La seguridad de la red contra intrusos puede ser mejorada activando el flitro PPTP en el server PPTP. Cuando el flitro PPTP esta activado, el server PPTP en la red privada acepta y encamina solo paquetes PPTP. Esto previene de todos los tipos de paquetes de la red externa. El tráfico PPTP usa el puerto 1723.
1.2. Mecanismos de seguridad 7 1.2.1. MS-CHAP V2
El protocolo Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) amplía a estaciones remotas la funcionalidad de autenticación de usuario, disponible en redes con sistemas basados en Windows.
Es un método de autenticación muy utilizado en el que se envía el conocimiento de la contraseña del usuario, no la propia contraseña. Con CHAP, el servidor de acceso remoto envía una cadena de desafío al cliente de acceso remoto. El cliente de acceso remoto utiliza la cadena de desafío y la contraseña del usuario, y calcula un esquema de hash Síntesis del mensaje-5 (MD5). Las funciones o algoritmos de hash se denominan cifrado unidireccional, ya que es fácil calcular el resultado hash para un bloque de datos, pero es inviable matemáticamente determinar el bloque de datos original a partir del hash. El hash MD5 se envía entonces al servidor de acceso remoto. El servidor de acceso remoto, que tiene acceso a la contraseña del usuario, realiza el mismo cálculo hash y compara el resultado con el hash enviado por el cliente. Si coinciden, las credenciales del cliente de acceso remoto se consideran auténticas.
1.2.2. SPAP
Es un protocolo simple de autenticación de contraseña cifrada compatible con servidores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto envía una contraseña cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto descifra la contraseña y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto.
1.2.3. ESP8
ESP es un encabezado de protocolo insertado en el datagrama IP para proveer servicios de confidencialidad, autenticación del origen de los datos, antireplay e integridad de datos a IP. Es un estándar definido en el. El encabezado ESP se inserta después del encabezado IP y antes del encabezado del protocolo de capa superior (modo transporte) o antes del encabezado IP encapsulado (modo túnel). El encabezado de protocolo (IPv4, IPv6 o extens ión) que inmediatamente precede al encabezado ESP contendrá el valor 50 en su campo de protocolo (IPv4), el SPI y número de secuencia ya fueron definidos, la carga útil de datos son los datos protegidos, el relleno (de hasta 255 bytes) se utiliza en ESP por varias circunstancias: algunos algoritmos criptográficos requieren que el elemento de entrada sea un múltiplo del tamaño de su bloque, si no se especifica confidencialidad en la SA, se utiliza el relleno para justificar los campos Longitud de relleno y Siguiente cabecera del encabezado ESP, para esconder el tamaño real de la carga útil; el contenido del relleno es dependiente del algoritmo de criptografía, el algoritmo puede definir un valor de relleno que debe ser verificado por el receptor para el proceso de desencriptado. El campo de longitud de relleno define cuánto relleno se agregó, el campo de siguiente cabecera indica el tipo de dato contenido en la carga útil de acuerdo al conjunto de Números de Protocolo IP definidos por IANA (Internet Assigned Numbers Authority).
El campo de datos de autenticación contiene el valor de verificación de integridad calculado sobre el paquete ESP menos los datos de autenticación.
ESP aplicado en modo transporte solo se utiliza en implementaciones del tipo host y provee protección a los protocolos de capas superiores, pero no al encabezado IP.
1.2.4. AH
AH es el protocolo IPSec utilizado para proveer servicios de integridad de datos, autenticación del origen de los datos, y antireplay para IP.
La principal diferencia entre la autenticación provista entre ESP y AH tiene que ver con la cobertura, ESP no protege los campos del encabezado IP, a menos que sean encapsulados por ESP (modo túnel). El encabezado de protocolo de IPv4 que inmediatamente precede al encabezado AH contendrá el valor 51 en su campo de protocolo (IPv4), o siguiente cabecera (IPv6)
1.2.5. IKE
IKE9 El protocolo IKE no es parte de IPSec, es una alternativa para crear las Asociaciones de Seguridad de forma dinámica, está. IKE es un protocolo híbrido basado en el marco definido por el Protocolo de manejo de llaves y asociaciones de seguridad de Internet (Internet Security Association and Key Management protocol, ISAKMP), y otros dos protocolos de manejo de llaves Oakley y SKEME. Las implementaciones de IPSec están forzadas a soportar el manejo manual y solo algunas de ellas consideran IKE, que ha resultado demasiado complejo e inapropiado. El uso de IKE en el 2001 fue congelado por la IETF, el planteamiento sobre manejo
dinámico en el 2001 es llamado “son of IKE” o IKE versión 2 y se encuentra en discusión en el área de seguridad de la IETF.
El mecanismo básico para que IPSec funcione es que previo a una conexión entre dos partes, ambas deben negociar una serie de parámetros tales como el tipo de algoritmos de cifrado, el tipo de clave que se va a usar (clave simétrica, asimétrica o certificada), etc.
Para esto se desarrollo ISAKMP/IKE (Protocolo de Administración de Claves y Asociaciones de Seguridad de Internet) también conocido como IKE (Intercambio de Claves de Internet) IKE es básicamente el mecanismo que permitirá crear Asociaciones de Seguridad (SA) entre las partes de una comunicación. Una SA se basa en el conjunto de parámetros de seguridad usados para la creación del canal virtual entre los hosts que participan de la comunicación.
Para que dos hosts se puedan comunicar a través de una VPN con IPSec previamente tienen que ponerse de acuerdo en los siguientes parámetros:
• El algoritmo de cifrado
• El algoritmo de hash
• El método de autenticación
• El grupo DH