Introduccion
Páginas: 5 (1154 palabras)
Publicado: 18 de febrero de 2010
VPN sobre linux y openswan
Existen muchas alternativas para hacer redes privadas virtuales (VPN) sobre linux, como openvpn, poptop (protocolo pptp) y varias implementaciones de IPsec. Cada solución tiene sus beneficios y debilidades, elijo en este artículo no discutir la mejor opción para cada escenario sino explicar a modo de HOWTO cómo realizar una VPN basada en IPsec con openswan sobre linux,particularmente Debian. Breve introducción a IPsec De wikipedia: IPsec (la abreviatura de Internet Protocol security) es una extensión al protocolo IP que añade cifrado fuerte para permitir servicios de autenticación y, de esta manera, asegurar las comunicaciones a través de dicho protocolo. Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6, aunque posteriormente se adaptó aIPv4. IPsec actúa a nivel de capa de red, protegiendo y autenticando los paquetes IP entre los equipos participantes en la comunidad IPsec. No está ligado a ningún algoritmo de encriptación o autenticación, tecnología de claves o algoritmos de seguridad específico. Es más, IPsec es un marco de estándares que permite que cualquier nuevo algoritmo sea introducido sin necesitar de cambiar losestándares. IPSec está formado por un conjunto de protocolos de cifrado por (1) securing packet flows y (2) key exchange. De la forma: • Encapsulating Security Payload (ESP), el cual provee autenticación, confidencialidad de datos e integridad del mensaje • Authentication Header (AH), provee de autenticación e integridad de datos, pero no de confidencialidad. Por sus características es el protocolo estándarpara la construcción de redes privadas virtuales. Modos Transparente: Sólo se encripta el payload (el contenido del mensaje) y no el encabezado, normalmente es usado para túneles de host a host. Hay que tener en cuenta que no puede usarse NAT con el modo transparente, debido a que se rompe la hash al alterar el encabezado. Túnel: Cada paquete es completamente encriptado y encapsulado dentro deotro, es el modo más usado y permite hacer VPNs de tipo red a red. Autenticación Las opciones más populares de autenticación son:
"Secreto compartido": (aka PSK) usando algoritmos de hashing como MD5 o SHA-1, al parecer recientemente ambos algoritmos de hashing fueron "crackeados", al menos reducido considerablemente el tiempo de crackeo, aunque todavía son "usables" sólo falta tiempo para quealgún matemático refine la técnica y los vuelva trivialmente crackeables. Certificados digitables: los cuales están basados en encriptación asimétrica. En este ejemplo se utiliza este método con el algoritmo RSA.
Encriptación
e
intercambio
de
llaves
La encriptación sólo puede ser realizada usando ESP (o sea no con AH) y los algoritmos normalmente utilizados son: DES, 3DES y AES.El tráfico se encripta usando llaves que se renuevan a intervalos regulares, para el intercambio de llaves entre los pares se puede usar intercambio manual o automático (IKE). Manos a la obra Supongamos que queremos armar una VPN entre la casa central de una empresa y una sucursal para que la última pueda acceder a recursos de la casa central. En ambos lugares tenemos servidores Debian\linux bajoestable trabajando como Firewalls. La topología del ejemplo es la siguiente:
Como antes nombré, utilizaremos Openswan para armar la VPN, este está disponible tanto en la distribución estable (Sarge), como para la de prueba (etch). Los núcleos oficiales de Debian (2.4 y 2.6) incluyen el stack 26sec por lo que no hay necesidad de recompilar el kernel para tener soporte de ipsec. Para $ instalarlodesde apt-get la consola como install root ejecutamos: openswan
Además del paquete se instalaran varios más de los cuales depende. Es probable que si no tenías instalado el paquete ca-certificates te consulte acerca de confiar en ciertas Autoridades Certificantes, las respuestas son indistintas para este ejemplo. Cuando le toque el turno de configuración a openswan te preguntará por: •...
