Análisis comparativo de técnicas de cifrado utilizadas en ...
Transcript of Análisis comparativo de técnicas de cifrado utilizadas en ...
UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO
FACULTAD DE INGENIERIacuteA CIVIL SISTEMAS Y ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERIacuteA DE SISTEMAS
ANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE
CIFRADO UTILIZADAS EN LA
CONFIDENCIALIDAD DE LA INFORMACIOacuteN EN
UNA RED PRIVADA VIRTUAL
TESIS DE GRADO
PARA OBTENER EL TIacuteTULO DE
INGENIERO DE SISTEMAS
AUTOR
Bach Carlos Alberto Fernaacutendez Falen
ASESOR
Ing Gilberto Martiacuten Ampuero Pasco
LAMBAYEQUE ndash PERUacute
2017
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 2
PROYECTO DE TESIS
ldquoANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE
CIFRADO UTILIZADAS EN LA
CONFIDENCIALIDAD DE LA INFORMACIOacuteN EN
UNA RED PRIVADA VIRTUALrdquo
_________________________________
Bach Carlos Alberto Fernaacutendez Falen
Responsable de Tesis
__________________________________
Ing Gilberto Martiacuten Ampuero Pasco
Patrocinador
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 3
PROYECTO DE TESIS
ldquoANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE CIFRADO
UTILIZADAS EN LA CONFIDENCIALIDAD DE LA
INFORMACIOacuteN EN UNA RED PRIVADA VIRTUALrdquo
MIEMBROS DEL JURADO
____________________________________
Mg Ing Robert Edgard Puican Gutierrez
PRESIDENTE DE JURADO
________________________________
Ing Ceacutesar Augusto Guzmaacuten Valle
MIEMBRO DE JURADO
_________________________________
Ing Roberto Carlos Arteaga Lora
MIEMBRO DE JURADO
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 4
DEDICATORIA
A mis queridos Padres Franco
Fernaacutendez Felicita Irene
Falen y a mis hermanos
Elizabeth y Segundo Franco
Por su gran amor y apoyo
incondicional por ensentildearme a
ser responsable y luchar para
seguir adelante y sobretodo
porque gracias a ellos he
logrado esta meta
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 5
AGRADECIMIENTO
A Dios por permitirme vivir y
seguir el camino correcto con
objetivos claros luchando por
obtener lo que maacutes quiero y por
darme la oportunidad de que mi
familia se sienta orgullosa de
mis triunfos
Al Ingeniero Martiacuten Ampuero mi
asesor quien me apoyo en la
elaboracioacuten de eacuteste proyecto de
investigacioacuten
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 2
PROYECTO DE TESIS
ldquoANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE
CIFRADO UTILIZADAS EN LA
CONFIDENCIALIDAD DE LA INFORMACIOacuteN EN
UNA RED PRIVADA VIRTUALrdquo
_________________________________
Bach Carlos Alberto Fernaacutendez Falen
Responsable de Tesis
__________________________________
Ing Gilberto Martiacuten Ampuero Pasco
Patrocinador
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 3
PROYECTO DE TESIS
ldquoANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE CIFRADO
UTILIZADAS EN LA CONFIDENCIALIDAD DE LA
INFORMACIOacuteN EN UNA RED PRIVADA VIRTUALrdquo
MIEMBROS DEL JURADO
____________________________________
Mg Ing Robert Edgard Puican Gutierrez
PRESIDENTE DE JURADO
________________________________
Ing Ceacutesar Augusto Guzmaacuten Valle
MIEMBRO DE JURADO
_________________________________
Ing Roberto Carlos Arteaga Lora
MIEMBRO DE JURADO
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 4
DEDICATORIA
A mis queridos Padres Franco
Fernaacutendez Felicita Irene
Falen y a mis hermanos
Elizabeth y Segundo Franco
Por su gran amor y apoyo
incondicional por ensentildearme a
ser responsable y luchar para
seguir adelante y sobretodo
porque gracias a ellos he
logrado esta meta
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 5
AGRADECIMIENTO
A Dios por permitirme vivir y
seguir el camino correcto con
objetivos claros luchando por
obtener lo que maacutes quiero y por
darme la oportunidad de que mi
familia se sienta orgullosa de
mis triunfos
Al Ingeniero Martiacuten Ampuero mi
asesor quien me apoyo en la
elaboracioacuten de eacuteste proyecto de
investigacioacuten
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 3
PROYECTO DE TESIS
ldquoANAacuteLISIS COMPARATIVO DE TEacuteCNICAS DE CIFRADO
UTILIZADAS EN LA CONFIDENCIALIDAD DE LA
INFORMACIOacuteN EN UNA RED PRIVADA VIRTUALrdquo
MIEMBROS DEL JURADO
____________________________________
Mg Ing Robert Edgard Puican Gutierrez
PRESIDENTE DE JURADO
________________________________
Ing Ceacutesar Augusto Guzmaacuten Valle
MIEMBRO DE JURADO
_________________________________
Ing Roberto Carlos Arteaga Lora
MIEMBRO DE JURADO
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 4
DEDICATORIA
A mis queridos Padres Franco
Fernaacutendez Felicita Irene
Falen y a mis hermanos
Elizabeth y Segundo Franco
Por su gran amor y apoyo
incondicional por ensentildearme a
ser responsable y luchar para
seguir adelante y sobretodo
porque gracias a ellos he
logrado esta meta
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 5
AGRADECIMIENTO
A Dios por permitirme vivir y
seguir el camino correcto con
objetivos claros luchando por
obtener lo que maacutes quiero y por
darme la oportunidad de que mi
familia se sienta orgullosa de
mis triunfos
Al Ingeniero Martiacuten Ampuero mi
asesor quien me apoyo en la
elaboracioacuten de eacuteste proyecto de
investigacioacuten
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 4
DEDICATORIA
A mis queridos Padres Franco
Fernaacutendez Felicita Irene
Falen y a mis hermanos
Elizabeth y Segundo Franco
Por su gran amor y apoyo
incondicional por ensentildearme a
ser responsable y luchar para
seguir adelante y sobretodo
porque gracias a ellos he
logrado esta meta
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 5
AGRADECIMIENTO
A Dios por permitirme vivir y
seguir el camino correcto con
objetivos claros luchando por
obtener lo que maacutes quiero y por
darme la oportunidad de que mi
familia se sienta orgullosa de
mis triunfos
Al Ingeniero Martiacuten Ampuero mi
asesor quien me apoyo en la
elaboracioacuten de eacuteste proyecto de
investigacioacuten
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 5
AGRADECIMIENTO
A Dios por permitirme vivir y
seguir el camino correcto con
objetivos claros luchando por
obtener lo que maacutes quiero y por
darme la oportunidad de que mi
familia se sienta orgullosa de
mis triunfos
Al Ingeniero Martiacuten Ampuero mi
asesor quien me apoyo en la
elaboracioacuten de eacuteste proyecto de
investigacioacuten
Atte Carlos Alberto Fernaacutendez Falen
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 6
IacuteNDICE
Contenido Paacutegina
DEDICATORIAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 04
AGRADECIMIENTOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 05
IacuteNDICEhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 06
IacuteNDICE DE TABLAShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ILUSTRACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 09
IacuteNDICE DE ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 10
RESUMENhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 11
ABSTRACThelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 12
INTRODUCCIOacuteNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 13
ASPECTO INFORMATIVOhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 15
CAPITULO Ihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 16
PLANTEAMIENTO DEL OBJETO DE ESTUDIOhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
11 Realidad Problemaacuteticahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 17
12 Formulacioacuten del Problemahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 19
13 Objetivoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
131 Objetivo Generalhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
132 Objetivos Especiacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
14 Justificacioacuten e Importanciahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
15 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 20
CAPITULO IIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 23
ANTECEDENTES DE OTRAS INVESTIGACIONEShelliphelliphelliphelliphelliphelliphelliphellip 24
21 Estado del artehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 25
22 Bases teoacuterico cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
221 Red Privada Virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 27
222 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 30
223 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 33
224 Algoritmo Criptograacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 34
2241 Algoritmos Criptograacuteficos Simeacutetricoshelliphelliphelliphelliphelliphellip 36
2242 Algoritmos Criptograacuteficos Asimeacutetricoshelliphelliphelliphelliphellip 43
2243 Algoritmos Criptograacuteficos Hashhelliphelliphelliphelliphelliphelliphelliphellip 45
225 Protocolo L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 50
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 7
226 Libreriacuteas para algoritimos de encriptacioacutenhelliphelliphelliphelliphelliphellip 52
227 Autenticacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 53
23 Definicioacuten de teacuterminos baacutesicoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
231 Algoritmohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
232 Ataque informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 54
233 Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
234 Delito Informaacuteticohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
235 Encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
236 Esteganografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 55
237 Red privada virtualhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
238 Seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
239 Teacutecnicas de encriptacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 56
24 Caracteristicas de funcionamiento y aplicaciones de las redes privadas
virtualeshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
241 Introduccioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 57
25 Funcionamiento y Caracteristicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 59
26 Tipos de VPNrsquos y sus aplicacioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
261 Arquitectura de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2611 VPN de acceso remotohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 62
2612 VPN punto puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 63
2613 VPN interna VLANhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
262 VPN basadas en internet o intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
2621 VPN basadas en internethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 64
26211 Acceso remoto a traveacutes de internet 64
26212 Acceso de redes a traveacutes de internet 65
2622 VPN basadas en intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 66
26221 Acceso remoto a traveacutes de intranet 66
26222 Acceso de redes a traveacutes de intranet 67
2623 VPNs dinaacutemicashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 67
27 Protocolos usados por las VPNshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 68
271 Protocolo de tuacutenel punto a punto (PPTP)helliphelliphelliphelliphelliphelliphelliphellip 68
2711 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 69
272 Protocolo de tuacutenel de capa 2helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 8
2721 Encapsulacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 70
27211 Encapsulacioacuten L2TPhelliphelliphelliphelliphelliphelliphellip 70
27212 Encapsulacioacuten IPSechelliphelliphelliphelliphelliphelliphellip 70
273 IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2731 Definicioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2732 Arquitectura de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 71
2733 Estado actual de estaacutendarhelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 72
2734 Propoacutesito de disentildeohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 73
2735 Modoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27351 Modo transportehelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27352 Modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
2736 Protocoloshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 74
27361 Authenticacioacuten header (AH)helliphelliphelliphellip 75
27362 Encapsulating Security Payload (ESP) 76
CAPITULO IIIhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 78
Marco metodoloacutegicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
31 Tipo y disentildeo de la investigacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
32 Poblacioacuten y muestrahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
33 Hipoacutetesishelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
34 Operacionalizacioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 79
35 Meacutetodos teacutecnicas y herramientas de recoleccioacuten de datoshelliphellip 80
36 Procedimiento para la recoleccioacuten de datoshelliphelliphelliphelliphelliphelliphelliphelliphellip 80
37 Plan de anaacutelisis estadiacutestico de datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
38 Criterios eacuteticoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
39 Criterios de rigos cientiacuteficohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 81
CAPITULO IVhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 82
41 Tipos de pruebashelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
42 Pruebas de rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 83
421 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 84
43 Pruebas de seguridadhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 85
431 Resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 88
CAPITULO Vhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 93
51 Implementacioacuten de VPN utilizando IPSechelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 9
52 Instalacioacuten y configuracioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 94
53 Discusioacuten de resultadoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 99
CONCLUSIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 101
RECOMENDACIONEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 103
BIBLIOGRAFIacuteAhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 105
ANEXOShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip 107
INDICE DE TABLAS
Tabla 01 Caracteriacutesticas variable dependientehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip21
Tabla 02 Variable Dependiente-Rendimientohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip80
Tabla 03 Rendimiento del sistema en modo tuacutenelhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 04 Rendimiento del sistema en modo transportehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip84
Tabla 05 Algoritmos para la transmisioacuten segura de los datoshelliphelliphelliphelliphelliphelliphelliphelliphelliphellip96
Tabla 06 Teacutecnicas de encriptacioacuten de datos en una red privada virtualhelliphelliphelliphelliphelliphellip97
Tabla 07 Protocolos ndash Solucioneshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip98
INDICE DE ILUSTRACIOacuteNES
Ilustracioacuten 1 Ataques malintencionados generados mediante PDF Flash y Java17
Ilustracioacuten 2 Origen de la Criptografiacuteahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip33
Ilustracioacuten 3 Clasificacioacuten de algoritmos criptograacuteficoshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip35
Ilustracioacuten 4 Estructura general de Feistel en DEShelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip38
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) helliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits) helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip40
Ilustracioacuten 7 AES SubByteshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 8 AES ShiftRowshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 9 AES Mixcolumnshelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip42
Ilustracioacuten 10 AES AddRoundKeyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip43
