN-SSL ............................................................ 67
Figura 52. Asociación de Grupo de Usuarios con Grupo LDAP ............................................ 68
Figura 53. Selección de Grupo de Seguridad: VPN-SSL ....................................................... 68
Figura 54. Grupo de Usuarios VPN-SSL ................................................................................ 69
Figura 55. SSL-VPN Settings ................................................................................................. 70
Figura 56. Objeto de Firewall en el Fortigate 60D ................................................................. 70
Figura 57. Portal SSL-VPN .................................................................................................... 71
Figura 58. Autenticación y mapeo del Portal VPN ................................................................. 71
Figura 59. Configuración de la política de Firewall desde ssl.rootVLAN50 ...................... 72
Figura 60. Configuración de la política de Firewall desde ssl.rootVLAN51 ...................... 73
xii
Figura 61. Solicitud de credenciales inicio de sesión VPN modo web. .................................. 73
Figura 62. Inicio de sesión VPN modo web. .......................................................................... 74
Figura 63. Descarga en modo web del Forticlient. ................................................................. 74
Figura 64. Descarga de Forticlient para Windows. ................................................................. 74
Figura 65. Conexión rápida VPN-SSL modo web. ................................................................. 75
Figura 66. Protocolos permitidos en la conexión rápida VPN-SSL modo web. ..................... 75
Figura 67. Aceptar términos de licencia Forticlient. ............................................................... 75
Figura 68. Selección de Componente VPN Only en el Forticlient. ........................................ 76
Figura 69. Carpeta de instalación Software Forticlient. .......................................................... 76
Figura 70. Inicio de instalación de cliente VPN. .................................................................... 77
Figura 71. Culminación de la instalación de cliente VPN. ..................................................... 77
Figura 72. Configuración de nueva conexión VPN SSL. ....................................................... 78
Figura 73. Inicio de sesión usuario LDAP a través de la VPN SSL. ...................................... 78
Figura 74. Log de conexión VPN-SSL-LDAP en el dispositivo Fortigate 60D. .................... 79
Figura 75. Extracto reporte VPN-SSL-LDAP en el dispositivo Fortianalyzer. ...................... 79
Figura 76. Fases del Protocolo IPSec...................................................................................... 87
Figura 77. Gateway SSL VPN y Conexión Proxy .................................................................. 89
Figura 78. Modos de operación VPN SSL. ............................................................................. 92
Figura 79. Modelos de implementación de L2TP ................................................................... 93
Figura 80. Negociación L2TP sobre IPsec.............................................................................. 95
Figura 81. Formato de paquete L2TP sobre IPsec .................................................................. 96
Figura 82.Negociación conexión PPTP .................................................................................. 97
Figura 83. Aplicaciones de Algoritmos asimétricos ............................................................. 104
Figura 84. Certificado Digital X.509 .................................................................................... 108
Figura 85. Certificación Digital ............................................................................................ 111
Figura 86. SSL and TCP/IP .................................................................................................. 115
Figura 87. Estructura del Protocolo SSL/TSL ...................................................................... 117
Figura 88. TLS Handshake ................................................................................................... 119
Figura 89. Estructura de árbol de la información.................................................................. 121
Figura 90. Atributos LDAP................................................................................................... 123
xiii
ÍNDICE DE TABLAS
Tabla 1.Características del Fortigate 60D ............................................................................... 37
Tabla 2. Accesos VPN-SSL .................................................................................................... 40
Tabla 3. Comparación VPN IPSec vs SSL ............................................................................. 65
Tabla 4. Resumen de Tecnologías de acceso remoto. ............................................................. 98
Tabla 5. Protocolos sobre SSL .............................................................................................. 116
Tabla 6. Referencia atributos en servidor LDAP. ................................................................. 124
xiv
SIGLAS
IETF: Internet Engineering Task Force.
ITU: International Telecommunication Union
NIST: National Institute of Standards and Technology.
NSA: National Security Agency.
xv
ACRÓNIMOS
3DES: Triple Data Encryption Standard.
AES: Advanced Encryption Standard.
CA: Certification Authority.
CHAP: Challenge-Handshake Authentication Protocol.
CIR: Committed Information Rate.
DES: Data Encryption Standard.
DH: Diffie-Hellman.
DIT: Directory Information Tree.
DN: Distinguished Name.
DSS: Digital Signature Standard.
HMAC: MAC basado en hash.
HTTP: Hypertext Transfer Protocol.
HTTPS: Hypertext Transfer Protocol Secure.
IKE: Internet Key Exchange.
IMAP: Internet Message Access Protocol.
ISDN: Integrated Services Digital Network.
ISP: Proveedor de servicios de Internet.
L2TP: Layer 2 Tunneling Protocol.
LAN: Local Area Network.
LDAP: Lightweight Directory Access Protocol.
MAC: Message authentication code
MD5: Message Digest 5.
MS-CHAP: Microsoft CHAP.
