NDICE DE FIGURAS PRÓLOGO INTRODUCCIÓN A LAS VPNs RED PRIVADA VIRTUAL Requerimientos de una VPN Tipos de VPNs Ventajas de las VPNs PROPIEDADES DE LOS SISTEMAS DE COMUNICACIÓN Confidencialidad Integridad Autenticidad No repudio ATAQUES A LOS SISTEMAS DE COMUNICACIÓN Interceptación Interrupción Modificación Fabricación ELEMENTOS DE UNA VPN Red privada o subred local Red insegura Túnel VPN Servidor Router Usuario remoto o road warrior Oficina remota o wateway ESCENARIOS DE UNA VPN. Punto (road warrior) a punto (road warrior) LAN (oficina remota) a LAN (oficina remota) LAN (oficina remota) a road warrior ADMINISTRACIÓN DE REDES TCP/IP MODELO DE REFERENCIA TCP/IP Nivel de acceso a red Nivel de Internet Nivel de transporte Nivel de aplicación ROUTERS Multipuesto vs Monopuesto NAT (Network Address Translation) Publicación de servicios en Internet Redirección de puertos en un router convencional (http) Redirección de puertos en un router convencional (telnet) SERVICIO DNS DINÁMICO Registro de un dominio en DynDNS Instalación y configuración del cliente ddclient IPTABLES Funcionamiento del filtrado en el núcleo Opciones Ejemplos de reglas de filtrado Ejemplos de reglas NAT MTR Opciones Formato de salida Ejemplos de trazas realizadas NETCAT Opciones Formato de salida Ejemplos realizados NETSTAT Opciones Formato de salida Ejemplos realizados TCPDUMP Opciones Expresiones Formato de salida Ejemplos de capturas de datos CRIPTOGRAFÍA DE CLAVE PÚBLICA HISTORIA DE LA CRIPTOGRAFÍA Criptografía clásica Criptografía medieval Criptografía moderna CRIPTOGRAFÍA DE CLAVE SIMÉTRICA Cifrado con clave simétrica ALGORITMOS DE CIFRADO DE CLAVE SIMÉTRICA DES (Data Encryption Standard) 3DES (Triple Data Encryption Standard) RC5 (Rivest Cipher) IDEA (International Data Encryption Algorithm) AES (Advanced Encryption Standard) HERRAMIENTAS DE CIFRADO: MCRYPT Opciones Ejemplos realizados CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA Cifrado con clave asimétrica Cifrado con clave de sesión Autenticación de los participantes (desafío-respuesta) Firma digital ALGORITMOS DE CIFRADO DE CLAVE ASIMÉTRICA Diffie-Hellman RSA (Rivest, Shamir, Adleman) ALGORITMOS DE AUTENTICACIÓN MD5 (Message-Digest Algorithm 5) SHA-1 (Secure Hash Algorithm 1) HERRAMIENTAS DE AUTENTICACIÓN: MD5SUM, SHA1SUM Opciones Ejemplos realizados INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI) Certificados digitales X.509 v3 La Autoridad de Certificación (CA) La Autoridad de Registro (RA) Autoridad de Validación (VA) GENERACIÓN DE CERTIFICADOS MEDIANTE OPENSSL Configuración de las variables globales de easy-rsa Proceso de creación de certificados con easy-rsa Certificados con subjectAltName adicional Peticiones de certificados Lista de revocación de certificados HERRAMIENTAS ADMINISTRATIVAS DE OPENSSL Certificados digitales (openssl x509) Peticiones de certificación (openssl req) Claves RSA (openssl rsa) Archivo de Diffie-Hellman (openssl dh) Listas de revocación de certificados (openssl crl) Formato portable PKCS #12 (openssl pkcs12) INSTALACIÓN DE CERTIFICADOS EN MICROSOFT WINDOWS TRANSFERENCIA SEGURA DE ARCHIVOS (SSH) FreeSSHd WinSCP OpenSSH Server OpenSSH Client IPSEC CONCEPTOS TEÓRICOS DE IPSEC PROTOCOLOS DE IPSEC AH, cabecera de autenticación ESP, carga de seguridad encapsulada IKE, intercambio de claves en Internet NAT-Traversal MODOS DE FUNCIONAMIENTO DE IPSEC Modo transporte Modo túnel MÉTODOS DE AUTENTICACIÓN DE IPSEC Clave compartida Firmas digitales RSA Certificados X.509 Grupos de usuarios