Ilustracioacuten 11 Funcionamiento del L2TPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip51
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet helliphelliphelliphellip57
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip59
Ilustracioacuten 14 Tuacutenel en una VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip62
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principalhelliphellip63
Ilustracioacuten 16 Conexioacuten punto a puntohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip63
Ilustracioacuten 17 Acceso remoto a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip65
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip66
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 10
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranethelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip67
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPPhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip69
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPPhelliphelliphelliphelliphelliphelliphellip71
Ilustracioacuten 23 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip86
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip87
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip88
Ilustracioacuten 28 Esquema fiacutesico de conexioacutenhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip89
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip90
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip91
Ilustracioacuten 33 Topologiacutea de conexioacuten VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip95
IacuteNDICE DE ANEXOS
Anexo 01
Configuracioacuten de servidor FTP en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip108
Anexo 02
Instalacioacuten y Configuracioacuten de Servidor VPN en Linux Centos 65helliphelliphelliphelliphelliphelliphelliphellip112
Anexo 03
Instalacioacuten y Configuracioacuten de Cliente VPNhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip121
Anexo 04
WIRESHARKhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip126
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 11
RESUMEN
Se realizan pruebas de rendimiento y seguridad en la primera se analiza el
proceso de transferencia de archivos en el modelo clienteservidor VPN
tomando en cuenta distintas longitudes de archivos utilizando formatos de
archivos conocidos como pdf docx text e imaacutegenes se mide la carga del CPU
la tasa de transferencia el tiempo promedio relativo combinando los protocolos
IPsec (AH SEP) en modo tuacutenel y modo transporte
Ademaacutes se realiza un anaacutelisis comparativo de los protocolos de seguridad IPsec
SSH SSL utilizando dos escenarios primero utilizando un canal seguro VPN y
el segundo sin utilizar el canal VPN Para su implementacioacuten se utilizoacute el
analizador de protocolos Wireshark programas SSH y SSL
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 12
ABSTRACT
Performance and security tests are performed the first one analyzes the process
of file transfer in the VPN client server model taking into account different file
lengths using file formats known as pdf docx text and images the CPU load
the transfer rate the relative average time are measured combining the IPsec
protocols (AH SEP) in tunnel mode and transport mode
In addition a comparative analysis of security protocols IPsec SSH SSL is
performed using two scenarios first using a secure VPN channel and the second
without using the VPN channel For its implementation the Wireshark protocol
analyzer SSH and SSL programs were used
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 13
INTRODUCCIOacuteN
El ser humano se encuentra en la era de la informacioacuten y la computadora se ha
convertido en el medio favorito para poder comunicarse Todo tipo de
organizaciones ya sea empresas pequentildea y grande universidades institutos
gobierno etc requieren de meacutetodos para poder transmitir informacioacuten de forma
raacutepida eficiente segura y a un precio razonable Esto lleva al desarrollo continuo
de tecnologiacuteas de la informacioacuten y actualizacioacuten de las ya existentes con el fin
de satisfacer las necesidades de dichas organizaciones en este mundo
globalizado
La seguridad es uno de los aspectos maacutes desafiantes de la Internet y las
aplicaciones de red las cuales estaacuten creciendo muy raacutepido por lo que la
importancia y el valor de los datos intercambiados a traveacutes de Internet u otros
tipos de medios estaacuten aumentando De ahiacute la buacutesqueda de la mejor solucioacuten
para ofrecer la proteccioacuten necesaria contra ataques de intrusos a nuestros datos
junto con la prestacioacuten de estos servicios en el tiempo es uno de los temas maacutes
interesantes en las comunidades relacionadas con la seguridad
La criptografiacutea es una de las principales categoriacuteas de la seguridad informaacutetica
que convierte la informacioacuten de su forma normal en un formato ilegible Las
caracteriacutesticas principales que identifican y diferencian a los algoritmos de
encriptacioacuten uno de otro son su capacidad para asegurar los datos protegidos
contra ataques su velocidad y eficiencia en hacerlo
Las Redes Privadas Virtuales (VPN) constituyen una tecnologiacutea a la cual se le
estaacute dando cada vez mayor importancia puesto que permite la transmisioacuten de
informacioacuten a grandes distancias sin necesidad de implementar una compleja y
costosa infraestructura de red Por lo cual la seguridad de los datos que se
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 14
transmiten es fundamental esto se logra mediante el protocolo de TUacuteNEL
mecanismo por el cual se encapsula paquetes de protocolos arbitrarios
utilizando ademaacutes ciertos mecanismos para preservar la confidencialidad e
integridad de los datos enviados
Hablar de la confidencialidad de la informacioacuten es garantizar que la informacioacuten
personal seraacute protegida para que no sea divulgada sin consentimiento de la
persona Dicha garantiacutea se lleva a cabo por medio de protocolos que limitan el
acceso a eacutesta informacioacuten
En este sentido la criptografiacutea es un pilar fundamental en la seguridad de la
informacioacuten no solo en los archivos sino tambieacuten en el medio de transporte ya
que permite ocultar el contenido de un mensaje con la aplicacioacuten de diferentes
teacutecnicas de encriptacioacuten El presente estudio propone un anaacutelisis comparativo de
las teacutecnicas de encriptacioacuten en una red privada virtual evaluando la eficiencia de
dichas teacutecnicas en el enviacuteo de la informacioacuten a traveacutes de una red privada virtual
asegurando la confidencialidad de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 15
ASPECTO INFORMATIVO
11 Tiacutetulo del proyecto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad
de la informacioacuten en una Red Privada Virtual
12 Coacutedigo del proyecto IS-2015-007
13 Personal investigador
131 Autor
Fernaacutendez Falen Carlos Alberto
132 Asesor
Ing Gilberto Martiacuten Ampuero Pasco
Profesor Asociado a tiempo completo
martinampuerohotmailcom
14 Escuela Profesional
Ingenieriacutea de Sistemas
15 Orientacioacuten de la investigacioacuten
151 Aacuterea de investigacioacuten
Desarrollo de Tecnologiacuteas e Innovacioacuten
152 Liacutenea de investigacioacuten
Tecnologiacuteas de la informacioacuten y Comunicacioacuten (TIC)
16 Localidad o Institucioacuten donde se realizaraacute el proyecto
Lambayeque
17 Duracioacuten estimada
5 meses
18 Fecha de inicio
Noviembre del 2016
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 16
CAPITULO I
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 17
PLANTEAMIENTO DEL OBJETO DE ESTUDIO
11 REALIDAD PROBLEMAacuteTICA
En la actualidad las redes afrontan dos vertientes de erosioacuten de la confianza una
es un descenso de la credibilidad de los clientes en la integridad de los productos
la otra se resume en los numerosos indicios que apuntan a que los sujetos
malintencionados estaacuten derrotando los mecanismos de confianza De esta
manera se pone en duda la eficacia de las arquitecturas de autorizacioacuten
autenticacioacuten y garantiacutea de aplicaciones y redes (Cisco Informe Anual de
Seguridad 2013)
De todas las amenazas basadas en la Web que minan la seguridad las
vulnerabilidades del lenguaje de programacioacuten Java siguen constituyendo el
objetivo maacutes explotado por los criminales online de acuerdo con los datos de
Cisco
Los datos de Sourcefire que ahora forma parte de Cisco tambieacuten muestran que
las vulnerabilidades de Java conforman la amplia mayoriacutea (91) de los
indicadores de riesgo (IoC) que supervisa la solucioacuten FireAMP de Sourcefire que
estaacute destinada a la proteccioacuten frente al malware avanzado y a su anaacutelisis (Cisco
Informe Anual de Seguridad 2014)
Ilustracioacuten 1 - Ataques malintencionados generados mediante PDF Flash y Java
Fuente Informes de Cisco Cloud Web Security 2014
En materia de seguridad informaacutetica el 2014 estaacute signado por una creciente
preocupacioacuten de los usuarios en torno a la peacuterdida de privacidad en Internet
Ademaacutes el informe ldquoTendencias 2014 en Seguridad Informaacuteticardquo elaborado por
los especialistas de ESET Latinoameacuterica destaca la evolucioacuten del cibercrimen y
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 18
la diversificacioacuten del malware hacia otro tipo de dispositivos como los aspectos
centrales en materia de Seguridad Informaacutetica para el proacuteximo antildeo (Eset 2013)
Las causas del por queacute se da este tipo de problemas es por la masificacioacuten del
uso de internet las personas en la actualidad usan el Internet para realizar sus
transacciones no se le presta suficiente atencioacuten a la confidencialidad de la
informacioacuten del cliente y una de las mayores causas es que el atacante encontroacute
la vulnerabilidad del sistema lo que ha llevado a los hackers a tener que robar
nuestra informacioacuten Maacutes aun cuando no tenemos un sistema seguro y es
vulnerable (Alonso 2009)
Es en este contexto que surgen las redes privadas virtuales (VPN) como
alternativa de bajo costo a servicios contratados dedicados de red de aacuterea amplia
para las comunicaciones de datos tanto para conectar redes distantes como
usuarios remotos con la red de la organizacioacuten utilizando una infraestructura de
comunicacioacuten de datos puacuteblica y compartida (Alonso 2009)
Las tecnologiacuteas de redes privadas virtuales han evolucionado para representar no
solo una opcioacuten econoacutemica para las comunicaciones sino tambieacuten como una
solucioacuten complementaria para lograr eficiencia velocidad seguridad confiabilidad
en otros servicios de red de aacuterea amplia (Alonso 2009)
Las redes privadas virtuales utilizan una infraestructura compartida y puacuteblica para
la interconexioacuten por lo que la seguridad de los datos que se transmiten es
fundamental En el contexto de una VPN esto se resuelve mediante un protocolo
de tuacutenel es decir un mecanismo que es capaz de encapsular paquetes de
protocolos arbitrarios mediante el agregado de encabezados utilizando ademaacutes
mecanismos para preservar la confidencialidad e integridad de los datos enviados
(Alonso 2009)
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad
mediante seguridad IP cifrada o IPsec o tuacuteneles VPN de Secure Sockets Layer
(SSL) y tecnologiacuteas de autenticacioacuten Estas tecnologiacuteas protegen los datos que
pasan por la red privada virtual contra accesos no autorizados (Padilla 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 19
12 FORMULACIOacuteN DEL PROBLEMA
Las redes privadas virtuales de acceso remoto son el mecanismo ideal para
extender o acercar los servicios de red local en forma completa o parcial a los
usuarios itinerantes y tele trabajadores Esta circunstancia dista de ser ideal si no
se tiene en cuenta nuevamente el aspecto seguridad respecto a validar a quieacuten
se conecta y de acuerdo a esto que permisos y autorizaciones posee Estas
precauciones deben reflejar las poliacuteticas de seguridad de la informacioacuten definidas
previamente por la organizacioacuten (Alonso 2009)
En la actualidad existe un incremento de las conexiones de banda ancha tanto en
puntos de acceso comerciales como en los hogares Este aumento se observa
tambieacuten en la capacidad de ancho de banda ofrecido Esta situacioacuten beneficia la
puesta en praacutectica de VPN de acceso remoto Una actividad muy popular es el
tele trabajo que permite desde otra ubicacioacuten fiacutesica contar con los recursos de la
informacioacuten que se poseen en la oficina (Cisco Informe Anual de Seguridad
2014)
En su investigacioacuten (Hernaacutendez 2012) estudia la criptografiacutea de curvas eliacutepticas
que reduzcan el tiempo de coacutemputo de la multiplicacioacuten escalar
Desde el punto de vista algoriacutetmico las curvas eliacutepticas de Koblitz permiten que
el caacutelculo de la multiplicacioacuten escalar pueda ser realizado raacutepidamente mediante
la aplicacioacuten del endomorfismo de Frobenius sin requerir el uso de doblados de
puntos Los resultados obtenidos de este trabajo de investigacioacuten ponen de
manifiesto la aceleracioacuten obtenida en la paralelizacioacuten de la multiplicacioacuten escalar
optimizando tanto algoriacutetmicamente como con el uso de tecnologiacuteas recientes
Es por ello que la presente investigacioacuten propone evaluar teacutecnicas de encriptacioacuten
para buscar una solucioacuten que balancee seguridad con facilidad de uso en los datos
que se trasmiten en una red privada virtual VPN planteando iquestCoacutemo se puede
determinar la eficiencia de los meacutetodos de cifrado en un Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 20
13 OBJETIVOS
131 OBJETIVO GENERAL
Analizar el funcionamiento de los principales protocolos de cifrado que
hacen posible la creacioacuten de tuacuteneles dentro de una infraestructura puacuteblica
llamados accesos VPN y que permiten dar confidencialidad a los datos
132 OBJETIVOS ESPECIacuteFICOS
Anaacutelisis del funcionamiento baacutesico y funcional de redes privadas
virtuales (VPN)
Analizar algoritmos para la transmisioacuten segura de los datos en una
Red Privada Virtual
Analizar las diversas teacutecnicas de encriptacioacuten de datos en una red
privada virtual
Evaluar la eficiencia de las teacutecnicas criptograacuteficas en la red privada
virtual
14 JUSTIFICACION E IMPORTANCIA
141 JUSTIFICACION
Con esta investigacioacuten se pone a disposicioacuten de la comunidad cientiacutefica
y tecnoloacutegica conocimientos sobre teacutecnicas de encriptacioacuten que brinden
confiabilidad a la empresa en el momento de enviar informacioacuten lo cual
posibilita que se realicen nuevas investigaciones al respecto y asiacute seguir
avanzando en esta liacutenea de investigacioacuten de manera tal que se pueda
conseguir un nivel de confianza y seguridad en el enviacuteo de informacioacuten a
traveacutes de la VPN brindando a la sociedad y a las empresas un sistema
maacutes seguro y por lo tanto mucha maacutes confianza al momento de realizar
sus transacciones Econoacutemicamente tanto las empresas como las
personas no se veraacuten afectadas ya que se podraacute contar con un sistema
mucho maacutes seguro
15 HIPOacuteTESIS
Un anaacutelisis comparativo de las diferentes teacutecnicas de cifrado permitiraacute
determinar la eficiencia en la seguridad de una Red Privada Virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 21
VARIABLES
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad de la Red Privada Virtual
Operacionalizacioacuten
Tabla 01 Caracteriacutesticas variable dependiente
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS
DE RECOLECCIOacuteN
DE DATOS
Seguridad de la Red Privada Virtual
Medidas de rendimiento
Tiempo de procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Costo de implementacioacuten del algoritmo
Medida de Seguridad
Cantidad datos que se puede visualizar
Captura de datos en la VPN
Fuente Creacioacuten propia
DISENtildeO DE CONTRASTACIOacuteN DE LA HIPOacuteTESIS
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al