NAT: Network Address Traslation.
OSI: Open System Interconnection.
PAP: Password Authentication Protocol.
PKI: Public Key Infrastructure
POP3: Post Office Protocol version 3.
xvi
PPTP: Point-to-Point Tunneling Protocol
QoS: Quality of Service.
RSA: Rivest, Shamir y Adelman.
SHA-1: Secure Hash Algorithm 1.
SMTP: Simple Mail Transfer Protocol.
SSL: Secure Socket Layer
TCP/IP: Protocolo de Control de Transmisión/Protocolo de Internet.
UDP: User Datagram Protocol.
VPN: Virtual Private Network.
WAN: Wide Area Network.
WWW: World Wide Web
X.509: Estándar de ITU-T para la Infraestructura de clave pública.
xvii
GLOSARIO GENERAL
Firewall: Es una parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios.
xviii
LDAP: Es un protocolo estándar que permite administrar directorios, esto es, acceder
a bases de información de usuarios de una red mediante protocolos TCP/IP.
VPN: Permite crear una conexión segura a una red remota a través del Internet.
Cuando se conecta cualquier dispositivo a un concentrador VPN, esta conexión actúa
como una extensión de la LAN y todo el tráfico de datos se envía de forma segura a
través del túnel VPN.
xix
INTRODUCCIÓN
20
Capítulo Tercero: Este capítulo se basa en la metodología de la investigación que
se utilizó en el desarrollo del Proyecto de Grado.
21
CAPÍTULO I
EL PROBLEMA
22
1.2 JUSTIFICACIÓN DEL PROBLEMA
23
- El tráfico viaja de forma segura, ya que el mismo se encuentra encriptado.
- Esta VPN-SSL puede ser utilizada de forma web ó utilizando cliente VPN-SSL.
1.3 OBJETIVOS
24
Definir la arquitectura a utilizar en la implementación de la VPN SSL.
25
Configurar e implementar de políticas de firewall para la conectividad de los
usuarios VPN.
26
CAPÍTULO II
MARCO TEÓRICO
2.1 ANTECEDENTES
Una VPN (Virtual Private Network), es una red privada virtual que utiliza una
red pública (Internet) para conectar sitios remotos o usuarios. En vez de utilizar una
conexión dedicada como enlace WAN, una VPN utiliza conexiones "virtuales" que se
enrutan a través de Internet desde la red privada de la empresa hasta el sitio remoto o
viceversa.
Una VPN bien diseñada puede aportar grandes beneficios a una empresa. Por
ejemplo, puede:
27
- Mejorar la productividad.
Vincenzo Mendillo (2011), indicó los requisitos para la Red Privada Virtual
(VPN), dichos requisitos se pueden agrupar en cuatro áreas principales:
compatibilidad, seguridad, disponibilidad e interoperabilidad.
2.2.1 Compatibilidad
Para que una VPN pueda utilizar Internet, debe ser compatible con el protocolo
de Internet (IP). Resulta obvia esta consideración con el fin de poder asignar y,
posteriormente, utilizar conjuntos de direcciones IP. Sin embargo, la mayoría de redes
privadas emplean direcciones IP privadas o no-oficiales, provocando que únicamente
unas pocas puedan ser empleadas en la interacción con Internet. La razón por la que
sucede esto es simple, la obtención de un bloque de direcciones IP oficiales
suficientemente grande como para facilitar un subnetting resulta imposible. Las
subredes simplifican la administración de direcciones así como la gestión de los routers
y conmutadores, pero malgastan direcciones muy preciadas.
28
direcciones Internet mediante NAT (Network Address Traslation) y el empleo de
túneles para encapsulamiento.
2.2.2 Seguridad
2.2.3 Disponibilidad
29
La calidad de servicio (QoS – Quality of Service), hace referencia a la capacidad
que dispone una red para asegurar un cierto grado de operación de extremo a extremo.
La QoS puede venir dada como una cierta cantidad de ancho de banda o un retardo que
no debe sobrepasarse, o bien como una combinación de ambas. Actualmente, la entrega
de datos en Internet es realizada de acuerdo al mejor esfuerzo (best effort), lo cual no
garantiza la calidad de servicio demandada. No obstante, en el futuro Internet será
capaz de suplir esta carencia ofreciendo un soporte para la QoS a través de un conjunto
de protocolos emergentes entre los que cabe destacar DiffServ (Differential Services),
RSVP (Resource ReSerVation Protocol) y RTP (Real Time Protocol). Pero por ahora,
los proveedores sólo proporcionan la QoS de las VPNs haciendo uso del tráfico CIR
(Committed Information Rate) en Frame Relay u otras técnicas (ejemplo MPLS).