Existen muchas alternativas para hacer redes privadas virtuales (VPN) sobre linux, como openvpn, poptop (protocolo pptp) y varias implementaciones de IPsec. Cada solución tiene sus beneficios y debilidades, elijo en este artículo no discutir la mejor opción para cada escenario sino explicar a modo de HOWTO cómo realizar una VPN basada en IPsec con openswan sobre linux,particularmente Debian. Breve introducción a IPsec De wikipedia: IPsec (la abreviatura de Internet Protocol security) es una extensión al protocolo IP que añade cifrado fuerte para permitir servicios de autenticación y, de esta manera, asegurar las comunicaciones a través de dicho protocolo. Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6, aunque posteriormente se adaptó aIPv4. IPsec actúa a nivel de capa de red, protegiendo y autenticando los paquetes IP entre los equipos participantes en la comunidad IPsec. No está ligado a ningún algoritmo de encriptación o autenticación, tecnología de claves o algoritmos de seguridad específico. Es más, IPsec es un marco de estándares que permite que cualquier nuevo algoritmo sea introducido sin necesitar de cambiar losestándares. IPSec está formado por un conjunto de protocolos de cifrado por (1) securing packet flows y (2) key exchange. De la forma: • Encapsulating Security Payload (ESP), el cual provee autenticación, confidencialidad de datos e integridad del mensaje • Authentication Header (AH), provee de autenticación e integridad de datos, pero no de confidencialidad. Por sus características es el protocolo estándarpara la construcción de redes privadas virtuales. Modos Transparente: Sólo se encripta el payload (el contenido del mensaje) y no el encabezado, normalmente es usado para túneles de host a host. Hay que tener en cuenta que no puede usarse NAT con el modo transparente, debido a que se rompe la hash al alterar el encabezado. Túnel: Cada paquete es completamente encriptado y encapsulado dentro deotro, es el modo más usado y permite hacer VPNs de tipo red a red. Autenticación Las opciones más populares de autenticación son:
"Secreto compartido": (aka PSK) usando algoritmos de hashing como MD5 o SHA-1, al parecer recientemente ambos algoritmos de hashing fueron "crackeados", al menos reducido considerablemente el tiempo de crackeo, aunque todavía son "usables" sólo falta tiempo para quealgún matemático refine la técnica y los vuelva trivialmente crackeables. Certificados digitables: los cuales están basados en encriptación asimétrica. En este ejemplo se utiliza este método con el algoritmo RSA.
Encriptación
e
intercambio
de
llaves
La encriptación sólo puede ser realizada usando ESP (o sea no con AH) y los algoritmos normalmente utilizados son: DES, 3DES y AES.El tráfico se encripta usando llaves que se renuevan a intervalos regulares, para el intercambio de llaves entre los pares se puede usar intercambio manual o automático (IKE). Manos a la obra Supongamos que queremos armar una VPN entre la casa central de una empresa y una sucursal para que la última pueda acceder a recursos de la casa central. En ambos lugares tenemos servidores Debian\linux bajoestable trabajando como Firewalls. La topología del ejemplo es la siguiente:
Como antes nombré, utilizaremos Openswan para armar la VPN, este está disponible tanto en la distribución estable (Sarge), como para la de prueba (etch). Los núcleos oficiales de Debian (2.4 y 2.6) incluyen el stack 26sec por lo que no hay necesidad de recompilar el kernel para tener soporte de ipsec. Para $ instalarlodesde apt-get la consola como install root ejecutamos: openswan
Además del paquete se instalaran varios más de los cuales depende. Es probable que si no tenías instalado el paquete ca-certificates te consulte acerca de confiar en ciertas Autoridades Certificantes, las respuestas son indistintas para este ejemplo. Cuando le toque el turno de configuración a openswan te preguntará por: •...
Leer documento completo
Regístrate para leer el documento completo.