disentildeo cuasi experimental
POBLACIOacuteN Y MUESTRA
La poblacioacuten Base de datos de ataques a Red Privada Virtual
La Muestra Ataques de la base de datos dirigidos a redes privadas virtuales
MATERIALES TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 22
Registro de observaciones Se usan para recopilar los datos de las pruebas
del sistema propuesto y evidencia de las teacutecnicas
Instrumento
Ficha de registro de eventos Este instrumento se usan para el registro de los
eventos de las pruebas de aplicacioacuten de las teacutecnicas
MEacuteTODOS Y PROCEDIMIENTOS PARA LA RECOLECCIOacuteN DE DATOS
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten de teacutecnicas de
Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y evaluar el
desempentildeo de cada una de ellas de acuerdo con los indicadores que se ha
establecido
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 23
CAPITULO II
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 24
ANTECEDENTES DE OTRAS INVESTIGACIONES
Encriptacioacuten RSA de archivos de texto
Este trabajo de tesis se desarrolla en base a la programacioacuten en lenguaje Java
para los algoritmos de encriptacioacuten RSA que basa su seguridad en la dificultad
de factorizar nuacutemeros primos muy grandes aunque como todo sistema de
encriptacioacuten de clave puacuteblica el RSA puede estar sujeto a ataques con el fin de
obtener el mensaje original o descubrir la clave privada
(Lomparte 2005)
Seguridad VPN basada en la combinacioacuten de L2TP and IpSec
Esta investigacioacuten estaacute desarrollada para proporcionar un meacutetodo de
construccioacuten de red privada virtual segura por la combinacioacuten de L2TP y IPSec
con el fin de cumplir los requisitos de la transmisioacuten segura de datos y mejorar la
tecnologiacutea de seguridad VPN La simulacioacuten y anaacutelisis demuestran que el meacutetodo
de construccioacuten puede mejorar la seguridad de la transmisioacuten de datos y los
resultados de la simulacioacuten de VPN es valioso para los profesionales de
seguridad se refieren (Li amp Sun 2012)
Adaptive Data Hiding Based on Visual Cryptography
En esta investigacioacuten (Sciences 2014) se utilizoacute un meacutetodo basado en la
criptografiacutea visual y la estenografiacutea con el objetivo de mejorar la seguridad y
robustez de los datos El meacutetodo minimiza la perceptibilidad de la distorsioacuten
introducida en comparacioacuten con los meacutetodos de indicador de piacutexeles Cuatro
paraacutemetros a saber MSE BPP y la capacidad de incrustacioacuten se utilizan como
indicadores para la comparacioacuten La criptografiacutea visual con la estenografiacutea
proporciona MSE miacutenimo y maacutexima PSNR y capacidad de incrustacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 25
moderada Estos paraacutemetros deciden la imperceptibilidad y robustez de la
imagen y proporciona una mejor resistencia contra diversas formas de ataques
21 Estado del Arte
Disentildeo e integracioacuten de algoritmos criptograacuteficos en sistemas empotrados
sobre FPGA
En este trabajo se integran implementaciones hardware de algoritmos
criptograacuteficos a la biblioteca OpenSSL la cual es utilizada por aplicaciones sobre
el sistema operativo Linux para asegurar redes TCPIP Los algoritmos
implementados son el AES y las funciones resumen SHA-1 y SHA-256 Estos
algoritmos son implementados como coprocesadores del procesador MicroBlaze
utilizando interfaces FSL para el intercambio de datos entre ellos Estos
coprocesadores son integrados dentro de la biblioteca OpenSSL considerando
la naturaleza multitarea del sistema operativo Linux por lo que se selecciona un
mecanismo de sincronizacioacuten para controlar el acceso a estos dispositivos
Ademaacutes son presentados los resultados de velocidad alcanzados por los
coprocesadores integrados en la biblioteca utilizando la herramienta speed de la
misma Finalmente es presentado el impacto de estos coprocesadores en la
velocidad de transmisioacuten a traveacutes de una red privada virtual utilizando la
herramienta OpenVPN (Aldaya 2013)
Implementacioacuten de la criptografiacutea basada en atributos en un dispositivo
moacutevil
Esta tesis describe el anaacutelisis el disentildeo y la implementacioacuten de una biblioteca
de software eficiente que compute emparejamientos bilineales de una manera
eficaz sobre un dispositivo moacutevil equipado con un procesador ARM Cortex A9
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 26
Asimismo se describe el disentildeo e implementacioacuten del protocolo ABE utilizando
la biblioteca desarrollada en este trabajo y se presenta una aplicacioacuten
demostrativa capaz de cifrar archivos a traveacutes del esquema ABE Criptografiacutea
Basada en Atributos como mecanismo de control de acceso
La biblioteca criptograacutefica desarrollada genera tres funciones principales el
emparejamiento bilineal la multiplicacioacuten escalar de puntos y la proyeccioacuten de
una cadena a un punto
(Ramiacuterez 2012)
Anaacutelisis y mejora del rendimiento del algoritmo AES para su utilizacioacuten en
teleacutefonos moacuteviles
La presente tesis se enmarca dentro del estudio y desarrollo de algoritmos
criptograacuteficos para dispositivos moacuteviles enfocaacutendose en el desarrollo de una
mejora en la implementacioacuten del algoritmo AES en un dispositivo moacutevil con
arquitectura ARM de 32 bits Se realizoacute un anaacutelisis de los algoritmos maacutes
utilizados con respecto a su desempentildeo (en tiempo y seguridad) y tras elegir el
algoritmo maacutes idoacuteneo (AES) se han aplicado diversas teacutecnicas para mejorar su
implementacioacuten de manera que se ahorren al maacuteximo los recursos limitados que
un dispositivo moacutevil posee
Se concluyoacute que para lograr reducir el tiempo de procesamiento se debe aplicar
teacutecnicas especiacuteficas como el Loop unrolling y transposicioacuten de matrices con las
que se ha conseguido reducir el tiempo de procesamiento en un aproximado de
50 en la operacioacuten de cifrado y un 80 en la operacioacuten de descifrado
(Meza 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 27
22 Bases teoacuterico cientiacutefico
221 Red Privada Virtual
Seguacuten (Alonso 2009) una red privada virtual RPV o VPN de las siglas
en ingleacutes de Virtual Private Network es una tecnologiacutea de red que permite
una extensioacuten segura de la red local (LAN) sobre una red puacuteblica o no
controlada como Internet Permite que la computadora en la red enviacutee y
reciba datos sobre redes compartidas o puacuteblicas como si fuera una red
privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una
red privada Esto se realiza estableciendo una conexioacuten virtual punto a
punto mediante el uso de conexiones dedicadas cifrado o la combinacioacuten
de ambos meacutetodos
Ejemplos comunes son la posibilidad de conectar dos o maacutes sucursales
de una empresa utilizando como viacutenculo Internet permitir a los miembros
del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de
coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde
un sitio remoto como por ejemplo un hotel Todo ello utilizando la
infraestructura de Internet
La conexioacuten VPN a traveacutes de Internet es teacutecnicamente una unioacuten wide
area network (WAN) entre los sitios pero al usuario le parece como si fuera
un enlace privadomdash de alliacute la designacioacuten virtual private network
Caracteriacutesticas baacutesicas
Autentificacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado
Usuarioequipo y queacute nivel de acceso debe tener
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 28
Integridad de que los datos enviados no han sido alterados Para
ello se utiliza funciones de Hash Los algoritmos de hash maacutes
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA)
ConfidencialidadPrivacidad Dado que soacutelo puede ser interpretada
por los destinatarios de la misma Se hace uso de algoritmos de
cifrado como Data Encryption Standard(DES) Triple DES (3DES)
y Advanced Encryption Standard (AES)
No repudio es decir un mensaje tiene que ir firmado y quien lo
firma no puede negar que envioacute el mensaje
Control de acceso Se trata de asegurar que los participantes
autenticados tiene acceso uacutenicamente a los datos a los que estaacuten
autorizados
Auditoria y registro de actividades Se trata de asegurar el correcto
funcionamiento y la capacidad de recuperacioacuten
Calidad del servicio Se trata de asegurar un buen rendimiento que
no haya una degradacioacuten poco aceptable en la velocidad de
transmisioacuten
Tipos de VPN
VPN de acceso remoto Es quizaacutes el modelo maacutes usado
actualmente y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas
comerciales domicilios hoteles aviones preparados etceacutetera)
utilizando Internet como viacutenculo de acceso Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 29
de la empresa Muchas empresas han reemplazado con esta
tecnologiacutea su infraestructura dial-up (moacutedems y liacuteneas telefoacutenicas)
VPN punto a punto Este esquema se utiliza para conectar
oficinas remotas con la sede central de la organizacioacuten El servidor
VPN que posee un viacutenculo permanente a Internet acepta las
conexiones viacutea Internet provenientes de los sitios y establece el
tuacutenel VPN Los servidores de las sucursales se conectan a Internet
utilizando los servicios de su proveedor local de Internet
tiacutepicamente mediante conexiones de banda ancha Esto permite
eliminar los costosos viacutenculos punto a punto tradicionales sobre
todo en las comunicaciones internacionales Es maacutes comuacuten es el
tambieacuten llamado tecnologiacutea de tuacutenel o tunneling
VPN over LAN Este esquema es el menos difundido pero uno de
los maacutes poderosos para utilizar dentro de la empresa Es una
variante del tipo acceso remoto pero en vez de utilizar Internet
como medio de conexioacuten emplea la misma red de aacuterea local (LAN)
de la empresa Sirve para aislar zonas y servicios de la red interna
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
Un ejemplo claacutesico es un servidor con informacioacuten sensible como
las noacuteminas de sueldos ubicado detraacutes de un equipo VPN el cual
provee autenticacioacuten adicional maacutes el agregado del cifrado
haciendo posible que soacutelo el personal de recursos humanos
habilitado pueda acceder a la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 30
Otro ejemplo es la conexioacuten a redes Wi-Fi haciendo uso de tuacuteneles cifrados
IPSec o SSL que ademaacutes de pasar por los meacutetodos de autenticacioacuten
tradicionales (WEP WPA direcciones MAC etc) agregan las credenciales
de seguridad del tuacutenel VPN creado en la LAN interna o externa
222 Seguridad
(Lucena Lopez 2010) El concepto de seguridad en la informacioacuten es
mucho maacutes amplio que la simple proteccioacuten de los datos a nivel loacutegico
Para proporcionar una seguridad real hemos de tener en cuenta muacuteltiples
factores tanto internos como externos En primer lugar habriacutea que
caracterizar el sistema que va a albergar la informacioacuten para poder
identificar las amenazas y en este sentido podriacuteamos hacer la siguiente
subdivisioacuten
Sistemas aislados Son los que no estaacuten conectados a ninguacuten tipo de
red De unos antildeos a esta parte se han convertido en minoriacutea debido
al auge que ha experimentado Internet
Sistemas interconectados Hoy por hoy casi cualquier ordenador
pertenece a alguna red enviando y recogiendo informacioacuten del
exterior casi constantemente
Esto hace que las redes de ordenadores sean cada diacutea maacutes
complejas y supongan un peligro potencial que no puede en ninguacuten
caso ser ignorado
En cuanto a las cuestiones de seguridad que hemos de fijar podriacuteamos
clasificarlas de la siguiente forma
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 31
Seguridad fiacutesica Englobaremos dentro de esta categoriacutea a todos los
asuntos relacionados con la salvaguarda de los soportes fiacutesicos de la
informacioacuten maacutes que de la informacioacuten propiamente dicha En este
nivel estariacutean entre otras las medidas contra incendios y sobrecargas
eleacutectricas la prevencioacuten de ataques terroristas las poliacuteticas de copias
de respaldo (backups) etc Tambieacuten se suelen tener en cuenta dentro
de este punto aspectos relacionados con la restriccioacuten de acceso fiacutesico
a las computadoras uacutenicamente a personas autorizadas
Seguridad de la informacioacuten En este apartado prestaremos
atencioacuten a la preservacioacuten de la informacioacuten frente a observadores no
autorizados Para ello podemos emplear tanto criptografiacutea simeacutetrica
como asimeacutetrica estando la primera uacutenicamente indicada en sistemas
aislados ya que si la empleaacuteramos en redes al tener que transmitir la
clave por el canal de comunicacioacuten estariacuteamos asumiendo un riesgo
excesivo
Seguridad del canal de comunicacioacuten Los canales de
comunicacioacuten rara vez se consideran seguros Debido a que en la
mayoriacutea de los casos escapan a nuestro control ya que pertenecen a
terceros resulta imposible asegurarse totalmente de que no estaacuten
siendo escuchados o intervenidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 32
Problemas de autentificacioacuten Debido a los problemas del canal de
comunicacioacuten es necesario asegurarse de que la informacioacuten que
recibimos en la computadora viene de quien realmente creemos que
viene y que ademaacutes no ha sido alterada Para esto se suele emplear
criptografiacutea asimeacutetrica en conjuncioacuten con funciones resumen (hash)
Problemas de suplantacioacuten En las redes tenemos el problema
antildeadido de que cualquier usuario autorizado puede acceder al sistema
desde fuera por lo que hemos de confiar en sistemas fiables para
garantizar que los usuarios no estaacuten siendo suplantados por intrusos
Para conseguir esto normalmente se emplean mecanismos basados
en contrasentildeas
No repudio Cuando se recibe un mensaje no soacutelo es necesario poder
identificar de forma univoca al remitente sino que eacuteste asuma todas
las responsabilidades derivadas de la informacioacuten que haya podido
enviar En este sentido es fundamental impedir que el emisor pueda
repudiar un mensaje es decir negar su autoriacutea sobre eacutel
Anonimato Es en cierta manera el concepto opuesto al del no
repudio En determinadas aplicaciones como puede ser un proceso
electoral o la simple denuncia de violaciones de los derechos
humanos en entornos dictatoriales es crucial garantizar el anonimato
del ciudadano para poder preservar su intimidad y su libertad Es una
caracteriacutestica realmente difiacutecil de conseguir y desafortunadamente no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 33
goza de muy buena fama especialmente en paiacuteses donde prima la
seguridad nacional sobre la libertad y la intimidad de los ciudadanos
223 Criptografiacutea
(Real Academia 2010) La palabra criptografiacutea proviene de la unioacuten de los
teacuterminos griegos (Del gr κρυπτός oculto y -grafiacutea) y su definicioacuten es ldquoArte
de escribir con clave secreta o de un modo enigmaacuteticordquo
Existen dos trabajos fundamentales sobre los que se apoya praacutecticamente
toda la teoriacutea criptograacutefica actual Uno de ellos desarrollado por (Claude
1948) en sus artiacuteculos ldquoA Mathematical Theory of Communicationrdquo y
ldquoCommunication Theory of Secrecy Systemsrdquo (1949) sienta las bases de la
Teoriacutea de la Informacioacuten y de la Criptografiacutea moderna El segundo publicado
por (Diffie amp Hellman 1976) se titulaba ldquoNew directions in Cryptographyrdquo e
introduciacutea el concepto de Criptografiacutea Asimeacutetrica abriendo enormemente el
abanico de aplicacioacuten de esta disciplina
Ilustracioacuten 2 - Origen de la Criptografiacutea
Fuente Seguacuten (Claude Elwood Shannon)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 34
Conviene hacer notar que la palabra Criptografiacutea solo hace referencia al
uso de coacutedigos por lo que no engloba a las teacutecnicas que se usan para
