Seguridad de Internet y diseño de red VPN

Posted by admin on June 10, 2012

Información general

Este artículo analiza algunos conceptos técnicos esenciales asociados con una VPN. Una red privada virtual (VPN) integra los empleados remotos, oficinas de la empresa, y socios de negocios a través de Internet y asegura túneles cifrados entre las localidades. Una VPN de acceso se utiliza para conectar usuarios remotos a la red de la empresa. La estación de trabajo remota o portátil utilizará un circuito de acceso como cable, DSL o por wi-fi para conectarse a un proveedor de servicios Internet (ISP) local. Con un modelo iniciada por el cliente, el software de la estación de trabajo remota crea un túnel encriptado desde el portátil con el ISP mediante IPSec, Layer 2 Tunneling Protocolo (L2TP), o el protocolo punto a punto (PPTP). El usuario debe autenticarse como usuario de VPN permite con el ISP. Una vez que haya finalizado, el ISP construye un túnel cifrado en el router VPN de la empresa o el concentrador. TACACS, RADIUS o servidores de Windows para autenticar el usuario remoto, a un empleado que se permite el acceso a la red de la empresa. Con esto terminado, el usuario remoto debe autenticarse en el servidor de dominio local de Windows, el servidor Unix o Mainframe de acogida dependiendo de donde se encuentra la cuenta de red. El modelo de proveedor de Internet iniciada es menos seguro que el modelo cliente-iniciada desde el túnel cifrado se construye desde el ISP al router VPN de la empresa o VPN concentrador solamente. Además del túnel VPN seguro se construye con L2TP o L2F.

La VPN Extranet conectará socios de negocios a una red de la empresa mediante la construcción de una conexión VPN segura desde el router socio de negocios al router VPN de la empresa o el concentrador. El protocolo específico túnel utilizado depende de si se trata de una conexión de enrutador o una conexión de acceso telefónico remoto. Las opciones para un router conectado Extranet VPN IPSec o son Encapsulación de enrutamiento genérico (GRE). Conexiones de la extranet de acceso telefónico utilizará L2TP o L2F. La VPN Intranet conectará oficinas de la empresa a través de una conexión segura utilizando el mismo proceso con IPSec o el GRE, como los protocolos de túnel. Es importante tener en cuenta que lo que hace VPN muy rentable y eficiente es que aprovechan la Internet existente para el transporte de tráfico de la empresa. Eso es por qué muchas empresas están seleccionando IPSec como protocolo de seguridad de la opción para garantizar que la información es segura, ya que viaja entre los routers o portátil y el router. IPSec se compone de encriptación 3DES, IKE autenticación de intercambio de claves y la autenticación MD5 ruta, que proporcionan autenticación, autorización y confidencialidad.

Seguridad del protocolo Internet (IPSec)

Funcionamiento de IPSec la pena destacar, ya que un protocolo de seguridad utilizado prevalece hoy en día con las redes privadas virtuales. IPSec se especifica con RFC 2401 y se desarrolló como un estándar abierto para el transporte seguro de la propiedad intelectual a través de la Internet pública. La estructura del paquete se compone de una cabecera IP / IPSec encabezado y / o Carga de seguridad encapsuladora. IPSec proporciona servicios de cifrado con 3DES y autenticación con MD5. Además hay Internet Key Exchange (IKE) e ISAKMP, que automatiza la distribución de claves secretas entre dispositivos IPSec pares (concentradores y routers). Estos protocolos son necesarios para la negociación de un solo sentido o de dos vías asociaciones de seguridad. Asociaciones de seguridad IPSec se compone de un algoritmo de cifrado (3DES), el algoritmo de hash (MD5) y un método de autenticación (MD5). Acceso a las implementaciones VPN utilizan 3 asociaciones de seguridad (SA) por conexión (transmitir, recibir e IKE). Una red de la empresa con muchos dispositivos de pares IPSec utilizará una Autoridad de Certificación para la escalabilidad con el proceso de autenticación en lugar de IKE / claves pre-compartidas.