2.2.4 Interoperabilidad
30
Una vez vista la relevancia que presentan estas cuatro áreas para las VPN, se
procederá a realizar una breve descripción de los principales protocolos comúnmente
utilizados, los cuales permiten alcanzar en general unos resultados satisfactorios,
principalmente en las áreas de seguridad y compatibilidad. En los Anexos: A, B, C y
D se explica detalladamente las tecnologías de acceso remoto, bloques criptográfico
para SSL, el protocolo SSL/TSL y finalmente el protocolo LDAP.
Otra de las ventajas de OCS Inventory, además de tener un control completo del
hardware de cada uno de los dispositivos de nuestra red, el software instalado o los
usuarios del sistema, es la de permitir instalar remotamente aplicaciones, por ejemplo,
31
realizar un despliegue masivo en todo nuestro parque informático de manera
centralizada, lo cual es un aspecto muy interesante.
32
CAPÍTULO III
MARCO METODOLÓGICO
33
3.2 METODOLOGÍA EMPLEADA EN EL DISEÑO E IMPLEMENTACIÓN
34
En esta fase la autora realizará la configuración e integración del Firewall
Fortigate con el LDAP, así como la creación de políticas de Firewall que permite el
acceso desde Internet hacia la LAN a través de la VPN-SSL.
35
CAPÍTULO IV
36
4.1.2 Firewall Fortigate
System Performance
System Performance Firewall Throughput (1518 / 512 / 64 byte UDP
packets) 1.5 / 1.5 / 1.5 Gbps
Firewall Latency (64 byte UDP packets) 4 μs
Frewall Throughput (Packets Per Second) 2.2 Mpps
Concurrent Sessions (TCP) 500000
New Sessions/Second (TCP) 4000
Firewall Policies 5000
IPsec VPN Throughput (512 byte packets) 1 Gbps
Gateway-to-Gateway IPsec VPN Tunnels 200
Client-to-Gateway IPsec VPN Tunnels 500
SSL-VPN Throughput 30 Mbps
Concurrent SSL-VPN Users (Recommended Maximum) 100
IPS Throughput (HTTP / Enterprise Mix) 200/41 Mbps
SSL Inspection Throughput 32 Mbps
Application Control Throughput 50 Mbps
NGFW Throughput 23 Mbps
Threat Protection Throughput 20 Mbps
CAPWAP Throughput 250 Mbps
Virtual Domains (Default / Maximum) 10-oct
Maximum Number of FortiAPs (Total / Tunnel Mode) 10-may
Maximum Number of FortiTokens 100
Maximum Number of Registered FortiClients 200
Active / Active, Active / Passive,
High Availability Configurations
Clustering
37
En la figura 2, se muestran las características físicas del dispositivo Fortigate
60D.
Este dispositivo trae por defecto una serie de reportes. Sin embargo, los
administradores de la organización pueden generar reportes personalizados según las
necesidades de la empresa.
38
LEVEL 3
INTERCABLE CANTV
Internal7
wan2 wan1
Internal1
Switch LAN
Red de Red de
Servidores Usuarios
39
CAPÍTULO V
RESULTADOS
40
Usuarios Remotos
LEVEL 3
Túnel VPN
Level3
INTERCABLE CANTV
Internal7
wan2 wan1
Túnel VPN
Intercable Internal1 Túnel VPN Usuarios Remotos
Usuarios Remotos
CANTV
Switch LAN
Red de
Usuarios
Red de
Servidores
41
En la figura 5, se muestra el grupo: VPN LDAP en el Directorio Activo.
42
5.2.2 Configuración e Instalación del OCS Inventory
43
5.2.2.1.1 Instalación del OCS Server
44
Figura 10. Menú Installer Language – OCS Inventory
45
Figura 12. Acuerdo de Licencia OCS Inventory Server
46
Figura 14. Selección de Componentes Instalación OCS Inventory
,
Figura 15. Asistente de Instalación OCS Inventory
47
Figura 16. Finalización de la Instalación OCS Inventory Server
48
- Luego de ingresar las credenciales en el OCS Inventory NG, se hace la
actualización de la base de datos y se culmina con el proceso de instalación, tal
como se muestra en la figura 18.
49
Seleccionar el software: OCS-NG-Windows-Agent-Setup.exe, presionar el
botón derecho del mouse y ejecutar como administrador. En la figura 20 se muestra la
acción descrita anteriormente.
50
Figura 22. Acuerdo de Licencia OCS Inventory Agent
51
Figura 24. Propiedades del OCS Inventory NG Server
52
Figura 26. Propiedades del Agente OCS Inventory para Windows
53
Figura 28. Finalización de la Instalación OCS Inventory Agent
54
Figura 30. Máquinas registradas en el OCS Inventory
55
Figura 32. Identificación de Software de Acceso Remoto en el OCS Inventory
Figura 33. Configuración del sensor de control de aplicaciones, bloqueo de Team Viewer
56
Figura 34. Finalización de la configuración del sensor de control de aplicaciones
57
Figura 36. Política de firewall con control de aplicaciones en enlace Level3
Figura 37. Bloqueo del Team Viewer a través del control de aplicaciones
Figura 38. Mensaje del Team Viewer luego de aplicar el control de aplicaciones
58
Se verificó en el recolector de Logs (Fortianalyzer) de la organización y se pudo
observar el bloqueo de la aplicación, a través del control de aplicaciones como se
muestra en la figura 39.