romper dichos coacutedigos conocidas en su conjunto como Criptoanaacutelisis En
cualquier caso ambas disciplinas estaacuten iacutentimamente ligadas no olvidemos
que cuando se disentildea un sistema para cifrar informacioacuten hay que tener
muy presente su posible criptoanaacutelisis ya que en caso contrario
podriacuteamos llevarnos desagradables sorpresas
224 Algoritmo criptograacutefico
Es un meacutetodo matemaacutetico que se emplea para cifrar y descifrar un
mensaje Generalmente funciona empleando una o maacutes claves (nuacutemeros
o cadenas de caracteres) como paraacutemetros del algoritmo de modo que
sean necesarias para recuperar el mensaje a partir de la versioacuten cifrada
El mensaje antes de cifrar se denomina texto en claro y una vez cifrado
se denomina texto cifrado
Clasificacioacuten de algoritmos criptograacuteficos
Seguacuten (Claude Elwood Shannon) los algoritmos criptograacuteficos pueden ser
claacutesicos o modernos La criptografiacutea claacutesica incluye la construccioacuten de
maacutequinas que mediante mecanismos comuacutenmente engranes o rotores
transformaban un mensaje en claro a un mensaje cifrado como la
maacutequina Enigma usada en la Segunda Guerra Mundial
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 35
Ilustracioacuten 3 - Clasificacioacuten de algoritmos criptograacuteficos
Fuente Seguacuten (Claude Elwood Shannon)
Los algoritmos criptograacuteficos modernos se clasifican en Simeacutetricos y
Asimeacutetricos
La criptografiacutea simeacutetrica tambieacuten llamada criptografiacutea de clave secreta
o criptografiacutea de una clave es un meacutetodo criptograacutefico en el cual se usa
una misma clave para cifrar y descifrar mensajes Las dos partes que se
comunican han de ponerse de acuerdo de antemano sobre la clave a usar
Una vez que ambas partes tienen acceso a esta clave el remitente cifra
un mensaje usando la clave lo enviacutea al destinatario y eacuteste lo descifra con
la misma clave
La criptografiacutea asimeacutetrica tambieacuten llamada criptografiacutea de clave puacuteblica
o criptografiacutea de dos claves es el meacutetodo criptograacutefico que usa un par de
claves para el enviacuteo de mensajes Las dos claves pertenecen a la misma
persona que ha enviado el mensaje Una clave es puacuteblica y se puede
entregar a cualquier persona la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella Ademaacutes los meacutetodos
criptograacuteficos garantizan que esa pareja de claves soacutelo se puede generar
una vez de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 36
Si el remitente usa la clave puacuteblica del destinatario para cifrar el mensaje
una vez cifrado soacutelo la clave privada del destinatario podraacute descifrar este
mensaje ya que es el uacutenico que la conoce Por tanto se logra la
confidencialidad del enviacuteo del mensaje nadie salvo el destinatario puede
descifrarlo
2241 Algoritmos criptograacuteficos simeacutetricos
Data Encryption Standard (DES)
Es un algoritmo de cifrado escogido como un estaacutendar FIPS en los
Estados Unidos en 1976 y cuyo uso se ha propagado ampliamente por
todo el mundo El algoritmo fue controvertido al principio con algunos
elementos de disentildeo clasificados una longitud de clave relativamente
corta y las continuas sospechas sobre la existencia de alguna puerta
trasera para la National Security Agency (NSA) Posteriormente DES fue
sometido a un intenso anaacutelisis acadeacutemico y motivoacute el concepto moderno
del cifrado por bloques y su criptoanaacutelisis
Hoy en diacutea DES se considera inseguro para muchas aplicaciones Esto
se debe principalmente a que el tamantildeo de clave de 56 bits es corto las
claves de DES se han roto en menos de 24 horas Existen tambieacuten
resultados analiacuteticos que demuestran debilidades teoacutericas en su cifrado
aunque son inviables en la praacutectica Se cree que el algoritmo es seguro
en la praacutectica en su variante de Triple DES aunque existan ataques
teoacutericos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 37
Funcionamiento del algoritmo
La estructura baacutesica del algoritmo aparece representada en la figura 4
hay 16 fases ideacutenticas de proceso denominadas rondas Tambieacuten hay
una permutacioacuten inicial y final denominada PI y PF que son funciones
inversas entre siacute (PI deshace la accioacuten de PF y viceversa) PI y PF no
son criptograacuteficamente significativas pero se incluyeron presuntamente
para facilitar la carga y descarga de bloques sobre el hardware de
mediados de los 70 Antes de las rondas el bloque es dividido en dos
mitades de 32 bits y procesadas alternativamente Este entrecruzamiento
se conoce como esquema Feistel
La estructura de Feistel asegura que el cifrado y el descifrado sean
procesos muy similares mdash la uacutenica diferencia es que las subclaves se
aplican en orden inverso cuando desciframos El resto del algoritmo es
ideacutentico Esto simplifica enormemente la implementacioacuten en especial
sobre hardware al no haber necesidad de algoritmos distintos para el
cifrado y el descifrado
El siacutembolo rojo oplus representa la operacioacuten OR exclusivo (XOR) La
funcioacuten-F mezcla la mitad del bloque con parte de la clave La salida de la
funcioacuten-F se combina entonces con la otra mitad del bloque y los bloques
son intercambiados antes de la siguiente ronda Tras la uacuteltima ronda las
mitades no se intercambian eacutesta es una caracteriacutestica de la estructura de
Feistel que hace que el cifrado y el descifrado sean procesos parecidos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 38
Ilustracioacuten 4 - Estructura general de Feistel en DES
Fuente Seguacuten ( (Wikipedia 2014)
Cuatro pasos de la funcioacuten de Feistel
Expansioacuten mdash la mitad del bloque de 32 bits se expande a 48 bits mediante
la permutacioacuten de expansioacuten denominada E en el diagrama duplicando
algunos de los bits
Mezcla mdash el resultado se combina con una subclave utilizando una
operacioacuten XOR Dieciseacuteis subclaves mdash una para cada ronda mdash se derivan
de la clave inicial mediante la generacioacuten de subclaves descrita maacutes
abajo
Sustitucioacuten mdash tras mezclarlo con la subclave el bloque es dividido en ocho
trozos de 6 bits antes de ser procesados por las S-cajas o cajas de
sustitucioacuten Cada una de las ocho S-cajas reemplaza sus seis bits de
entrada con cuatro bits de salida de acuerdo con una trasformacioacuten no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 39
lineal especificada por una tabla de buacutesqueda Las S-cajas constituyen el
nuacutecleo de la seguridad de DES mdash sin ellas el cifrado seriacutea lineal y faacutecil
de romper
Permutacioacuten mdash finalmente las 32 salidas de las S-cajas se reordenan de
acuerdo a una permutacioacuten fija la P-caja
Alternando la sustitucioacuten de las S-cajas y la permutacioacuten de bits de la P-
caja y la expansioacuten-E proporcionan las llamadas confusioacuten y difusioacuten
respectivamente un concepto identificado por Claude Shannon en los 40
como una condicioacuten necesaria para un cifrado seguro y praacutectico
Estaacutendar avanzado de Cifrado (AES)
En octubre de 2000 el NIST (National Institute for Standards and
Technology) anunciaba oficialmente la adopcioacuten del algoritmo Rijndael
como nuevo Estaacutendar Avanzado de Cifrado (AES) para su empleo en
aplicaciones criptograacuteficas no militares culminando asiacute un proceso de
maacutes de tres antildeos encaminado a proporcionar a la comunidad
internacional un nuevo algoritmo de cifrado potente eficiente y faacutecil de
implementar
AES es un sistema de cifrado por bloques disentildeado para manejar
longitudes de clave y de bloque variables ambas comprendidas entre los
128 y los 256 bits Realiza varias de sus operaciones internas a nivel de
byte interpretando eacutestos como elementos de un cuerpo de Galois GF (28)
El resto de operaciones se efectuacutean en teacuterminos de registros de 32 bits
Sin embargo en algunos casos una secuencia de 32 bits se toma como
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 40
un polinomio de grado inferior a 4 cuyos coeficientes son a su vez
polinomios en GF(28)
AES a diferencia de algoritmos como DES no posee estructura de red de
Feistel En su lugar se ha definido cada ronda como una composicioacuten de
cuatro funciones invertibles diferentes formando tres capas disentildeadas
para proporcionar resistencia frente a criptoanaacutelisis lineal y diferencial
Cada una de las funciones tiene un propoacutesito preciso
La capa de mezcla lineal Funciones desplazar fila y mezclar
columnas permite obtener un alto nivel de difusioacuten a lo largo de
varias rondas
La capa no lineal Funcioacuten ByteSub consiste en la aplicacioacuten
paralela de s-cajas con propiedades oacuteptimas de no linealidad
La capa de adicioacuten de clave Es un simple or-exclusivo entre el
estado intermedio y la sub clave correspondiente a cada ronda
Ilustracioacuten 5 Ejemplo de matriz de estado con Nb=5 (160 bits) Fuente Seguacuten ( (Wikipedia 2014)
Ilustracioacuten 6 Ejemplo de clave con Nk=4 (128 bits)
Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 41
AES utiliza claves de 128 192 o 256 bits de longitud sobre bloques fijos
de 16 bytes lo que da como resultado bloques cifrados en la salida del
mismo tamantildeo que en la entrada 16 bytes
Uno de los puntos destacados del AES es la manera en la que se aplica
su clave K En primer lugar eacutesta se expande en un subconjunto formado
por (k0k1k2hellip kn) a cada una de ellas se le aplica una funcioacuten
round r(kn ) que realiza una operacioacuten binaria XOR con el mensaje es
decir el bloque de entrada es cifrado por cada una de las subclaves r( kn
)hasta llegar al final
En cada round se llevan a cabo diferentes funciones de sustitucioacuten y
permutacioacuten por lo tanto se cambia el orden y estado inicial de los datos
incluidos en el mensaje inicial Este proceso debe ser reversible para que
el sistema sea capaz de desencriptar el mensaje
Funcionamiento teacutecnico del algoritmo
Expansioacuten de la clave usando el esquema de claves de Rijndael
Etapa inicial
AddRoundKey
Rondas
SubBytes mdash en este paso se realiza una sustitucioacuten no lineal donde
cada byte es reemplazado con otro de acuerdo a una tabla de
buacutesqueda
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 42
Ilustracioacuten 7 - AES SubBytes Fuente Seguacuten ( (Wikipedia 2014)
ShiftRows mdash en este paso se realiza una transposicioacuten donde cada
fila del laquostateraquo es rotada de manera ciacuteclica un nuacutemero determinado
de veces
Ilustracioacuten 8 - AES ShiftRows Fuente Seguacuten ( (Wikipedia 2014)
MixColumns mdash operacioacuten de mezclado que opera en las columnas
del laquostateraquo combinando los cuatro bytes en cada columna usando
una transformacioacuten lineal
Ilustracioacuten 9 - AES Mixcolumns Fuente Seguacuten ( (Wikipedia 2014)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 43
AddRoundKey mdash cada byte del laquostateraquo es combinado con la clave
laquoroundraquo cada clave laquoroundraquo se deriva de la clave de cifrado
usando una iteracioacuten de la clave
Ilustracioacuten 10 - AES AddRoundKey Fuente Seguacuten ( (Wikipedia 2014)
Etapa final
SubBytes
ShiftRows
AddRoundKey
2242 Algoritmos criptograacuteficos asimeacutetricos
RSA
Desarrollado en 1977 es el primer y maacutes utilizado algoritmo de llave
puacuteblica y es vaacutelido tanto para cifrar como para firmar digitalmente
La seguridad de este algoritmo radica en el problema de la factorizacioacuten
de nuacutemeros enteros Los mensajes enviados se representan mediante
nuacutemeros y el funcionamiento se basa en el producto conocido de dos
nuacutemeros primos grandes elegidos al azar y mantenidos en secreto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 44
Actualmente estos primos son del orden de 10200 y se preveacute que su
tamantildeo crezca con el aumento de la capacidad de caacutelculo de los
ordenadores
Como en todo sistema de clave puacuteblica cada usuario posee dos claves
de cifrado una puacuteblica y otra privada Cuando se quiere enviar un
mensaje el emisor busca la clave puacuteblica del receptor cifra su mensaje
con esa clave y una vez que el mensaje cifrado llega al receptor este se
ocupa de descifrarlo usando su clave privada
Se cree que RSA seraacute seguro mientras no se conozcan formas raacutepidas de
descomponer un nuacutemero grande en producto de primos La computacioacuten
cuaacutentica podriacutea proveer de una solucioacuten a este problema de factorizacioacuten
Funcionamiento teacutecnico del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo
ella pueda leer Alicia enviacutea a Bob una caja con una cerradura abierta de
la que solo Alicia tiene la llave Bob recibe la caja escribe el mensaje lo
pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el
mensaje) Bob enviacutea la caja a Alicia y ella la abre con su llave En este
ejemplo la caja con la cerradura es la laquoclave puacuteblicaraquo de Alicia y la llave
de la cerradura es su laquoclave privadaraquo
Teacutecnicamente Bob enviacutea a Alicia un laquomensaje llanoraquo en forma de un
nuacutemero menor que otro nuacutemero mediante un protocolo reversible
conocido como padding scheme (laquopatroacuten de rellenoraquo) A continuacioacuten
genera el laquomensaje cifradoraquo mediante la siguiente operacioacuten
Donde es la clave puacuteblica de Alicia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 45
Ahora Alicia descifra el mensaje en clave mediante la operacioacuten inversa
dada por
Donde es la clave privada que solo Alicia conoce
2243 Algoritmos criptograacuteficos Hash
MD5
Message-Digest Algorithm 5 Algoritmo de Resumen del Mensaje 5 es un
algoritmo de reduccioacuten criptograacutefico de 128 bits ampliamente usado
La codificacioacuten del MD5 de 128 bits es representada tiacutepicamente como un
nuacutemero de 32 diacutegitos hexadecimal El siguiente coacutedigo de 28 bytes ASCII
seraacute tratado con MD5 y veremos su correspondiente hash de salida
MD5 (Generando un MD5 de un texto) = 5df9f63916ebf8528697b629022993e8
Un pequentildeo cambio en el texto (cambiar 5 por S) produce una salida
completamente diferente
MD5 (Generando un MDS de un texto) = e14a3ff5b5e67ede599cac94358e1028
Funcionamiento teacutecnico del algoritmo
En este documento palabra es una entidad de 4 bytes y un byte es una
entidad de 8 bits Una secuencia de bytes puede ser interpretada de
manera natural como una secuencia de bits donde cada grupo
consecutivo de ocho bits se interpreta como un byte con el bit maacutes
significativo al principio Similarmente una secuencia de bytes puede ser
interpretada como una secuencia de 32 bits (palabra) donde cada grupo
consecutivo de cuatro bytes se interpreta como una palabra en la que el
byte menos significativo estaacute al principio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 46
El siacutembolo + significa suma de palabras X ltltlt s se interpreta por una rotacioacuten de bits a la izquierda sobre X s posiciones not(x) se entiende como el complemento de x
El algoritmo md5 empieza suponiendo que tenemos un mensaje de b bits
de entrada y que nos gustariacutea encontrar su resumen Aquiacute b es un valor
arbitrario entero no negativo pero puede ser cero no tiene por queacute ser
muacuteltiplo de ocho y puede ser muy largo Imaginemos los bits del mensaje
escritos asiacute
m0 m1 mb-1
Los siguientes cinco pasos son efectuados para calcular el resumen del
mensaje
Paso 1 Adicioacuten de bits
El mensaje seraacute extendido hasta que su longitud en bits sea congruente
con 448 moacutedulo 512 Esto es si se le resta 448 a la longitud del mensaje
tras este paso se obtiene un muacuteltiplo de 512 Esta extensioacuten se realiza
siempre incluso si la longitud del mensaje es ya congruente con 448
moacutedulo 512
La extensioacuten se realiza como sigue un solo bit 1 se antildeade al mensaje
y despueacutes se antildeaden bits 0 hasta que la longitud en bits del mensaje
extendido se haga congruente con 448 moacutedulo 512 En todos los
mensajes se antildeade al menos un bit y como maacuteximo 512
Paso 2 Longitud del mensaje
