El protocolo para la creación de túneles VPN que suelen emplear las grandes organizaciones es el protocolo IPSec (Internet Protocol Security).
Su principal rival en la actualidad es el protocolo OpenVPN que también emplea una robusta cifra además de permitir la comunicación cifrada extremo a extremo. Las organizaciones suelen elegir IPSec frente a OpenVPN debido a varios factores como:
Diversos Sistemas Operativos de diversos sistemas ya cuentan con la opción implementada de IPSec.
IPSec es tan robusto ya que su cifra actúa en la capa 3 y se puede emplear junto a otros protocolos de capa 2 como IKE o L2TP, dichos protocolos cifran en capa 2. En el caso de IKE proporciona un método de autenticación al usuario.
IPSec emplea los puertos 500 y 4500 para conexiones UDP (puertos denominados WellKnown).
106
Es decir, mediante IPSec se pueden realizar NAT de IP (también mediante OpenVPN), como se aprecia en la Figura anterior de los puertos que emplea IPSec, aunque lo que le diferencia del otro protocolo es que se realiza por puertos destinados a ese fin. Además de emplear ISAKMP para la negociación del servicio.
IPSec solo requiere de implementación en el Sistema Operativo (ya que actúa en capa 3) aunque es más complejo que OpenVPN pero muchos sistemas ya la implementan por defecto, por ello, tiene mayor compatibilidad.
Debido a su robusto algoritmo de encriptación es la mejor opción para la transmisión de grandes paquetes por internet.
Para usar este tipo de VPN se puede configurar en los Firewalls Fortinet FortiGate. Puesto que no se dispone de un dispositivo profesional de ese tipo ni de una infraestructura donde poder ser probado las capturas se tomarán de la web citada en la bibliografía [74], los pasos serían:
1) Apertura de los puertos:
Figura 58: Apertura puertos para IPSec en FortiGate FW
Apertura de los puertos necesarios, tales como 500 y 4500 para UDP que emplea IPSec.
2) Autenticación:
Figura 59: Autenticación en la VPN
A continuación, se deberá especificar cómo el usuario se logueará en el medio por medio de los servidores de autenticación, o incluso por medio del AD, así como los credenciales que serán necesarios que rellene durante el login. En el apartado “Extra Info” se puede especificar si para validar la conexión es necesario realizarlo por medio de un segundo método de autenticación y elegir el grupo para la VPN.
107
Figura 60: Parámetros del túnel VPN
Ahora, habría que crear el túnel y configurar las opciones deseadas para la VPN que se va a emplear. Se puede establecer [75]:
Site to site (S2S): Conexiones continuas entre usuarios hacia recursos de la organización.
Clinet to site (C2S) que es lo mismo que Remote Access: Conexión puntual de un usuario a un recurso, tipo alguna consulta a alguna base de datos, pero para poder llevar a cabo su labor no necesita el continuo uso de la VPN.
Además de especificar la clave con la que trabajarán estos dispositivos. Debe ser una clave lo más compleja posible y aleatoria, solo conocida por el administrador creador del túnel.
4) Pool VPN:
Figura 61: Pool VPN IPSec
Finalmente habría que especificar el pool de direcciones para ese grupo de VPN, con la máscara todo a unos (255. 255. 255. 255) se establece que serán direcciones para solo un host. Además, se deben elegir las DNS o especificar las DNS a emplear para ese túnel. Al ser el pool de direcciones de tipo IPv4 se debe seleccionar esa opción.
5) Configuración en el cliente VPN:
El último paso que habría que realizar sería la configuración de la VPN en el software que permita establecer dicha conexión. Existen varias alternativas en el mercado, como la mencionada en epígrafes anteriores, Pulse Secure es una de las mejores opciones para organizaciones.
108
5
Otras infraestructuras de red
A lo largo del proyecto se han tratado temas y casos prácticas de infraestructuras de red tradicional.
Las redes tradicionales implementan el término denominado on-premise, es decir, por medio de su capital adquieren dispositivos los cuales administran, gestionan y protegen según sus decisiones. Así como de colocarlos en los centros adecuados donde agruparlos (CPD).
La principal competencia que tienen estas redes son las redes cloud, en dichas redes el hardware no corre por cuenta de la empresa, entonces existen bastantes diferencias, pudiendo destacarse:
Las redes cloud son más económicas al no requerir de un elevado capital inicial, aunque a largo plazo es más rentable las redes on-premise.
En redes on-premise la seguridad es aplicada por la organización, por lo que se mantiene un entorno seguro y confiable de los datos, mientras que en las cloud debes confiar que el administrador de los dispositivos de seguridad realice tareas eficientes.
Control sobre los dispositivos y la posibilidad de implementación, crecimiento o cambio de gestión de los recursos. Mientras que en las cloud todo se realizaría por medio de nuevos contratos.
Aunque la opción que suelen contratar las grande organizaciones es la nube híbrida, en la que la organización tiene sus propios dispositivos y tan solo contrata algunos servidores para almacenar datos no muy relevantes o servicios para realizar pruebas. La ventaja de este tipo es que el proveedor se encarga de la protección de los datos y la organización no destina más recursos para esos datos no muy importantes ahorrando espacio y costes.
Debido a las opciones de la nube, surgen nuevos conceptos [76]:
SaaS (Software as a Service): Se tratan de servicios contratados donde el usuario no presta atención a la infraestructura, tan solo se enfoca en la aplicación web final. Un ejemplo de ello son las nubes de usuario, como Dropbox o servicios de correo como el que emplea la escuela Webmail.
PaaS (Platform as a service): Escasa administración de la infraestructura, el desarrollador solo se enfoca en el desarrollo software dejando que el proveedor gestione los recursos contratados. Un ejemplo de ello sería Azure de Microsoft o Google App Engine para el desarrollo de aplicaciones Android.
IaaS (Infraestructure as a Service): Servicio de la nube orientada a desarrolladores que quieran gestionar su propia infraestructura (redes, servidores, discos o máquinas de almacenamiento), ellos lo administran por completo creando sus máquinas virtuales con las configuraciones que elijan. Una de las opciones más conocidas sería AWS (Amazon Web Service).
Sin embargo, la opción de cloud no es la única red diferente a la tradicional. Existen principalmente otros dos tipos de redes relativamente modernas, que son las siguientes:
109
Se tratan de redes orientas a industrias. Dichas redes se centran en el comportamiento de los elementos y mecanismo que intervienen en la industria que forman parte de su proceso productivo.
Por ello, son redes un tanto diferentes, configuradas, gestionadas y administradas de diferente forma que las redes tradicionales además de requerir procesos de hardenizado un tanto distintos a los que se estudiaron en capítulos anteriores del proyecto.
Redes IoT (Internet Of Things):
Se denomina así a la interconexión de diferentes dispositivos en internet o en general en cualquier red. Ahora esos dispositivos no tienen por qué ser exclusivamente host de usuarios, servidores, dispositivos de la electrónica de red, impresoras u otros periféricos de uso empresarial habitual, también se incluyen otros equipos electrónicos como sensores, electrodomésticos, bombillas o en general cualquier elemento que puede disponer de algún tipo de conexión en red ya sea de manera inalámbrica, por cable o ambas.