59
Figura 40. Key generado con OpenSSL
- Con el comando: openssl req -new -x509 -days 3650 -key LDAP-vpn.key -
sha256 -extensions v3_ca -out SSL-LDAP.crt, se solicita un certificado con una
vigencia de 10 años, dicho certificado contiene los datos de la organización, tal
como se muestra en la figura 41.
60
- Para importar el certificado en el Fortigate, se debe seleccionar en el menú:
CertificatesImport, tal como se muestra en la figura 43.
61
Figura 45. Carga de archivos SSL-LDAP.crt y LDAP-vpn.key en el Fortigate 60D
- En la figura 47, se muestra la descarga del certificado que se debe utilizar para
la VPN-SSL-LDAP.
62
5.2.5 Política de Acceso Remoto
Vincenzo Mendillo (2016), indicó que una VPN (Virtual Private Network) es
esencialmente una forma de comunicación que usa recursos de transmisión y
conmutación compartidos, es decir públicos (lo que usualmente implica inseguros).
63
Conceptualmente, un túnel de comunicaciones significa encapsular los paquetes
que llevan un cierto protocolo (por ejemplo HTTP) dentro de paquetes de otro
protocolo (por ejemplo SSL/TLS, PPTP o IPSec). Mediante el encapsulamiento se
añade un nuevo encabezado al paquete original, y los datos además se encriptan y se
autentican. El encapsulamiento se efectúa a la entrada de túnel y el nuevo paquete viaja
a través de la red de tránsito hasta alcanzar el final del túnel, donde se remueve el
encabezado, se desencriptan los datos y reaparece el paquete original. El túnel es la
ruta de información lógica a través de la cual viajan los paquetes encapsulados. Para
los interlocutores de origen y de destino originales, el túnel suele ser transparente.
El rasgo que distingue a SSL de otros protocolos para túneles seguros como
PPTP, L2TP, o IPSec es que se ubica en el modelo OSI entre los niveles de transporte
(TCP/IP) y de aplicación, suministrando un canal seguro a nivel de socket (conector),
de allí su nombre.
64
protocolos de seguridad: AH (Authentication Header) y ESP (Encapsulating Security
Protocol), así como mediante un conjunto de protocolos necesarios para la gestión de
claves criptográficas, llamado IKE (Internet Key Exchange).
Xauthtype Si No
VPN-SSL modo web (limitado), también
permite realizar la conexión rápida vía
Acceso a los recursos de la web hacia los siguientes servicios:
Sin restricciones
Organización HTTP/HTTPS, FTP, RDP, VNC, SSH,
SMB/CIFS, Citrix.
VPN-SSL modo túnel (Ilimitado).
65
5.3 CONFIGURACIÓN DE VPN-SSL-LDAP
66
Figura 49. Creación del Servidor LDAP en el Fortigate
67
o Al seleccionar en Remote Groups la opción: Create New, se debe ubicar el
servidor LDAP que se creó en el Fortinet para la implementación de la VPN-
SSL. Esta actividad permite asociar un grupo local con el Servidor LDAP
creado previamente, tal como se muestra en la figura 52.
68
o Posteriormente el grupo de usuarios local: VPN-SSL, se asocia al grupo
remoto: My-LDAP, en el cual se indica el grupo de seguridad del directorio
activo que va a tener acceso a la VPN, tal como se muestra en la figura 54.
En el menú SSL-VPN Settings, se deben definir las interfaces por las cuales se
va a permitir la conexión de acceso remoto. En el menú Server Certificate, se debe
asociar el certificado generado previamente a través del software OpenSSL.
Adicionalmente, la VPN permite configurar los DNS internos de la organización, tal
como se muestra en la figura 55.
69
Figura 55. SSL-VPN Settings
El objeto de firewall: VPN SSL LDAP, se crea con el fin de permitir el rango de
direcciones IP: 10.100.20.1-10.100.20.10 en la política de firewall y en el portal SSL.
Este direccionamiento IP se le asigna dinámicamente a los usuarios que se conectan
vía VPN-SSL. En la figura 56, se muestra la configuración del objeto de firewall.
70
5.3.2.3 Creación de Portal VPN-SSL
En el Portal VPN-SSL, se debe definir hacia que segmentos de red los usuarios
tienen acceso a través de la VPN, así como también se debe especificar en qué modo
va a funcionar la VPN: modo web o modo túnel, tal como se muestra en la figura 57.
71
5.3.3 Política de Firewall VPN-SSL
72
Figura 60. Configuración de la política de Firewall desde ssl.rootVLAN51
73
Figura 62. Inicio de sesión VPN modo web.