Un entero de 64 bits que represente la longitud b del mensaje (longitud
antes de antildeadir los bits) se concatena al resultado del paso anterior En el
supuesto no deseado de que b sea mayor que 2^64 entonces soacutelo los
64 bits de menor peso de b se usaraacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 47
En este punto el mensaje resultante (despueacutes de rellenar con los bits y
con b) se tiene una longitud que es un muacuteltiplo exacto de 512 bits A su
vez la longitud del mensaje es muacuteltiplo de 16 palabras (32 bits por
palabra) Con M[0 N-1] denotaremos las palabras del mensaje
resultante donde N es muacuteltiplo de 16
Paso 3 Inicializar el buacutefer MD
Un buacutefer de cuatro palabras (A B C D) se usa para calcular el resumen
del mensaje Aquiacute cada una de las letras A B C D representa un registro
de 32 bits Estos registros se inicializan con los siguientes valores
hexadecimales los bytes de menor peso primero
palabra A 01 23 45 67 palabra B 89 ab cd ef palabra C fe dc ba 98 palabra D 76 54 32 10
Paso 4 Procesado del mensaje en bloques de 16 palabras
Primero definimos cuatro funciones auxiliares que toman como entrada
tres palabras de 32 bits y su salida es una palabra de 32 bits
Los operadores son las funciones XOR AND OR y NOT
respectivamente
En cada posicioacuten de cada bit X actuacutea como un condicional si X entonces
Z sino Y La funcioacuten Z podriacutea haber sido definida usando + en lugar de v
ya que XY y not(x) Z nunca tendraacuten unos (1) en la misma posicioacuten de bit
Es interesante resaltar que si los bits de X Y y Z son independientes y no
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 48
sesgados cada uno de los bits de F(XYZ) seraacute independiente y no
sesgado
Las funciones G H e I son similares a la funcioacuten F ya que actuacutean bit a
bit en paralelo para producir sus salidas de los bits de X Y y Z en la
medida que si cada bit correspondiente de X Y y Z son independientes y
no sesgados entonces cada bit de G(XYZ) H(XYZ) e I(XYZ) seraacuten
independientes y no sesgados Noacutetese que la funcioacuten H es la comparacioacuten
bit a bit xor o funcioacuten paridad de sus entradas
Este paso usa una tabla de 64 elementos T[1 64] construida con la
funcioacuten Seno Denotaremos por T[i] el elemento i-eacutesimo de esta tabla que
seraacute igual a la parte entera del valor absoluto del seno de i 4294967296
veces donde
Coacutedigo del MD5
Procesar cada bloque de 16 palabras para i = 0 hasta N16-1 hacer Copiar el bloque i en X para j = 0 hasta 15 hacer hacer X[j] de M[i16+j] fin para del bucle j Guardar A como AA B como BB C como CC y D como DD Ronda 1 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + F(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] Ronda 2 [abcd k s i] denotaraacuten la operacioacuten a = b + ((a + G(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] Ronda 3
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 49
[abcd k s t] denotaraacuten la operacioacuten a = b + ((a + H(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] Ronda 4 [abcd k s t] denotaraacuten la operacioacuten a = b + ((a + I(b c d) + X[k] + T[i]) ltltlt s) Hacer las siguientes 16 operaciones [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] Ahora realizar las siguientes sumas (Este es el incremento de cada uno de los cuatro registros por el valor que teniacutean antes de que este bloque fuera inicializado) A = A + AA B = B + BB C = C + CC D = D + DD fin para del bucle en i
Paso 5 Salida
El resumen del mensaje es la salida producida por A B C y D Esto es
se comienza el byte de menor peso de A y se acaba con el byte de mayor
peso de D
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 50
225 Protocolo L2TP
El protocolo de Reenviacuteo de Capa Dos tiene como objetivo proporcionar
un mecanismo de tunneling para el transporte de tramas a nivel de enlace
de datos del modelo (OSI) es un protocolo de encapsulamiento
El L2TP es un protocolo estaacutendar disentildeado para transmitir datos y
conectar de forma segura redes a traveacutes de internet
L2TP se disentildeoacute especiacuteficamente para conexiones de acceso remoto asiacute
como para conexiones sitio a sitio Mediante la utilizacioacuten del protocolo
PPP L2TP
Estructura de L2TP
Concentrador de Acceso L2TP
Servidor de Red L2TP
Topologiacutea L2TP
Funcionamiento de L2TP
El tuacutenel y su correspondiente conexioacuten de control deben ser establecidas
antes de que se inicien las llamadas entrantes o salientes Una sesioacuten
L2TP debe ser establecida antes de que L2TP comience a entunelar
tramas PPP
La operacioacuten del protocolo L2TP se lleva a cabo de la siguiente manera
1 Se establece la conexioacuten control inicial entre el LAC y el LNS
intercambiando los mensajes SCCRQ SCCRP y SCCCN
2 Se lleva a cabo la autenticacioacuten del tuacutenel utilizando CHAP para ello
3 Despueacutes de que se establece la conexioacuten de control se crean
sesiones individuales cada sesioacuten corresponde a un uacutenico flujo de
tramas PPP entre el LAC y el LNS Se intercambian los mensajes
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 51
ICRQ ICRP ICCN para llamadas entrantes y OCRQ ICRP y OCCN
para llamadas salientes
4 Una vez que se establece el tuacutenel las tramas PPP del sistema remoto
son recibidas por el LAC encapsuladas en L2TP y enviadas por el
tuacutenel apropiado El LNS recibe el paquete y desencapsula la trama
PPP
5 Se utilizan nuacutemeros de secuencia con el fin de identificar los mensajes
para mantener un transporte confiable de eacutestos
6 Se emplea el mensaje Hello para mantener activa la conexioacuten
7 Para finalizar la sesioacuten o el LAC o el LNS enviacutean un mensaje CDN
8 Para finalizar la conexioacuten de control o el LAC o el LNS enviacutean un
mensaje Stop CCN
Ilustracioacuten 11- Funcionamiento del L2TP
Fuente Seguacuten (Gonzales Morales 2008)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 52
226 Libreriacuteas para algoritmos de encriptacioacuten
Seguacuten (Maiorano 2010) los diferentes entornos de desarrollo poseen una
buena variedad de funcionalidades criptograacuteficas incorporadas
El Java Cryptography Architecture (JCA) es un framework para trabajar
con criptografiacutea usando el lenguaje de programacioacuten Java Esto forma
parte de la API de seguridad Java y fue introducido por primera vez en
JDK 11 en el paquete javasecurity
Esta JCE (Java Cryptography Extension) se consideroacute como la
implementacioacuten concreta de algoritmos criptograacuteficos de acuerdo a los
lineamientos definidos por la JCA (incorporada a partir de la JDK 14)
aunque actualmente las siglas JCA y JCE tambieacuten se usan de manera
general para referir a la arquitectura del framework
Desde la JDK 14 -o J2SE 142- encontraremos los algoritmos de hashing
MD2 MD5 SHA-1 SHA-256 SHA-384 y SHA-512 Se podraacute firmar
digitalmente mediante el algoritmo DSA cifrar simeacutetricamente mediante
AES Blowfish DES DESede -o TripleDES o 3DES- y RC2
asimeacutetricamente a partir de 15 -o J2SE 50- con RSA
Considerando el entorno de desarrollo NET el soporte de criptografiacutea lo
encontramos en las funcionalidades provistas por el namespace
SystemSecurityCryptography A partir de esta raiacutez comuacuten encontramos
clases que proveen implementaciones de varios algoritmos criptograacuteficos
El modelo criptograacutefico del framework NET implementa un patroacuten
extensible de herencia de clases derivadas existen clases de tipo de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 53
algoritmo a nivel abstracto luego clases de algoritmos que heredan de
una clase de tipo de algoritmo (abstractas tambieacuten) y bajo estas uacuteltimas
las implementaciones concretas de las clases de algoritmos
Se dispone de MD5 y SHA1 en todas las versiones del framework NET
La familia SHA-2 (SHA-256 SHA-385 SHA-512) soacutelo estaacute disponible a
partir de la versioacuten 35 igual que el algoritmo de cifrado simeacutetrico AES En
todas las versiones en cambio dispondremos de DES TripleDES y RC2
Tambieacuten se dispone aquiacute de los algoritmos asimeacutetricos DSA y RSA
La funcioacuten de hashing md5() en PHP quizaacutes sea la funcioacuten criptograacutefica
de un entorno de desarrollo maacutes popularmente utilizada Estuvo
disponible desde la versioacuten 40 del lenguaje y a partir de la versioacuten 43
se contaba ya con sha1() Lamentablemente no hay mucho maacutes Para
cifrar firmar autenticar etc en este entorno seraacuten necesarias libreriacuteas
o frameworks adicionales
Aquiacute encontraremos menos opciones estas son los algoritmos de
hashing MD5 y SHA-1 uacutenicamente
227 Autenticacioacuten
Como ya se ha dicho el concepto de autentificacioacuten viene asociado a la
comprobacioacuten del origen e integridad de la informacioacuten En general y
debido a los diferentes tipos de situaciones que podemos encontrar en un
sistema informaacutetico distinguiremos tres tipos de autentificacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 54
Autentificacioacuten de mensaje Queremos garantizar la procedencia de
un mensaje conocido de forma que podamos asegurarnos de que no
es una falsificacioacuten
Este mecanismo se conoce habitualmente como firma digital
Autentificacioacuten de usuario mediante contrasentildea En este caso se trata
de garantizar la presencia de un usuario legal en el sistema El usuario
deberaacute poseer una contrasentildea secreta que le permita identificarse
Autentificacioacuten de dispositivo Se trata de garantizar la presencia
frente al sistema de un dispositivo concreto Este dispositivo puede
estar solo o tratarse de una llave electroacutenica que sustituye a la
contrasentildea para identificar a un usuario
Noacutetese que la autentificacioacuten de usuario por medio de alguna
caracteriacutestica biomeacutetrica como pueden ser las huellas digitales la retina
el iris la voz etc Puede reducirse a un problema de autentificacioacuten de
dispositivo solo que el dispositivo en este caso es el propio usuario
23 Definicioacuten de teacuterminos baacutesicos
231 Algoritmo
Conjunto finito de instrucciones para llevar a cabo una tarea Constan de
pasos finitos no ambiguos y de ser posible eficientes (Alonso 2009)
232 Ataque informaacutetico
Un ataque informaacutetico es un meacutetodo por el cual un individuo mediante un
sistema informaacutetico intenta tomar el control desestabilizar o dantildear otro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 55
sistema informaacutetico (ordenador red privada etceacutetera) (Cisco Informe
Anual de Seguridad 2014)
233 Criptografiacutea
Tradicionalmente se ha definido como el aacutembito de la criptologiacutea que se
ocupa de las teacutecnicas de cifrado o codificado destinadas a alterar las
representaciones linguumliacutesticas de ciertos mensajes con el fin de hacerlos
ininteligibles a receptores no autorizados Por tanto el uacutenico objetivo de
la criptografiacutea era conseguir la confidencialidad de los mensajes
234 Delito informaacutetico
Un delito informaacutetico es toda aquella accioacuten tiacutepica antijuriacutedica y culpable
que se da por viacuteas informaacuteticas o que tiene como objetivo destruir y dantildear
ordenadores medios electroacutenicos y redes de Internet
235 Encriptacioacuten
La encriptacioacuten es el proceso para volver ilegible informacioacuten considera
importante La informacioacuten una vez encriptada soacutelo puede leerse
aplicaacutendole una clave Se trata de una medida de seguridad que es usada
para almacenar o transferir informacioacuten delicada que no deberiacutea ser
accesible a terceros pueden ser contrasentildeas nuacutemero de tarjetas de
creacutedito conversaciones privadas entre otros (Latinoameacuterica 2013)
236 Esteganografiacutea
Estaacute enmarcada en el aacuterea de seguridad informaacutetica trata el estudio y
aplicacioacuten de teacutecnicas que permiten ocultar mensajes u objetos dentro de
otros llamados portadores de modo que no se perciba su existencia Es
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 56
decir se trata de ocultar mensajes dentro de otros objetos y de esta forma
establecer un canal encubierto de comunicacioacuten de modo que el propio
acto de la comunicacioacuten pase inadvertido para observadores que tienen
acceso a ese canal (Eset 2013)
237 Red privada virtual
Una red privada virtual RPV o VPN de las siglas en ingleacutes de Virtual
Private Network es una tecnologiacutea de red que permite una extensioacuten
segura de la red local (LAN) sobre una red puacuteblica o no controlada como
Internet Permite que la computadora en la red enviacutee y reciba datos sobre
redes compartidas o puacuteblicas como si fuera una red privada con toda la
funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada Esto se
realiza estableciendo una conexioacuten virtual punto a punto mediante el uso
de conexiones dedicadas cifrado o la combinacioacuten de ambos meacutetodos
(Alonso 2009)
238 Seguridad
La seguridad de la informacioacuten es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnoloacutegicos que
permiten resguardar y proteger la informacioacuten buscando mantener la
confidencialidad la disponibilidad e integridad de la misma (Cisco
Informe Anual de Seguridad 2014)
239 Teacutecnicas de encriptacioacuten
Tecnologiacutea que permite la transmisioacuten segura de informacioacuten al codificar
los datos transmitidos usando una foacutermula matemaacutetica que desmenuza
los datos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 57
24 CARACTERIacuteSTICAS DE FUNCIONAMIENTO Y APLICACIONES DE
LAS REDES PRIVADAS VIRTUALES
241 INTRODUCCIOacuteN
Los sistemas de red son desde hace alguacuten tiempo parte de los
procesos de muchas empresas no solo porque estas han comenzado a
ofrecer sus servicios a traveacutes de Internet sino porque al expandirse
fiacutesicamente requiere mantener una conectividad permanente con sus
sucursales socios e incluso sus empleados que al no estar fiacutesicamente
en la organizacioacuten requieren continuar con los trabajos asignados
Sin embargo en una gran cantidad de paiacuteses el acceso a esta
conectividad suele implicar grandes inversiones en mucho de los casos
marcados por la situacioacuten geograacutefica de los extremos que producen la
comunicacioacuten Mantener canales exclusivamente dedicados para realizar
intercambio de informacioacuten puede volverse una tarea difiacutecil al momento
de garantizar anchos de banda y bajos costos
En un principio el medio fiacutesico o el canal dedicado mas utilizado
para la comunicacioacuten de las diferentes redes locales eran las liacuteneas
telefoacutenicas con la ventaja de que la disponibilidad es muy alta y que se
garantiza la privacidad El gran inconveniente del uso de las liacuteneas
telefoacutenicas es su alto costo ya que se suele cobrar un pago mensual maacutes
una tarifa por el uso en el que se tienen en cuenta la duracioacuten de las
llamadas y la distancia hacia donde se hace
Ilustracioacuten 12 Disentildeo de VPN de dos redes privadas a traveacutes del Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 58
Una VPN-Virtual Private Network- (Red Privada Virtual) consiste en
utilizar un canal de comunicaciones puacuteblico como es Internet para
comunicaciones privadas de tal forma que no se necesita tener un canal
dedicado para la comunicacioacuten es decir una VPN es aquella red privada
construida sobre una red puacuteblica
Se le llama virtual porque esta depende del uso de una conexioacuten
virtual que es una conexioacuten temporal que no tiene una presencia fiacutesica
real Esta conexioacuten virtual puede hacerse entre dos maacutequinas entre una
maacutequina y una red y entre dos redes
Una de las principales razones que ha direccionado el mercado en
este sentido son los costos puesto que resulta mucho maacutes barato
interconectar sucursales utilizando una infraestructura puacuteblica que
desplegar una red fiacutesicamente privada
Hoy en diacutea existen varias formas de garantizar la seguridad de un
canal entre dos puntos como un emisor y un receptor estas pueden ser
el uso de Extranets o protegiendo los servidores propios mediante
