• No se han encontrado resultados

SEGURIDAD POR VPN

Ya que aun no es posible certificar la confidencialidad, integridad y autentificación de los datos por

sistemas de seguridad vía software, se utiliza hardware cubrir estas necesidades que se tienen de

proteger al sistema y a los usuarios de ataques externos.

Se propone el uso de redes privadas virtuales (VPN) que pueden hacer posible proporcionar los

medios para garantizar lo que el Software por sí solo no puede.

Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de

acceso debe tener.

Integridad: de que los datos enviados no han sido alterados. Para ello se utiliza funciones

de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el

Secure Hash Algorithm (SHA).

Confidencialidad: Dado que sólo puede ser interpretada por los destinatarios de la misma.

Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES

(3DES) y Advanced Encryption Standard (AES).

No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar

que el mensaje lo envió él o ella.

Para lograr esto se requiere del uso de un certificado digital.

Certificado Digital

Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad

de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave

pública. El certificado contiene usualmente el nombre de la entidad certificada, número de serie,

fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la

verificación de su firma digital) y la firma digital de la autoridad emisora del certificado de forma

que el receptor pueda verificar que esta última ha establecido realmente la asociación.

Un certificado emitido por una entidad de certificación autorizada, además de estar firmado

digitalmente por ésta, debe contener por lo menos lo siguiente:

Nombre, dirección y domicilio del suscriptor.

Identificación del suscriptor nombrado en el certificado.

El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

La clave pública del usuario.

La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de

datos.

El número de serie del certificado.

Jair Iván Piñones García

Página 65

Cualquier individuo o institución puede generar un certificado digital, pero si éste emisor no es

reconocido por quienes interactúen con el propietario del certificado, el valor del mismo es

prácticamente nulo. Por ello los emisores deben acreditarse: así se denomina al proceso por el

cual entidades reconocidas, generalmente públicas, otorgan validez a la institución certificadora,

de forma que su firma pueda ser reconocida como fiable, transmitiendo esa fiabilidad a los

certificados emitidos por la citada institución.

Para que un certificado digital tenga validez legal, el prestador de Servicios de Certificación debe

acreditarse en cada país de acuerdo a la normativa que cada uno defina. En el caso especifico de

México, está regido por la Secretaria de Economía.

Red Privada Virtual para el SADE.

Requerimientos básicos.

Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir

su acceso a aquellos que no se encuentren autorizados.

Codificación de datos: los datos que se van a transmitir a través de la red pública

(Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se

realiza con algoritmos de cifrado como DES o 3DES que sólo pueden ser leídos por el

emisor y receptor.

Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.

Tipo de conexión.

Para establecer la conexión en las terminales remotas se utiliza una técnica llamada

entunelamiento (tunneling), los paquetes de datos son enrutados por la red pública, tal como

Internet o alguna otra red comercial, en un túnel privado que simula una conexión punto a punto.

Este recurso hace que por la misma red puedan crearse muchos enlaces por diferentes túneles

virtuales a través de la misma infraestructura. También hace universales para su transporte los

diferentes protocolos LAN entre los que se encuentran IP, IPX, Appletalk y Netbeui, de allí la

característica de multiprotocolo que hace sumamente universal la tecnología de las redes virtuales

privadas.

Adicionalmente y para completar una solución VPN deben existir uno o más dispositivos o

paquetes de software que brinden cifrado, autenticación y autorización a los usuarios del túnel.

Además muchos de estos equipos brindan información sobre el ancho de banda, el estado del

canal y muchos más datos de gestión y de servicio.

Las VPNs se caracterizan también por su flexibilidad. Pueden ser conexiones punto-punto o punto-

multipunto. Reemplazando una red privada con muchos y costosos enlaces dedicados, por un solo

enlace a una ISP que brinde un punto de presencia en la red (POP por sus siglas en inglés), una

compañía puede tener fácilmente toda una infraestructura de acceso remoto, sin la necesidad de

Jair Iván Piñones García

Página 66

tener una gran cantidad de líneas telefónicas análogas o digitales, y de tener costosos pools de

módems o servidores de acceso, o de pagar costosas facturas por llamadas de larga distancia. En

algunos casos las ISP se hacen cargo del costo que les genera a los usuarios remotos su conexión a

Internet local, pues ven en este tipo de negocio un mayor interés por los dividendos del acceso.

El objetivo final de una VPN es brindarle una conexión al usuario remoto como si este estuviera

disfrutando directamente de su red privada y de los beneficios y servicios que dentro de ella

dispone, aunque esta conexión se realice sobre una infraestructura pública.

Equipos necesarios.

En una jornada electoral se instalan alrededor de 140 mil 239 casillas en todo el país. Para cubrir

este ú e o de asillas e esita os e utado es ue sopo te u g a ú e o de VPN’“ pues se

requiere por lo menos una VPN por cada casilla instalada.

La solución se encuentra en adquirir equipos cisco que cubran el número total de casillas y que

además soporten ese gran número de sesiones en línea simultáneamente.

El equipo cisco que cumple con estos requerimientos es el Cisco ASA 5585-S60 que permite el uso

si ulta eo de il VPN’“. Co e uipos o o este o se al a za a u i el ú e o total de

VPN’“ ue se e esita pues falta po u i

sitios e otos. “i e

a go se puede ad ui i

u e uipo de la is a se ie pe o ue sopo te u ú e o e o de VPN’“. El e uipo Cisco ASA

5510 soporta 250 sesiones de red VPN simultáneamente. Por lo tanto se requieren adquirir 15

equipos Cisco, 14 Cisco ASA 5585-S60 y 1 Cisco ASA 5510 para cubrir el número de redes virtuales

privadas que se requieren para garantizar la seguridad del sistema y los datos transmitidos.

Jair Iván Piñones García

Página 67

Diagrama para VPN

Figura 24. Muestra el diagrama mínimo de la propuesta de uso de VPN. Las subredes están

determinadas por cada una de las casillas instaladas a lo largo del país. Los ROUTERS dentro de la

red de cada casilla son los que distribuyen las principales empresas de Internet, el ROUTER

o espo die te a las ofi i as del IFE, esta le e la o e ió tu eli g o los oute s de las

redes de las casillas.

Jair Iván Piñones García

Página 68

Descargar ahora "SISTEMA ADMINISTRATIVO..."

Outline

Documento similar