74
Figura 65. Conexión rápida VPN-SSL modo web.
75
- En el menú Forticlient Setup Wizard, seleccionar la opción VPN Only, como se
muestra en la figura 68.
76
Figura 70. Inicio de instalación de cliente VPN.
77
Figura 72. Configuración de nueva conexión VPN SSL.
78
Figura 74. Log de conexión VPN-SSL-LDAP en el dispositivo Fortigate 60D.
79
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1 CONCLUSIONES
80
En la organización, se implementó un software que se encarga de realizar la
auditoría de hardware y software, permitiéndole a la autora identificar rápidamente el
software de acceso remoto. Esto con la finalidad de dar cumplimiento a uno de los
objetivos planteados en el presente trabajo de grado. En la actualidad, existen muchos
fabricantes que manejan las configuraciones de VPN-SSL en sus dispositivos, así como
soluciones en software libre como por ejemplo OpenVPN, depende del administrador
de la organización que solución va a implementar, sí se debe adquirir un nuevo
hardware para disfrutar de estas bondades o si se va a realizar la adecuación de la
plataforma actual para implementar esta solución.
81
6.2 RECOMENDACIONES
82
REFERENCIAS
Alshamsi, A., Saito T. (2005). A Technical Comparison of IPSec and SSL. Tokyo:
Tokyo University of Technology.
Array Networks, Inc. SSL vs. IPSec. Disponible desde Internet en:
https://www.arraynetworks.com/ufiles/resources/WP-SPX-SSL-vs-IPSec-May-
2011-Rev-A.pdf [con acceso el 08/05/2016].
CISCO (2008). Cómo funcionan las redes privadas virtuales (VPN) [Documento en
línea].Disponible:http://www.cisco.com/cisco/web/support/LA/7/74/74718_how_
vpn_works.pdf [con acceso el 12/06/2016].
Fortinet (2014). Virtual Private Networks (VPNs). Disponible desde Internet en:
http://docs.fortinet.com/uploaded/files/2056/inside-fortios-vpn-52.pdf [con acceso
el 07/05/2016].
83
Jazib , F y Qiang , H. (2008). Cisco. SSL Remote Access VPNs. Cisco Press.
Microsoft. Active Directory: LDAP Syntax Filters. Disponible desde Internet en:
http://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-
ldap-syntax-filters.aspx [con acceso el 17/02/2016].
Vincenzo Mendillo. (2011). Comunicaciones Seguras con Red Privada Virtual (VPN).
Caracas. Universidad Central de Venezuela, Facultad de Ingeniería. Escuela de
Ingeniería Eléctrica.
Vincenzo Mendillo. (2016). Red Privada Virtual (VPN) con SSL, OPENVPN y SSH.
Universidad Central de Venezuela, Facultad de Ingeniería. Escuela de Ingeniería
Eléctrica
84
ANEXOS
ANEXO A
Dentro de las tecnologías que se utilizan para el acceso remoto se encuentran las
siguientes:
- IPsec.
- VPN SSL.
85
- L2TP.
- PPTP.
IPsec
IPsec fue diseñado para proporcionar integridad de los datos, asegurando que los
paquetes no sean modificados durante la transmisión, la autenticación de paquetes se
asegura de que los paquetes provienen de una fuente válida y el cifrado de datos para
garantizar la confidencialidad del contenido.
El propósito de IKE, tal como se define en el RFC 2409, "El Internet Key
Exchange ", es negociar diferentes asociaciones de seguridad (SA) mediante el uso de
los protocolos de gestión de claves disponibles.
86
ISAKMP negocia la utilización de dos fases. En la Fase 1, ISAKMP crea un canal
de comunicación seguro y auténtico entre los peers (Firewalls). Mediante el uso de este
canal bidireccional, el peer VPN puede estar de acuerdo sobre como la negociación
remota debería ser manejada enviando mensajes protegidos el uno al otro.
87
La solución de acceso remoto vía VPN IPsec se encuentra actualmente basada
en: software y hardware.
VPN SSL
VPN SSL (Secure Socket Layer), es una tecnología de acceso remoto emergente
que proporciona conectividad segura a los recursos corporativos internos a través de
un navegador web o un cliente dedicado. Se encuentra entre las capas de transporte y
aplicación del modelo OSI. El protocolo SSL fue desarrollado por Netscape para
promover los sitios de comercio electrónico que requieren encriptación de datos y
autenticación de usuarios. Con la banca en línea, por ejemplo, la sesión de usuario se
establece mediante el uso de este protocolo. A pesar de que SSL fue originalmente
diseñado para proporcionar un acceso web seguro, las organizaciones están
aprovechando cada vez más este protocolo para proporcionar un acceso seguro a las
aplicaciones de uso común, tales como: Simple Mail Transfer Protocol (SMTP), Post
Office Protocol version (POP3) y el Internet Message Access Protocol (IMAP). La
mayor fuerza de SSL VPN viene del hecho de que SSL es un protocolo maduro y se
encuentra disponible en todos los navegadores web. Se puede personalizar la solución
88
VPN SSL, para satisfacer cualquier requisito de negocio. Esto incluye no sólo
proporciona acceso a los recursos corporativos sin cargar un cliente VPN, sino también
proporcionar los datos de forma confidencial durante el uso de un método rentable y
flexible.