passwords o incluso utilizar canales dedicados para todas las
comunicaciones que requieran un canal seguro Pero utilizar tecnologiacutea
VPN tiene muchas ventajas con respecto a las otras soluciones entre las
principales tenemos
Ahorro en costos de comunicaciones En el caso de usuarios
remotos cuando quieren utilizar los servicios de la compantildeiacutea no
necesitan conectarse directamente a los servidores de la
compantildeiacutea sino que se conectan directamente por su conexioacuten a
Internet Por otro lado la compantildeiacutea puede utilizar sus liacuteneas de
conexioacuten a Internet para realizar transmisiones de datos sin
necesidad de contratar liacuteneas privadas adicionales
Ahorro en costos operacionales Usando VPN para dar acceso
a los usuarios la compantildeiacutea puede deshacerse de los bancos de
moacutedems y de los servidores para acceso remoto de manera que
ya no habraacute que administrar esos dispositivos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 59
Entorno de trabajo independiente de tiempo y lugar a un costo
reducido Mediante el uso de una VPN los trabajadores remotos
pueden acceder a los servicios de la compantildeiacutea desde cualquier
lugar y a cualquier hora sin necesidad de realizar llamadas a larga
distancia ni utilizando liacuteneas privadas
Una compantildeiacutea puede ofrecer servicios a sus socios mediante
una VPN Ya que la tecnologiacutea VPN permite accesos controlados
y proporciona un canal seguro para compartir informacioacuten de
negocios
25 FUNCIONAMIENTO Y CARACTERISTICAS
Una VPN es un sistema para simular una red privada sobre una red
puacuteblica en la mayoriacutea de los casos la red puacuteblica es el Internet pero
tambieacuten puede ser una red ATM-Asynchronous Transfer Mode- (Modo de
Transferencia Asiacutencrona) o Frame Relay La idea es que la red puacuteblica
sea vista desde dentro de la red privada como un cable loacutegico que une las
dos o maacutes redes que pertenecen a la red privada
Ilustracioacuten 13 Equivalente loacutegico de una conexioacuten VPN
Fuentehttpromancedeunanota-sershblogspotpe201004
Las redes privadas virtuales permiten que la comunicacioacuten se
realice por un canal seguro Por canal seguro se entiende que la
comunicacioacuten cumpla con los siguientes requisitos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 60
1 Autentificacioacuten
Las teacutecnicas de autenticacioacuten son esenciales en las VPNs ya que
aseguran a los participantes de la misma que estaacuten intercambiando
informacioacuten con el usuario o dispositivo correcto La autenticacioacuten en
VPNs es conceptualmente parecido al logeo en un sistema como nombre
de usuario y contrasentildea pero con necesidades mayores de
aseguramiento de validacioacuten de identidades La mayoriacutea de los sistemas
de autenticacioacuten usados en VPN estaacuten basados en un sistema de claves
compartidas
La autenticacioacuten es llevada a cabo generalmente al inicio de una
sesioacuten y luego aleatoriamente durante el curso de la misma para
asegurar que no haya alguacuten tercer participante que se haya entrometido
en la conversacioacuten La autenticacioacuten tambieacuten puede ser usada para
asegurar la integridad de los datos Los datos son procesados con un
algoritmo de hashing para derivar un valor incluido en el mensaje como
checksum
Cualquier desviacioacuten en el checksum indica que los datos fueron
corruptos en la transmisioacuten o interceptados y modificados en el camino
2 Encriptacioacuten
Todas las VPNs tienen alguacuten tipo de tecnologiacutea de encriptacioacuten que
esencialmente empaqueta los datos en un paquete seguro La
encriptacioacuten es considerada tan esencial como la autenticacioacuten ya que
protege los datos transportados para que no puedan ser vistos y
entendidos en el viaje de un extremo a otro de la conexioacuten Existen dos
tipos de teacutecnicas de encriptacioacuten que se usan en las VPN encriptacioacuten de
clave secreta o privada y encriptacioacuten de clave puacuteblica
En la encriptacioacuten de clave secreta se utiliza una contrasentildea
secreta conocida por todos los participantes que necesitan acceso a la
informacioacuten encriptada Dicha contrasentildea se utiliza tanto para encriptar
como para desencriptar la informacioacuten Este tipo de encriptacioacuten posee el
problema que como la contrasentildea es compartida por todos los
participantes y debe mantenerse secreta al ser revelada debe ser
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 61
cambiada y distribuida a los participantes con lo cual se puede crear de
esta manera alguacuten problema de seguridad
La encriptacioacuten de clave puacuteblica implica la uacutetilizacioacuten de dos
claves una puacuteblica y una secreta La primera es enviada a los demaacutes
participantes Al encriptar se usa la clave privada propia y la clave puacuteblica
del otro participante de la conversacioacuten Al recibir la informacioacuten eacutesta es
desencriptada usando su propia clave privada y la puacuteblica del generador
de la informacioacuten La gran desventaja de este tipo de encriptacioacuten es que
resulta ser maacutes lenta que la de clave secreta
En las VPNs la encriptacioacuten debe ser realizada en tiempo real Por
eso los flujos encriptados a traveacutes de una red son encriptados utilizando
encriptacioacuten de clave secreta con claves que son solamente buenas para
sesiones de flujo
El protocolo maacutes usado para la encriptacioacuten dentro de las VPNs es
IPSec- Internet Protocol Security- (Seguridad del Protocolo Internet) que
consiste en un conjunto de propuestas del IETF- Internet Engineering
Task Force-(Fuerza de Tarea de Ingenieros en Internet) que delinean un
protocolo IP seguro para IPv4-Protocolo Internet versioacuten 4- y IPv6-
Protocolo Internet versioacuten 6- IPSec provee encriptacioacuten a nivel de IP
3 Integridad
Debe garantizarse la integridad de los datos esto es que los datos
que le llegan al receptor sean exactamente los que el emisor transmitioacute
por el canal Para esto se pueden utilizar firmas digitales
4 Tunneling
La forma de comunicacioacuten entre las partes de la red privada a
traveacutes de la red puacuteblica se hace estableciendo tuacuteneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacioacuten y
autentificacioacuten que aseguran la confidencialidad e integridad de los datos
transmitidos utilizando la red puacuteblica Como se usan redes puacuteblicas
usualmente Internet es necesario prestar debida atencioacuten a las
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 62
cuestiones de seguridad que se aborda a traveacutes de estos esquemas de
encriptacioacuten y autentificacioacuten y que se describieron anteriormente
Para crear el tuacutenel es preciso que un protocolo especial encapsule
cada paquete origen en uno nuevo que incluya los campos de control
necesarios para crear gestionar y deshacer el tuacutenel tal como se muestra
en la Ilustracioacuten 14
Al llegar al destino el paquete original es desempaquetado
volviendo asiacute a su estado original En el traslado a traveacutes de Internet los
paquetes viajan encriptados
Ilustracioacuten 14 Tuacutenel en una VPN
Fuente eltomasonblogspotpe
26 TIPOS DE VPNrsquos Y SUS APLICACIONES
261 ARQUITECTURAS DE CONEXIOacuteN VPN
Baacutesicamente existen tres arquitecturas de conexioacuten VPN
2611 VPN de acceso remoto
Esta es la arquitectura de conexioacuten maacutes utilizada actualmente y
consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales domicilios hotel aviones
etceacutetera) utilizando Internet como viacutenculo de acceso (Ilustracioacuten 15) El
cliente de acceso remoto (cliente VPN) se autentifica al servidor de
acceso remoto (el servidor VPN) y para una mutua autentificacioacuten el
servidor se autentifica ante el cliente Una vez autenticados tienen un nivel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 63
de acceso muy similar al que tienen en la red local de la empresa Muchas
empresas han reemplazado con esta tecnologiacutea su infraestructura dial-
up (moacutedems y liacuteneas telefoacutenicas) aunque por razones de contingencia
todaviacutea conservan sus viejos moacutedems
Ilustracioacuten 15 Un usuario remoto que establece un tuacutenel con la oficina principal
Fuente eltomasonblogspotpe
2612 VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacioacuten El servidor VPN que posee un viacutenculo
permanente a Internet acepta las conexiones viacutea Internet provenientes
de los sitios y establece el tuacutenel VPN (Ilustracioacuten 16) Los servidores de
las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet tiacutepicamente mediante conexiones de banda
ancha Esto permite eliminar los costosos viacutenculos punto a punto
tradicionales sobre todo en las comunicaciones internacionales
Ilustracioacuten 16 Conexioacuten punto a punto
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 64
2613 VPN interna VLAN
Esta conexioacuten es la menos difundida pero una de las maacutes
poderosas para utilizar dentro de la empresa Es una variante del tipo
acceso remoto pero en vez de utilizar Internet como medio de conexioacuten
emplea la misma LAN-Local Area Network- (Red de Area Local) de la
empresa Esta conexioacuten es muy uacutetil para aislar zonas y servicios de la
red interna Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalaacutembricas (WiFi)
262 VPN BASADAS EN INTERNET O EN INTRANET
2621 VPN basadas en Internet
Si se opta por un conexioacuten de VPN basada en Internet se tiene la
ventaja que disminuyen los costos debido a que se puede ahorran los
gastos de llamadas telefoacutenicas de larga distancia y a nuacutemeros 1800 y se
aprovecha la gran disponibilidad de Internet
26211 Acceso remoto a traveacutes de Internet
Cuando se trata de una Acceso remoto a traveacutes de Internet
los usuarios en vez de realizar una costosa llamada de larga distancia o
a un nuacutemero 1-800 para conectarse con un NAS- Network Access Service
- (Servidor de Acceso a la Red) de la compantildeiacutea o externo puede llamar a
un ISP-Proveedor de Servicio de Internet- local Aprovechando esta
conexioacuten fiacutesica con el ISP local el cliente de acceso remoto inicia una
conexioacuten VPN a traveacutes del Internet con el servidor VPN de la organizacioacuten
Una vez creada la conexioacuten VPN el cliente de acceso remoto puede tener
acceso a los recursos de la intranet privada (La Ilustracioacuten 17 muestra el
acceso remoto a traveacutes de Internet)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 65
Ilustracioacuten 17 Acceso remoto a traveacutes de Internet
Fuente eltomasonblogspotpe
26212 Conexioacuten de redes a traveacutes de Internet
Cuando se realiza una conexioacuten de redes a traveacutes de Internet un
enrutador reenviacutea paquetes a otro enrutador a traveacutes de una conexioacuten
VPN Esto se conoce como una conexioacuten VPN de enrutador a enrutador
(La Ilustracioacuten 18 muestra la conexioacuten de redes a traveacutes de Internet)
Ilustracioacuten 18 Conexioacuten de redes a traveacutes de Internet
Fuente eltomasonblogspotpe
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 66
2622 VPN basadas en Intranet
Si se opta por una conexioacuten de VPN basadas en intranet se tiene
la ventaja que se aprovecha la conectividad IP en la intranet de una
organizacioacuten
26221 Acceso remoto a traveacutes de Intranet
En las intranets de algunas organizaciones o empresas los datos
de un departamento (por ejemplo el departamento financiero o de
recursos humanos) son tan confidenciales que la red del departamento
estaacute fiacutesicamente desconectada de la intranet del resto de la organizacioacuten
Aunque asiacute se protegen los datos del departamento se crea un problema
de acceso a la informacioacuten por parte de aquellos usuarios que no estaacuten
fiacutesicamente conectados a la red independiente
Mediante una conexioacuten VPN basada en Intranet la red del
departamento estaacute fiacutesicamente conectada a la intranet de la organizacioacuten
pero se mantiene separada gracias a un servidor VPN El servidor VPN
no proporciona una conexioacuten enrutada directa entre la intranet de la
organizacioacuten y la red del departamento Los usuarios de la intranet de la
organizacioacuten que disponen de los permisos apropiados pueden establecer
una conexioacuten VPN de acceso remoto con el servidor VPN y tener acceso
a los recursos protegidos de la red confidencial del departamento
Adicionalmente para mantener la confidencialidad de los datos se cifran
todas las comunicaciones realizadas a traveacutes de la conexioacuten VPN Para
aquellos usuarios que no tienen derechos para establecer una conexioacuten
VPN la red del departamento estaacute oculta a la vista
Ilustracioacuten 19 Acceso remoto a traveacutes de Intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 67
26222 Conexioacuten de redes a traveacutes de Intranet
Se puede tambieacuten conectar dos redes a traveacutes de una intranet
mediante una conexioacuten VPN de enrutador a enrutador Este tipo de
conexioacuten es ideal para las organizaciones que poseen departamentos
en diferentes ubicaciones cuyos datos son confidenciales pueden utilizar
una conexioacuten VPN de enrutador a enrutador para comunicarse entre siacute
Ilustracioacuten 20 Conexioacuten de redes a traveacutes de una intranet
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
2623 VPNs DINAMICAS
Como ya conocemos Internet no fue disentildeada originalmente para
el aacutembito de los negocios por lo que carece de la tecnologiacutea necesaria
para la seguridad en las transacciones y comunicaciones que se producen
en los negocios por lo tanto cabe la pregunta iquestCoacutemo establecer y
mantener la confianza para los negocios en el Internet
La respuesta es que esto se puede conseguir mediante la
utilizacioacuten de VPNs Dinaacutemicas A diferencia de una VPN tradicional una
VPN Dinaacutemica proporciona ademaacutes de un alto nivel de seguridad a
ambos extremos una flexibilidad necesaria para acoplarse
dinaacutemicamente a la informacioacuten que necesitan los distintos grupos de
usuarios Las VPNs Dinaacutemicas pueden ofrecer esta flexibilidad ya que
estaacuten basadas en una uacutenica arquitectura Ademaacutes una VPN Dinaacutemica
proporciona maacutes recursos y servicios a una Intranet para hacer mayor
uso de los recursos de la informacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 68
Las principales caracteriacutesticas que proporcionan las VPN
dinaacutemicas son
Proporciona una seguridad importante para la empresa
Se ajusta dinaacutemicamente a las diferentes clases de usuarios y
a sus caracteriacutesticas
Permite la posibilidad de intercambio de informacioacuten en diversos
formatos
El ajuste que hace para cada usuario lo consigue gracias a los
diferentes navegadores aplicaciones sistemas operativos
etc
Mantiene la integridad total independientemente del volumen
administrativo cambios en la tecnologiacutea o complejidad del
sistema de informacioacuten corporativo
27 PROTOCOLOS USADOS POR LAS VPNrsquos
Existen una gran variedad de protocolos de red para el uso de las
VPN que ya han sido implementados estos protocolos intentan ofrecer la
mayor seguridad posible en cuanto a VPN se refiere
271 PROTOCOLO DE TUacuteNEL PUNTO A PUNTO (PPTP)
PPTP-Point to Point Tunneling Protocol- (Protocolo de Tuacutenel Punto
a Punto) es una especificacioacuten de protocolo desarrollada por varias
compantildeiacuteas para proveer entre usuarios de acceso remoto y servidores
de red una red privada virtual normalmente se asocia PPTP con
Microsoft
La principal ventaja de PPTP radica en su habilidad para soportar
protocolos no IP y su principal problema o desventaja es su fallo a elegir
una uacutenica encriptacioacuten y autentificacioacuten estaacutendar que puede dar como
efecto que dos productos que acceden con la especificacioacuten PPTP
pueden llegar a ser completamente incompatibles simplemente porque la
encriptacioacuten de los datos sea diferente
Existen dos escenarios comunes para las VPN que utilizan un
protocolo de tuacutenel punto a punto
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 69
El usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el RAS-Servidor de Acceso Remoto En este