Portátil – Concentrador de VPN IPSec conexión del mismo nivel

1. Asociación de seguridad IKE Negociación

2. Configuración del túnel IPSec

3. XAuth de solicitud / respuesta – (autenticación RADIUS Server)

4. Modo de Respuesta Config / Reconocimiento (DHCP y DNS)

5. Asociación de seguridad IPSec

VPN de acceso de Diseño

El VPN de acceso aprovechará la disponibilidad de Internet y de bajo costo para la conectividad a la oficina principal de la empresa con WiFi, DSL y circuitos de acceso de cable locales de proveedores de servicios Internet. El principal problema es que los datos de la empresa deben ser protegidos a medida que viaja a través de Internet de la computadora portátil teletrabajador a la oficina principal de la empresa. El modelo iniciada por el cliente se utilizará la que construye un túnel IPSec de cada computadora portátil del cliente, que se termina en un concentrador VPN. Cada computadora portátil se configura con el software cliente de VPN, que se ejecutará con Windows. El teletrabajador debe marcar primero un número de acceso local y la autenticación con el ISP. El servidor RADIUS para autenticar cada conexión de acceso telefónico como un teletrabajador autorizado. Una vez que haya terminado, el usuario remoto autenticar y autorizar con Windows, Solaris o un servidor mainframe antes de iniciar cualquier aplicación. Hay dos concentradores de VPN que se configura para la conmutación por error con el protocolo de redundancia de enrutamiento virtual (VRRP) si uno de ellos no esté disponible.

Cada concentrador está conectado entre el router y el firewall externo. Una de las novedades con los concentradores VPN prevenir denegación de servicio (DOS) ataques de hackers externos que podrían afectar la disponibilidad de la red. Los cortafuegos están configurados para permitir direcciones IP de origen y destino, que se asignan a cada teletrabajador de un rango predefinido. Además, los puertos y el protocolo de aplicación se permitirá a través del servidor de seguridad que se requiere.

Extranet VPN Diseño

La Extranet VPN está diseñado para permitir una conectividad segura de cada socio de la oficina de negocios a la oficina principal de la empresa. La seguridad es el objetivo principal desde que Internet se utiliza para el transporte de todo el tráfico de datos de cada socio de negocios. Habrá una conexión de circuito de cada socio de negocios que se terminará en un router VPN en la oficina principal de la empresa. Cada socio de negocios y su par router VPN en la oficina central utilizará un router con un módulo de VPN. Ese módulo proporciona IPSec y de alta velocidad de cifrado de hardware de los paquetes antes de ser transportados a través de Internet. Peer routers VPN en la oficina principal de la empresa son de doble alojan en diferentes switches multicapa para la diversidad enlace debe uno de los enlaces no estará disponible. Es importante que el tráfico de un socio de negocios no acabe en otra oficina de socio de negocios. Los interruptores se encuentran entre los servidores de seguridad internos y externos y se utilizan para la conexión de los servidores públicos y el servidor DNS externo. Eso no es un problema de seguridad desde el servidor de seguridad externo se está filtrando el tráfico de Internet.

Además de filtrado se pueden implementar en cada conmutador de red y para evitar que las rutas de la que se anuncia o de las vulnerabilidades explotadas por tener relaciones de negocios asociados a los interruptores de oficinas centrales de la compañía de varias capas. VLAN separada será asignado a cada conmutador de red para cada socio de negocios para mejorar la seguridad y la segmentación del tráfico de la subred. El nivel 2 firewall externo examinará cada paquete y permitir que las personas con fuente de socio de negocios y la dirección IP de destino, los puertos y el protocolo de aplicación que requieren. Sesiones de socio de negocio tendrá que autenticarse con un servidor RADIUS. Una vez que haya finalizado, se autentican en Windows, Solaris o hosts de mainframe antes de iniciar cualquier aplicación.

Categories: Software

Comments are closed.