Una diferencia importante entre VPN SSL y otras tecnologías de acceso remoto
está, en la implementación de las sesiones de usuario. Con las tecnologías de acceso
remoto, el cliente VPN inicia una conexión directa a los dispositivos de seguridad
perimetral que residen en la red protegida. Sin embargo, en el modo sin cliente de VPN
SSL, el gateway VPN SSL actúa como un proxy entre el usuario VPN y los recursos
internos. Como se muestra en la figura 77, si un usuario quiere acceder al sitio web
interno, por ejemplo intranet.securemeinc.com, la sesión de VPN SSL se termina en el
Gateway, posteriormente el Gateway inicia una nueva sesión al servidor interno en
nombre del cliente.
89
Modos de operación VPN SSL
Modo Web
El modo Web proporciona a los usuarios remotos una forma rápida y eficiente
para acceder a las aplicaciones de servidor desde cualquier cliente equipado con un
navegador web.
90
configuraciones, son para determinar a qué aplicaciones se pueden acceder. El cifrado
SSL se utiliza para garantizar la confidencialidad del tráfico.
Modo Túnel
Cuando el usuario inicia una conexión VPN con el firewall a través del cliente
VPN SSL, este dispositivo establece un túnel con el cliente y le asigna al cliente una
dirección IP virtual a partir de un rango de direcciones reservadas. El cliente utiliza la
dirección IP asignada como su dirección de origen para la duración de la conexión.
91
Después de que se ha establecido el túnel, el usuario puede acceder a la red detrás del
firewall.
La configuración del firewall para establecer un túnel con los clientes remotos,
implica habilitar la función a través de las opciones de configuración de VPN SSL y la
selección de la configuración del portal web adecuado para el acceso en modo túnel en
la configuración de grupos de usuarios. Los perfiles de políticas de seguridad y de
protección configuradas en el firewall, aseguran que el tráfico entrante se filtra y se
procesa de forma segura. En la figura 78, se puede observar los modos de operación de
la VPN SSL.
L2TP
92
L2TP puede sustituir a las implementaciones de acceso remoto que actualmente
utilizan las tecnologías de PPTP y L2F. L2TP se suele implementar en dos modelos de
acceso remoto:
- Modelo túnel voluntario: Este modelo funciona de una manera similar a PPTP,
porque el túnel es iniciado por un cliente de L2TP habilitado y termina en un servidor
con L2TP habilitado. En consecuencia, se establece el túnel L2TP entre el cliente y el
servidor, y el proveedor de servicios de Internet (ISP) no tiene por qué tener L2TP
habilitado en su infraestructura. En la parte (a) de la figura 79, se ilustra este modelo.
93
La mayoría de las versiones más recientes de Microsoft Windows, incluyendo
Windows 7, 8 y 10, tienen soporte nativo para L2TP como un protocolo de acceso
remoto. L2TP puede utilizar un número de protocolos de autenticación para la
autenticación de usuario, tales como:
94
En una implementación L2TP sobre IPsec, la estación de trabajo (cliente) y el
dispositivo gateway pasa por siete pasos, como se muestra en la figura 80.
3. La estación de trabajo del cliente, inicia una sesión y negocia un canal seguro
para el intercambio de claves (negociaciones de fase 1 de IKE).
95
canales de datos, están configurados para cifrar el tráfico L2TP que se envía hacia el
puerto UDP 1701.
5. Una vez establecida la negociación IPsec, el cliente inicia una sesión L2TP
dentro del protocolo IPsec.
La figura 81, muestra un formato de paquetes L2TP sobre IPsec después de que
todos los encabezados y encapsulados se han añadido al paquete original.
96
PPTP
Con PPTP, el cliente utiliza el puerto TCP 1723 para iniciar la conexión a la
puerta de enlace PPTP. El gateway, solicita al usuario las credenciales de autenticación.
Después de la autenticación exitosa del usuario y la negociación de los parámetros:
compresión y cifrado, el cliente encapsula los paquetes de datos en GRE y los transmite
al gateway a través de una conexión insegura. El gateway, se encarga de descifrar los
paquetes y los coloca en la red privada. La figura 82, ilustra los canales de
comunicación y de transporte de PPTP.
97
La confidencialidad de los datos se proporciona a través de la encriptación de 40
bits o 128 bits utilizando Microsoft Point-to-Point (MPPE), similar a L2TP.