escenario el usuario remoto estable una conexioacuten PPP con el
ISP que luego establece la conexioacuten PPTP con el servidor
RAS
El usuario remoto se conecta a un ISP que no provee el servicio
de PPTP hacia el servidor RAS y por lo tanto debe iniciar la
conexioacuten PPTP desde su propia maacutequina cliente En este
escenario el usuario remoto se conecta al ISP mediante PPP y
luego llama al servidor RAS mediante PPTP
Luego de establecida la conexioacuten PPTP para cualquiera de los dos
casos el usuario remoto tendraacute acceso a la red corporativa como si
estuviera conectado directamente a la misma
2711 Encapsulacioacuten
Las tramas PPP-Point to Point Protocol- (Protocolo Punto a Punto)
(que consisten en un datagrama IP o Appletalk) se empaquetan con un
encabezado GRE- Generic Routing Encapsulation (Encapsulacioacuten de
enrutamiento geneacuterico) y un encabezado IP En el encabezado IP estaacuten
las direcciones IP de origen y de destino que corresponden al cliente VPN
y al servidor VPN
Ilustracioacuten 21 Encapsulacioacuten PPTP para una trama PPP
Fuente httpsi-technetsecs-msftcomdynimgIC197923gif
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 70
272 PROTOCOLO DE TUacuteNEL DE CAPA 2 (L2TP)
Uno de los principales competidor de PPTP en soluciones VPN fue
L2F- Layer 2 Forwarding- desarrollado por Cisco Con el fin de mejorar
L2F se combinaron las mejores caracteriacutesticas de PPTP y L2F para crear
un nuevo estaacutendar llamado L2TP
L2TP opera en la capa de enlace del modelo OSI - Open System
Interconnection Reference Model - (Modelo de Referencia de Sistemas
Abiertos de interconexioacuten) L2TP al igual que PPTP soporta clientes no
IP pero tambieacuten da problemas al definir una encriptacioacuten estaacutendar
L2TP utiliza la seguridad de protocolos Internet para los servicios
de cifrado La combinacioacuten de L2TP e IPSec se conoce como
L2TPIPSec L2TPIPSec proporciona los servicios de red privada virtual
(VPN) principales de encapsulacioacuten y cifrado de datos privados
2721 Encapsulacioacuten
La encapsulacioacuten de paquetes L2TPIPSec consta de dos niveles
27211 Encapsulacioacuten L2TP
Las Tramas PPP (que consiste en un datagrama IP o un datagrama
IPX) se empaquetan con un encabezado L2TP y un encabezado UDP-
User Datagram Protocol- (Protocolo de Datagrama de Usuario)
27212 Encapsulacioacuten IPSec
El mensaje L2TP resultante se empaqueta a continuacioacuten con un
encabezado de ESP - Encapsulating Security Payload- (Carga de
Seguridad de Encapsulacioacuten) de IPSec y un finalizador de autenticacioacuten
IPSec que proporciona autenticacioacuten e integridad de mensajes y un
encabezado IP final
El encabezado IP contiene las direcciones IP de origen y de destino
que corresponden al cliente VPN y al servidor VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 71
Ilustracioacuten 22 Encapsulacioacuten L2TP e IPSec para un datagrama PPP
Fuente httpshaciendounavpnwordpresscom20140630estructura-y-protocolos-utilizados-en-las-vpn
273 IPsec
2731 Definicioacuten
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos
cuya funcioacuten es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando yo cifrando cada paquete IP en un flujo de datos IPsec tambieacuten
incluye protocolos para el establecimiento de claves de cifrado
Los protocolos de IPsec actuacutean en la capa de red la capa 3 del modelo OSI
Otros protocolos de seguridad para Internet de uso extendido como SSL TLS y
SSH operan de la capa de aplicacioacuten (capa 7 del modelo OSI) Esto hace que
IPsec sea maacutes flexible ya que puede ser utilizado para proteger protocolos de la
capa 4 incluyendo TCP y UDP
2732 Arquitectura de seguridad
IPsec estaacute implementado por un conjunto de protocolos criptograacuteficos para
asegurar el flujo de paquetes garantizar la autenticacioacuten mutua y establecer
paraacutemetros criptograacuteficos
La arquitectura de seguridad IP utiliza el concepto de asociacioacuten de seguridad
(SA) como base para construir funciones de seguridad en IP Una asociacioacuten de
seguridad es simplemente el paquete de algoritmos y paraacutemetros (tales como
las claves) que se estaacute usando para cifrar y autenticar un flujo particular en una
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 72
direccioacuten Por lo tanto en el traacutefico normal bidireccional los flujos son
asegurados por un par de asociaciones de seguridad La decisioacuten final de los
algoritmos de cifrado y autenticacioacuten (de una lista definida) le corresponde al
administrador de IPsec
Para decidir queacute proteccioacuten se va a proporcionar a un paquete saliente IPsec
utiliza el iacutendice de paraacutemetro de seguridad (SPI) un iacutendice a la base de datos de
asociaciones de seguridad (SADB) junto con la direccioacuten de destino de la
cabecera del paquete que juntos identifican de forma uacutenica una asociacioacuten de
seguridad para dicho paquete Para un paquete entrante se realiza un
procedimiento similar en este caso IPsec toma las claves de verificacioacuten y
descifrado de la base de datos de asociaciones de seguridad
En el caso de multicast se proporciona una asociacioacuten de seguridad al grupo y
se duplica para todos los receptores autorizados del grupo Puede haber maacutes de
una asociacioacuten de seguridad para un grupo utilizando diferentes SPIs y por ello
permitiendo muacuteltiples niveles y conjuntos de seguridad dentro de un grupo De
hecho cada remitente puede tener muacuteltiples asociaciones de seguridad
permitiendo autenticacioacuten ya que un receptor soacutelo puede saber que alguien que
conoce las claves ha enviado los datos Hay que observar que el estaacutendar
pertinente no describe coacutemo se elige y duplica la asociacioacuten a traveacutes del grupo
se asume que un interesado responsable habraacute hecho la eleccioacuten
2733 Estado actual del estaacutendar
IPsec es una parte obligatoria de IPv6 y su uso es opcional con IPv4 Aunque el
estaacutendar estaacute disentildeado para ser indiferente a las versiones de IP el despliegue
y experiencia hasta 2007 atantildee a las implementaciones de IPv4
Los protocolos de IPsec se definieron originalmente en las RFCs 1825 y 1829
publicadas en 1995 En 1998 estos documentos fueron sustituidos por las RFCs
2401 y 2412 que no son compatibles con la 1825 y 1829 aunque son
conceptualmente ideacutenticas En diciembre de 2005 se produjo la tercera
generacioacuten de documentos RFCs 4301 y 4309 Son en gran parte un
superconjunto de la 2401 y 2412 pero proporcionan un segundo estaacutendar de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 73
Internet Key Exchange Esta tercera generacioacuten de documentos estandarizoacute la
abreviatura de IPsec como IP en mayuacutesculas y sec en minuacutesculas
Es raro ver un producto que ofrezca soporte de RFC1825 y 1829 ESP se
refiere generalmente a 2406 mientras que ESPbis se refiere a 4303
2734 Propoacutesito de disentildeo
IPsec fue proyectado para proporcionar seguridad en modo transporte
(extremo a extremo) del traacutefico de paquetes en el que los ordenadores de los
extremos finales realizan el procesado de seguridad o en modo tuacutenel (puerta a
puerta) en el que la seguridad del traacutefico de paquetes es proporcionada a varias
maacutequinas (incluso a toda la red de aacuterea local) por un uacutenico nodo
IPsec puede utilizarse para crear VPNs en los dos modos y este es su uso
principal Hay que tener en cuenta sin embargo que las implicaciones de
seguridad son bastante diferentes entre los dos modos de operacioacuten
La seguridad de comunicaciones extremo a extremo a escala Internet se ha
desarrollado maacutes lentamente de lo esperado Parte de la razoacuten a esto es que no
ha surgido infraestructura de clave puacuteblica universal o universalmente de
confianza (DNSSEC fue originalmente previsto para esto) otra parte es que
muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni
las opciones disponibles como para promover su inclusioacuten en los productos de
los vendedores
Como el Protocolo de Internet no provee intriacutensecamente de ninguna capacidad
de seguridad IPsec se introdujo para proporcionar servicios de seguridad tales
como
1 Cifrar el traacutefico (de forma que no pueda ser leiacutedo por nadie maacutes que las
partes a las que estaacute dirigido)
2 Validacioacuten de integridad (asegurar que el traacutefico no ha sido modificado a
lo largo de su trayecto)
3 Autenticar a los extremos (asegurar que el traacutefico proviene de un extremo
de confianza)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 74
4 Anti-repeticioacuten (proteger contra la repeticioacuten de la sesioacuten segura)
2735 Modos
Asiacute pues y dependiendo del nivel sobre el que se actuacutee podemos establecer dos
modos baacutesicos de operacioacuten de IPsec modo transporte y modo tuacutenel
27351 Modo transporte
En modo transporte soacutelo la carga uacutetil (los datos que se transfieren) del paquete
IP es cifrada o autenticada El enrutamiento permanece intacto ya que no se
modifica ni se cifra la cabecera IP sin embargo cuando se utiliza la cabecera de
autenticacioacuten (AH) las direcciones IP no pueden ser traducidas ya que eso
invalidariacutea el hash Las capas de transporte y aplicacioacuten estaacuten siempre
aseguradas por un hash de forma que no pueden ser modificadas de ninguna
manera (por ejemplo traduciendo los nuacutemeros de puerto TCP y UDP) El modo
transporte se utiliza para comunicaciones ordenador a ordenador
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido
por RFCs que describen el mecanismo de NAT transversal
27352 Modo tuacutenel
En el modo tuacutenel todo el paquete IP (datos maacutes cabeceras del mensaje) es
cifrado o autenticado Debe ser entonces encapsulado en un nuevo paquete IP
para que funcione el enrutamiento El modo tuacutenel se utiliza para comunicaciones
red a red (tuacuteneles seguros entre routers pe para VPNs) o comunicaciones
ordenador a red u ordenador a ordenador sobre Internet
2736 Protocolos
IPsec consta de tres protocolos que han sido desarrollados para proporcionar
seguridad a nivel de paquete tanto para IPv4 como para IPv6
Authentication Header (AH) proporciona integridad autenticacioacuten y no
repudio si se eligen los algoritmos criptograacuteficos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 75
Encapsulating Security Payload (ESP) proporciona confidencialidad y
la opcioacuten -altamente recomendable- de autenticacioacuten y proteccioacuten de
integridad
Internet key exchange (IKE) emplea un intercambio secreto de claves
de tipo Diffie-Hellman para establecer el secreto compartido de la sesioacuten
Se suelen usar sistemas de Criptografiacutea de clave puacuteblica o clave pre-
compartida
Los algoritmos criptograacuteficos definidos para usar con IPsec incluyen HMAC-
SHA-1 para proteccioacuten de integridad y Triple DES-CBC y AES-CBC para
confidencialidad
27361 Authentication Header (AH)
AH estaacute dirigido a garantizar integridad sin conexioacuten y autenticacioacuten de los datos
de origen de los datagramas IP Para ello calcula un Hash Message
Authentication Code (HMAC) a traveacutes de alguacuten algoritmo hash operando sobre
una clave secreta el contenido del paquete IP y las partes inmutables del
datagrama Este proceso restringe la posibilidad de emplear NAT que puede ser
implementada con NAT transversal Por otro lado AH puede proteger
opcionalmente contra ataques de repeticioacuten utilizando la teacutecnica de ventana
deslizante y descartando paquetes viejos AH protege la carga uacutetil IP y todos los
campos de la cabecera de un datagrama IP excepto los campos mutantes es
decir aquellos que pueden ser alterados en el traacutensito En IPv4 los campos de
la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS Flags
Offset de fragmentos TTL y suma de verificacioacuten de la cabecera AH opera
directamente por encima de IP utilizando el protocolo IP nuacutemero 51 Una
cabecera AH mide 32 bits
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 76
Diagrama de paquete AH
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
Sequence number
Hash Message Authentication Code (variable)
Significado de los campos
Next header
Identifica el protocolo de los datos transferidos
Payload length
Tamantildeo del paquete AH
RESERVED
Reservado para uso futuro (hasta entonces todo ceros)
Security parameters index (SPI)
Indica los paraacutemetros de seguridad que en combinacioacuten con la direccioacuten
IP identifican la asociacioacuten de seguridad implementada con este paquete
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
HMAC
Contiene el valor de verificacioacuten de integridad (ICV) necesario para
autenticar el paquete puede contener relleno
27362 Encapsulating Security Payload (ESP)
El protocolo ESP proporciona autenticidad de origen integridad y proteccioacuten de
confidencialidad de un paquete ESP tambieacuten soporta configuraciones de soacutelo
cifrado y soacutelo autenticacioacuten pero utilizar cifrado sin autenticacioacuten estaacute altamente
desaconsejado porque es inseguro Al contrario que con AH la cabecera del
paquete IP no estaacute protegida por ESP (aunque en ESP en modo tuacutenel la
proteccioacuten es proporcionada a todo el paquete IP interno incluyendo la cabecera
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 77
interna la cabecera externa permanece sin proteger) ESP opera directamente
sobre IP utilizando el protocolo IP nuacutemero 50
Un diagrama de paquete ESP
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)
Sequence number
Payload data (variable)
Padding (0-255 bytes)
Pad Length Next Header
Authentication Data (variable)
Significado de los campos
Security parameters index (SPI)
Identifica los paraacutemetros de seguridad en combinacioacuten con la direccioacuten IP
Sequence number
Un nuacutemero siempre creciente utilizado para evitar ataques de repeticioacuten
Payload data
Los datos a transferir
Padding
Usado por algunos algoritmos criptograacuteficos para rellenar por completo
los bloques
Pad length
Tamantildeo del relleno en bytes
Next header
Identifica el protocolo de los datos transferidos
Authentication data
Contiene los datos utilizados para autenticar el paquete
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 78
CAPITULO III
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 79
MARCO METODOLOGICO
31 Tipo y disentildeo de la investigacioacuten
La investigacioacuten tiene un disentildeo de tipo Tecnoloacutegico ndash Cuasi Experimental
Aplicada Porque aplica teoriacuteas especializadas con el tema de
investigacioacuten
Cuasi Experimental Porque los datos que componen la muestra no se
eligen de forma aleatoria
32 Poblacioacuten y muestra
La poblacioacuten Base de datos de ataques a las Redes Privadas Virtuales
compuesta por siete tipos (husmeadores de Red Integridad de datos
ataques de contrasentildea ataques de denegacioacuten de servicios Ataque de
hombre al medio spoofing ataques de claves comprometidas)
La Muestra Ataques dirigidos a redes privadas virtuales como
husmeadores de red e integridad de datos
33 Hipoacutetesis
La implementacioacuten de teacutecnicas de encriptacioacuten incrementaraacute la
seguridad de la red privada virtual
34 Operacionalizacioacuten
Variable Independiente
Teacutecnicas de encriptacioacuten
Variable Dependiente
La seguridad la red privada virtual
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 80
Tabla 02 Variable Dependiente-Rendimiento
VARIABLE DEPENDIENTE
DIMENSIONES INDICADORES
TEacuteCNICAS E INSTRUMENTOS DE RECOLECCIOacuteN DE
DATOS
Seguridad de datos en una red privada virtual
Medidas de Rendimiento
Efectividad de aciertos
en paquetes
Contar la cantidad de algoritmos utilizados
Tiempo de
procesamiento
Registrar la cantidad de segundos que tarda en encriptar cada algoritmo
Costo de procesamiento
Registrar cantidad de consumo de cpu en el uso del algoritmo
Fuente Creacioacuten propia
35 Meacutetodos teacutecnicas e instrumentos de recoleccioacuten de datos
Meacutetodos
Para la recoleccioacuten de datos se utilizaraacuten
Observacioacuten
Teacutecnicas Registro de observaciones