XAuth NEGOCIACIÓN DE UN TÚNEL IPSEC Fase 1, autenticar y garantizar la seguridad del canal Fase 2, asegurar la confidencialidad de la información INSTALACIÓN DE OPENSWAN EN GNU/LINUX Instalación de Openswan (repositorios de Ubuntu) Configuración de Openswan Uso de las herramientas de Openswan INSTALACIÓN DE TAUVPN EN MICROSOFT WINDOWS Instalación de TauVPN Configuración de TauVPN Uso de las herramientas de TauVPN PUNTO (OPENSWAN) A PUNTO (OPENSWAN) Clave compartida Firmas digitales RSA X.509 LAN (OPENSWAN) A LAN (OPENSWAN) Clave compartida Firmas digitales RSA X.509 LAN (OPENSWAN) A ROAD WARRIOR (OPENSWAN/TAU) Clave compartida X.509 X.509 (identificador local adicional) XAuth CONFIGURACIÓN AVANZADA DE LAN A ROAD WARRIOR Clave compartida X.509 CONFIGURACIÓN AVANZADA DE LAN A LAN Clave compartida X.509 INTERPRETACIÓN DE LOS MENSAJES DE ERROR esp string error: not found no subjectAltName matches replaced by subject DN ipsec_auto: fatal error in ? connection has no ipsec_auto: fatal error in ? did not find conn section ipsec_auto: fatal error in ? duplicated parameter ipsec_auto: fatal error in ? unknown ipsec_auto: fatal error in ? unknown parameter name
El arma más poderosa que posee el ser humano es la información, ya que le permite conocer, predecir, manipular, sobrevivir y, en definitiva, estar un paso por delante con respecto a quien no dispone de ella. Por esta razón, uno de sus principales objetivos no sólo es llegar a conocer algo, sino tener también la capacidad de salvaguardarlo de forma segura, es decir, que únicamente permanezca accesible para aquellas personas autorizadas. Una de las posibles soluciones pasa por encriptar la información antes de ser transmitida, empleando para ello Redes Privadas Virtuales. El término de Red Privada Virtual (VPN), en inglés Virtual Private Network, hace referencia a un canal de comunicación privado e implementado sobre una infraestructura de acceso público. Dos extremos van a acordar en base a un protocolo y a una serie de políticas de seguridad previamente establecidas, las características de un túnel sobre el cual enviar los datos de manera confidencial. Esta información será cifrada antes de ser inyectada por el enlace, de ahí viene el concepto de ?privada?. La condición de ?virtual? se corresponde al hecho de que cuando la VPN esté establecida, se tendrá un contacto aparente pero no real entre los participantes de la misma. El libro está estructurado en siete capítulos: se ha dedicado un capítulo entero a la introducción de los conceptos fundamentales de las VPNs; otro a presentar de forma genérica un breve resumen de la arquitectura TCP/IP, pilar fundamental de las redes de comunicación. A continuación tenemos un capítulo destinado completamente a los sistemas criptográficos modernos, ya que ésta será la base principal sobre la que se sustenten las VPNs. Y por último, se ha dedicado un capítulo por cada clase de VPN tratada: IPSec, PPTP, L2TP/IPSec y SSL. El planteamiento de exposición para los capítulos correspondientes a las VPNs será común para todos los protocolos. En primer lugar, se presentarán una serie de conceptos teóricos; posteriormente se estudiarán un grupo de herramientas que permitirán poner en práctica dichas ideas, y a partir de todo ello, se desarrollarán un conjunto de casos prácticos que facilitarán al lector el asentamiento de los conocimientos adquiridos. A su vez, también se incluirá una sección dedicada íntegramente a la recopilación y tratamiento de los mensajes de error.