98
ANEXO B
Una VPN lleva el tráfico privado a través de redes públicas. Una VPN segura
cumple las siguientes características básicas:
Integridad del mensaje: garantiza que el contenido de los datos no han sido
modificados durante la transmisión.
99
Hashing y Autenticación de Integridad del Mensaje
Hash
- Mecanismo de hash una vía: Esto significa que cuando se obtiene la salida de
un hash, es difícil invertir la función hash para obtener el mensaje original.
Hasta ahora los algoritmos criptográficos de hash más utilizados han sido
algoritmo Message Digest 5 (MD5) y Secure Hash Algorithm 1 (SHA-1). Ambos han
sido considerados en un solo sentido y libre de colisiones. MD5 proporciona una salida
100
de 128 bits y SHA-1 proporciona una salida de 160 bits. Debido a su mayor tamaño,
SHA-1 se considera normalmente más seguro, pero computacionalmente más pesado
que MD5. Con el hardware y el software de aplicación en las redes de hoy en día, la
diferencia de rendimiento no suele ser una preocupación. Por lo tanto, SHA-1 es el
algoritmo de hash preferido para su uso en una implementación de VPN.
Hashing es generalmente mucho más rápido que los algoritmos de cifrado, por
lo que el MAC basado en hash (HMAC) es la forma más popular. HMAC es una
función de hash con clave.
Cifrado
Cifrado simétrico
101
cifrar el contenido de un mensaje. Existen dos tipos principales de algoritmos de cifrado
simétricos:
RC4
Diseñado por Ron Rivest en 1987 por RSA Security, RC4 es el cifrado de flujo
ampliamente utilizado. Debido a su velocidad y simplicidad, RC4 se ha desplegado en
muchas aplicaciones, tales como el protocolo SSL y el Protocolo de Wired Equivalent
Privacy (WEP), que se utilizan para proteger el tráfico de red inalámbrica.
Para SSL la mayoría de los navegadores web admiten el cifrado RC4 con dos
diferentes tamaños de clave: RC4-40bit y RC4-128bit. Los navegadores nuevos, han
comenzado a apoyar sistemas de cifrado más fuertes como AES.
DES y 3DES
102
Advanced Encryption Standard (AES).
Cifrado asimétrico
103
autenticación. En la figura 83, se ilustra el uso de algoritmos asimétricos.
Consideremos el ejemplo de Alice y Bob, que quieren usar los algoritmos asimétricos
para comunicaciones seguras. Para los propósitos de cifrado, Alice debe cifrar el
mensaje con la clave pública de Bob y enviar el texto cifrado a Bob. Al recibir el texto
cifrado, Bob, que es el único propietario de la clave privada, puede descifrar el mensaje
con la clave privada. Para los propósitos de autenticación, Alice podría cifrar (o firmar)
el mensaje usando su propia clave privada. Otras personas como Bob pueden verificar
la autenticidad del mensaje utilizando la clave pública de Alice, que es la única clave
que coincide con la clave privada firmada.
Debido a que los algoritmos simétricos son mucho más rápidos que los
algoritmos asimétricos, la certificación digital o gestión de claves es comúnmente más
utilizada para el cifrado de los datos que los algoritmos asimétricos. Los ejemplos
populares de los algoritmos asimétricos son algoritmos Diffie-Hellman (DH) y Rivest,
Shamir y Adelman (RSA).
104
Diffie-Hellman (DH)
RSA y DSA
RSA y DSA son los dos algoritmos de clave pública comúnmente utilizados en
aplicaciones de firma digital. RSA fue diseñado por Ron Rivest, Adi Shamir y Adelman
Len (RSA) en 1977. A diferencia del algoritmo de Diffie-Hellman, el algoritmo RSA
se basa en el hecho de que no existe manera eficiente para factorizar números muy
grandes. El tamaño de la clave común es de: 512 bits, 1024 bits y 2048 bits. En 1991,
el NIST propuso que el Algoritmo de firma digital (DSA), que se utiliza para
105
aplicaciones que requieren firmas digitales. Se estandarizó como el Digital Signature
Standard (DSS) por el estándar del gobierno federal de los Estados Unidos para las
firmas digitales.
106
Una infraestructura de clave pública (PKI) consta de protocolos, estándares y
servicios que establecen y apoyan las aplicaciones de un sistema de este tipo confianza.
PKI permite a los usuarios autenticarse con otros utilizando certificados digitales que
son emitidos por entidades de certificación. Los siguientes son los componentes
básicos de un sistema PKI:
- X.509: Estándar de ITU-T para la PKI, que define los formatos para los
certificados de clave pública.
107
Certificados digitales
108
Los campos de implementación de VPN que se muestran en la Figura 84 son los
siguientes:
- Firma algoritmo ID: Especifica el algoritmo de firma (por ejemplo, RSA con
SHA-1 o DSS con SHA-1).
- Asunto Clave pública: Contiene la clave pública del usuario, que está unido a
la identidad del usuario.
109
o Lista de revocación de certificados (CRL) punto de distribución (CDP):
El CDP es un componente esencial de un sistema PKI porque hace que el
CRL sea escalable. El CRL contiene una lista de los números de serie de los
certificados revocados. Un certificado puede ser revocado por diversas
razones, tales como el fin de la operación y un compromiso de las claves
privadas. El CA es responsable de revocación de los certificados y el
mantenimiento de la CRL. CDP especifica la ubicación (normalmente un
Protocolo Ligero de Acceso a Directorios [LDAP]) donde se almacena la
CRL. Durante el proceso de validación de certificados, dispositivos VPN
recuperan las CRL desde el CDP y comprueban si el certificado recibido ha
sido revocado.
Certificación
110
Figura 85. Certificación Digital
Fuente: Cisco 2008
1. Alice primero solicita el certificado raíz, es decir, el certificado del servidor de CA.
111
4. El servidor de CA recibe la solicitud de certificado, verifica la identidad de Alice,
y genera un certificado digital para Alice basado en su identidad y su clave pública.
Este certificado de identidad está firmado por la CA, que proporciona otra
vinculación entre la identidad de Alice y la identidad de la entidad emisora.
112
ANEXO C
SSL y TLS
SSL v2, fue liberado por Netscape Communications en 1994 y desplegado en los
navegadores Netscape Navigator. En 1995, Netscape fortaleció los algoritmos de
cifrado de SSL con el lanzamiento de SSL v3. Se refirió a varios problemas de
seguridad en SSL v2 como:
113
- Ataques de descenso de nivel: SSL v2 permite a los atacantes a las selección
de los cifrados más débiles. La liberación de SSL v3, autentica los mensajes de
reconocimiento, de ese modo solucionando este problema.
114
capa TCP, por debajo de la capa de aplicación, y actúa como enchufes conectados por
conexiones TCP. La Figura 86, muestra la colocación de SSL en la pila de protocolos.
115
- El correo electrónico sobre SSL: Al igual que en HTTP sobre SSL, los
protocolos de correo electrónico como SMTP, Protocolo de oficina de correos 3
(POP3) y el Protocolo de acceso a mensajes de Internet (IMAP) pueden ser
apoyado por SSL.
El estándar para SMTP sobre TLS fue documentado en el RFC 2487. El estándar para
POP3 e IMAP sobre TLS fue documentado en el RFC 2595. En la tabla 5, se indican
los protocolos que trabajan sobre SSL:
116
SSL es un protocolo de capas. En la capa más baja es el protocolo registro SSL.
El protocolo de registro consiste en varios tipos de mensajes o protocolos que llevan a
cabo diferentes tareas. La Figura 87, muestra la estructura del protocolo SSL.
117
o Protocolo de Handshake: negocia los atributos de seguridad de una sesión
SSL.
118
- Derivación de claves: Las dos partes se derivan del secreto maestro que luego
se utiliza para generar las claves que son utilizadas para el cifrado de datos y
MAC.
119
ANEXO D
120
- RFC 1777 para LDAP v.2
121
Atributos de entrada
Cada entrada está compuesta por un conjunto de atributos (pares clave/valor) que
permite caracterizar el objeto que la entrada define. Existen dos tipos de atributos:
- Atributos normales: éstos son los atributos comunes (apellido, nombre, etc.) que
distinguen al objeto.
- Atributos operativos: éstos son atributos a los que sólo el servidor puede acceder
para manipular los datos del directorio (fechas de modificación, etc.).
Una entrada se indexa mediante un nombre completo (DN) que permite identificar
de manera única un elemento de la estructura de árbol. Un DN (Distinguished Name),
se constituye tomando el nombre del elemento denominado Nombre distintivo relativo
(RDN, es decir, la ruta de la entrada en relación con sus entradas superiores) y
agregándole el nombre entero de la entrada principal.
Se trata de utilizar una serie de pares clave/valor para poder localizar una entrada de
manera única. A continuación encontrará una serie de claves generalmente utilizadas:
122
- sAMAccountName, antiguo nombre de inicio de sesión de NT 4.0, debe ser único
en el dominio. Puede confundirse con CN. En la figura 90, se muestra los atributos
LDAP.
displayName=Guy Thomas.
Si se crea un script en esta propiedad, asegúrese de entender cuál campo está
displayName
configurando.
DisplayName puede confundirse con CN o description.
123
objectClass=User.
objectClass También usado para Computador (Computer), organizationalUnit, y hasta
container (contenedor). Contenedor de alto nivel importante.
Define la categoría de esquema del directorio activo.
objectCategory
Por ejemplo, objectClass = Person
sAMAccountName = guyt.
sAMAccountName Antiguo nombre de inicio de sesión de NT 4.0, debe ser único en el dominio.
Puede confundirse con CN.
Define la unidad Organizacional.
Ou
Ejemplo: OU=Newport
124