Se usan para recopilar los datos de las pruebas del sistema propuesto y evidencia de las teacutecnicas
Instrumento Ficha de registro de eventos Este instrumento se
usan para el registro de los eventos de las pruebas de aplicacioacuten
de las teacutecnicas
36 Procedimiento para la recoleccioacuten de datos
El desarrollo de la presente investigacioacuten se ha basado en la utilizacioacuten
de teacutecnicas de Encriptacioacuten de datos
Recopilacioacuten de Datos
Pre ndash Procesado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 81
Criptografiacutea
Resultados
Se realizaraacute mediante la puesta en ejecucioacuten de las teacutecnicas usadas y
evaluar el desempentildeo de cada una de ellas de acuerdo con los
indicadores que se ha establecido
37 Plan de anaacutelisis estadiacutesticos de datos
Tabulacioacuten de datos
Uso de tablas estadiacutesticas
Uso de graacuteficos estadiacutesticos como producto del procesamiento de
los datos obtenidos de las pruebas realizadas y procesadas
Anaacutelisis de datos
Interpretacioacuten de indicadores de acuerdo con las pruebas que se
realizaran
38 Criterios eacuteticos
Objetividad El anaacutelisis de la situacioacuten encontrada se basaraacute en criterios
teacutecnicos imparciales
Confidencialidad Se aseguraraacute que los registros usados para la prueba
que son del aacutembito privado no sean divulgados al puacuteblico
Veracidad La informacioacuten mostrada seraacute verdadera
39 Criterios de rigor cientiacutefico
Validacioacuten Se validaraacuten los instrumentos de recoleccioacuten de datos
Contrastacioacuten Se contrastaraacute la hipoacutetesis a traveacutes de meacutetodos estadiacutesticos debido al disentildeo cuasi experimental
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 82
CAPITULO IV
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 83
41 TIPOS DE PRUEBAS
Las pruebas realizadas a la implementacioacuten de la VPN se basaron en dos
tipos
Pruebas de Rendimiento
Pruebas de Seguridad
42 PRUEBAS DE RENDIMIENTO
Las pruebas de rendimiento se realizaron tomando en cuenta lo siguiente
LONGITUD DE ARCHIVO
o 10KB 100KB 1MB 10MB 100MB
MEacuteTRICA
o CARGA DE CPU ()
o TASA DE TRANSFERENCIA (KBITSSEG)
o TIEMPO RELATIVO (SEG)
PROTOCOLO
o IPSEC
o AH EN MODO TUacuteNEL Y MODO TRANSPORTE
o ESP EN MODO TUacuteNEL Y MODO TRANSPORTE
Se procedioacute a realizar la prueba de transferencia de archivos entre el
cliente VPN y una estacioacuten de la red privada realizando las combinaciones
de los protocolos de IPSEC (AH y ESP) solo en modo tuacutenel la misma
transferencia se realizoacute en modo transporte (este modo fue disentildeado para
conexiones entre dos estaciones) pero entre el cliente VPN y el servidor
VPN y una transferencia entre los dos extremos sin VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 84
Luego se procedioacute a medir la carga del CPU del servidor VPN la tasa de
transferencia y el tiempo relativo
Para medir estos paraacutemetros se utilizoacute el programa ldquoTOPrdquo programa que
nos permite visualizar los procesos que hay en ejecucioacuten y cuanta
memoria consumen en tiempo real en ambientes Linux
Los datos promedios obtenidos se muestran a continuacioacuten
Tabla 03 Rendimiento del sistema en modo tuacutenel
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 201 153 245
TASA DE TRANSFERENCIA (KBSEG) 625 513 625 495
TIEMPO PROMEDIO RELATIVO (SEG) 151 209 151 221
Fuente Creacioacuten propia
Tabla 04 Rendimiento del sistema en modo transporte
AH ESP
FTP FTPVPN FTP FTPVPN
CARGA DE CPU () 153 185 153 207
TASA DE TRANSFERENCIA (KBSEG) 625 585 625 562
TIEMPO PROMEDIO RELATIVO (SEG) 151 201 151 212
Fuente Creacioacuten propia
421 Resultados
Como se puede observar en los resultados obtenidos el protocolo IPSEC
produce una tara (overhead) en el procesador esto se debe a que el uso
de los algoritmos de cifrado y autenticacioacuten necesitan maacutes recursos para
generar nuacutemeros aleatorios los cuales son necesarios para realizar el
cifrado la tara es un poco mayor utilizando el protocolo ESP en modo
tuacutenel esto debido a que el tamantildeo del paquete a cifrar es mayor que en
el protocolo AH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 85
Tambieacuten se verifica una caiacuteda en la tasa de transferencia de datos esto
debido al tamantildeo del paquete IP sobre una VPN el cual es de mayor
tamantildeo en la transmisioacuten con IPSEC que en una transmisioacuten regular el
protocolo AH en modo transporte es maacutes raacutepido debido en parte a que no
utiliza cifrado lo que reduce el tamantildeo del paquete y solo agrega una
cabecera extra al paquete IP original dando como resultado una velocidad
ligeramente menor que en una transferencia normal
43 PRUEBAS DE SEGURIDAD
Existen programas como SSH (para el ldquologinrdquo remoto) el SSL (para las
aplicaciones Web) y PGP (para el correo electroacutenico) que aseguran los
datos entre dos aplicaciones y que utilizan los mecanismos de trabajo de
capa 7 (capa de aplicacioacuten) Estos programas trabajan muy bien pero
estaacuten limitados a cifrar uacutenicamente los datos entre los puertos asociados
a eacutel
Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten (SSH SSL) se procedioacute a utilizar
un analizador de protocolos de red (Wireshark) (Anexo 4) para observar
el comportamiento del protocolo SSH entre dos computadoras en una
sesioacuten se analizoacute utilizando un canal seguro con VPN y otra sesioacuten sin
utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se
muestra a continuacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 86
Ilustracioacuten 23 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico SSH capturado en la sesioacuten sin tuacutenel VPN se
muestra en la Ilustracioacuten 24 e Ilustracioacuten 25 en eacutel se puede observar
que los datos de la capa de aplicacioacuten se encuentran cifrados
Ilustracioacuten 24 Traacutefico SSH capturado sin tuacutenel VPN
Servidor SSH
Cliente SSH
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 87
Ilustracioacuten 25 Traacutefico SSH capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 41 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten SSH
pero a traveacutes de un tuacutenel IPSec VPN estos datos se muestran en la
Ilustracioacuten 26 y 27
Ilustracioacuten 26 Traacutefico SSH capturado con tuacutenel VPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 88
Ilustracioacuten 27 Traacutefico SSH capturado con tuacutenel VPN
431 Resultados
En la sesioacuten de SSH sin tuacutenel VPN se pueden observar los nuacutemeros de los
puertos asociados en la conexioacuten esto permite determinar faacutecilmente el servicio
que se estaacute ejecutando Se descubre entonces que el servidor SSH escucha y
transmite por el puerto TCP 22 y el cliente SSH utiliza el puerto TCP 1041
Otros protocolos de seguridad como HTTPS y SSL (puerto 443) muestran un
comportamiento de traacutefico capturado similar con la excepcioacuten de que estos
utilizan nuacutemeros de puertos diferentes
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes nativos de
este protocolo (ESP AH IKE) no podemos saber queacute aplicacioacuten se estaacute
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los datos sin
tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los entes
involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya que eacuteste
difiere de SSH y otros protocolos de cifrado basado en una aplicacioacuten porque
IPSec cifra los datos desde la capa 3 (capa de red del modelo OSI) por lo tanto
ninguacuten dato de capas superiores es mostrado reduciendo asiacute las
vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 89
VERIFICANDO LAS PRUEBAS DE SEGURIDAD CON UN PROTOCOLO NO
CIFRADO COMO FTP (PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS)
Para esta prueba procedemos a configurar un servidor FTP en Linux Centos 65
(Anexo 01) Para poder mostrar los problemas de seguridad de algunos de estos
protocolos de seguridad de aplicacioacuten se procedioacute a utilizar un analizador de
protocolos de red (Wireshark) para observar el comportamiento del protocolo
FTP entre dos computadoras en una sesioacuten se analizoacute utilizando un canal
seguro con VPN y otra sesioacuten sin utilizar la VPN
El diagrama de conexioacuten utilizado para estas pruebas es el que se muestra a
continuacioacuten
Ilustracioacuten 28 Esquema fiacutesico de conexioacuten
Una muestra del traacutefico FTP capturado en la sesioacuten sin tuacutenel VPN se
muestran en la Ilustracioacuten 29 y 30 en eacutel se puede observar que los datos
de la capa de aplicacioacuten se encuentran sin cifrar y se puede visualizar el
usuario contrasentildea protocolo y puerto TCP utilizado
Servidor FTP
Cliente FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 90
Ilustracioacuten 29 Traacutefico FTP capturado sin tuacutenel VPN
Ilustracioacuten 30 Traacutefico FTP capturado sin tuacutenel VPN
Utilizando el mismo esquema de conexioacuten de la figura 44 se procedioacute a
realizar una segunda captura de paquetes de datos de una sesioacuten FTP
pero a traveacutes de un tuacutenel VPN (Anexo 02 y 03) estos datos se muestran
en la Ilustracioacuten 31 y 32
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 91
Ilustracioacuten 31 Traacutefico FTP capturado con tuacutenel VPN
Ilustracioacuten 32 Traacutefico FTP capturado con tuacutenel VPN
Resultados
En la sesioacuten de FTP sin tuacutenel VPN se pueden observar los nuacutemeros de
los puertos asociados en la conexioacuten esto permite determinar faacutecilmente
el servicio que se estaacute ejecutando Se descubre entonces que el servidor
FTP escucha y transmite por el puerto TCP 21 y el cliente FTP utiliza el
puerto TCP 1035
Cuando se utiliza el tuacutenel IPSec solamente podemos ver los paquetes
nativos de este protocolo no podemos saber queacute aplicacioacuten se estaacute
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 92
ejecutando ni queacute servicios hay disponibles IPSec asegura todos los
datos sin tomar en cuenta la aplicacioacuten que se estaacute ejecutando entre los
entes involucrados en la transmisioacuten
Las pruebas de seguridad justifican la utilizacioacuten de un tuacutenel IPSec ya
que eacuteste difiere de SSL y otros protocolos de cifrado basado en una
aplicacioacuten porque IPSec cifra los datos desde la capa 3 (capa de red del
modelo OSI) por lo tanto ninguacuten dato de capas superiores es mostrado
reduciendo asiacute las vulnerabilidades de seguridad
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 93
CAPITULO V
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 94
51 IMPLEMENTACION DE REDES PRIVADAS VIRTUALES UTILIZANDO
IPSEC
La metodologiacutea para la implementacioacuten en la realizacioacuten de esta
investigacioacuten con Redes Privadas Virtuales se basoacute en
Instalacioacuten configuracioacuten y pruebas
Anaacutelisis de un caso praacutectico simulacioacuten de una oficina central con el
software de virtualizacioacuten VMWare y un cliente de igual manera
virtualizado en VMWare que podriacutea usar un sistema operativo en
Windows o en linux
52 INSTALACIOacuteN Y CONFIGURACIOacuteN
Para la instalacioacuten de la red privada virtual se escogioacute un software de
dominio puacuteblico (GNU) de nombre OPENVPN que es una
implementacioacuten de Linux de la VPN
Se utilizoacute el sistema operativo Linux Centos 65 con una Versioacuten del
kernel 26
Es en este caso necesario el uso de certificados digitales para establecer
la conexioacuten segura estos certificados deben de ser confiables o sea que
deben de ser validados (firmados) por una autoridad de certificacioacuten que
actuacutea como notario asegurando que el certificado firmado es del ente
(persona equipo software etc) que dice ser estos certificados se
realizaron utilizando el programa de fuente abierta openSSL Se
generaron 3 certificados para la Autoridad de Certificacioacuten (CA) para el
servidor VPN y para el cliente VPN
Se instaloacute el cliente VPN bajo Windows 2000 profesional o Linux y se
instaloacute el certificado generado por la CA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 95
Una vez completada la instalacioacuten y configuracioacuten de los equipos se
preparoacute el escenario de conexioacuten que se muestra a continuacioacuten
(Ilustracioacuten 33)
Ilustracioacuten 33 Topologiacutea de conexioacuten VPN
La mejor eleccioacuten de una u otra tecnologiacutea depende de los requerimientos
de la organizacioacuten o empresa asiacute como de la infraestructura de la misma
tambieacuten se deben tomar en cuenta factores importantes como el
rendimiento y el nivel de uso A partir de las diferencias ventajas y
desventajas de IPSec y SSL citadas anteriormente se presentan dos
tablas que ofrecen criterios importantes a ser tomados en cuenta para
inclinarnos por una u otra tecnologiacutea
Cifrad
o Sin Cifrar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 96
Tabla 05 Algoritmos para la transmisioacuten segura de los datos
Algoritmo DES 3DES AES IDEA
Tamantildeo de la
Clave 56 bits 168 bits 128 192 256 bits 128 bits
Tamantildeo de
bloque 64 bits 64 bits 128 bits 64 bits
Ndeg de vueltas 16 48 10 12 14 8
Vulnerabilidad
Dejo de ser
utilizado en 1998
Por EEUU por
haber sido
vulnerado
Es 3 veces maacutes
seguro que el DES
pero a la vez es 3
veces maacutes lento
No ha sido
vulnerado
Es robusto frente al
criptoanaacutelisis
diferencial y
diferencial
Imposible los
ataques por fuerza
bruta
Observaciones
Creado en 1977 Publicado en 1999
Estaacute en desuso
Desarrollado en
1997 En el 2003 fue
declarado seguro
por EEUU Fue
creado para
reemplazar al 3DES
Es maacutes raacutepido que
el 3DES
Fue desarrollado en
1990 y mejorado en
1992
Seguro y Usado en
VPNS con IPSEC
Fuente Creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 97
Tabla 06 Diversas teacutecnicas de encriptacioacuten de datos en una red privada virtual
SSLTLS IPsec
Control de accesos
Conexiones permanentes X
Conexiones efiacutemeras o puestos moacuteviles X
Ambos Tipos de acceso X X
Usuarios
Todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la
compantildeiacutea X
No todos los usuarios son empleados de la compantildeiacutea ademaacutes algunos trabajan con
sus propios sistemas
X X
Software Cliente
Todos los usuarios han de tener acceso a todos los recursos de la red
X
Deseamos controlar el acceso a
determinadas aplicaciones X
Necesitamos niveles variables de control
de acceso en las diferentes aplicaciones X X
Confidencialidad y Autenticidad
Precisamos de un alto nivel de seguridad en
el cifrado y autentificacioacuten X
La confidencialidad y la autenticidad no son especialmente criacuteticas en nuestros
sistemas X
Precisamos de niveles moderados de
confidencialidad e integridad X
Nivel Teacutecnico de los Usuarios
Entre moderado y alto X
Entre moderado y bajo X
Implantacioacuten flexibilidad y escalabilidad
Deseamos una implantacioacuten raacutepida y de
facilidad mantenimiento X
Deseamos flexibilidad en las modificaciones
futuras X
Ambas consideraciones son importantes X X
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 98
Tabla 07 Protocolos ndash Soluciones
SOLUCIONES SSL IPSEC COMENTARIO
Telecommuter
Ej Empleados
trabajando desde
casa
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos y aplicaciones
SSL da acceso a aplicaciones soacutelo SSL
VPN Red-a-Red
Ej Oficina remota
conectada a WAN
corporativa
Inapropiado Ideal IPSec provee tuacuteneles seguros entre localizaciones fijas
Web mail Remoto
Ej Outlook Web
Lotus iNotes
Ideal Complejo
SSL permite acceso seguro desde cualquier navegador web
Seguridad interna
de aplicacioacuten
Ej HR Self-service
Ideal Complejo SSL proporciona seguridad de la aplicacioacuten dentro de la VPN
Portales de
aplicacioacuten
Ej iPlanet
aplicaciones web
corporativas
Ideal Complejo
SSL es la eleccioacuten maacutes simple
IPSec es muy complejo
Seguridad VOIP
Ej Ethernet redndasha-
red o
telecommuter con
VoIP
Inapropiado Ideal
VOIP no puede transportarse
en
SSL
IPSec es la solucioacuten para
encriptacioacuten de VoIP
Seguridad en
Wireless LAN
Ej Proveer seguridad
a las WLAN con
autenticacioacuten y
encriptacioacuten fuerte
Apropiado Ideal
IPSec proporciona acceso seguro a todos los recursos de la red
SSL requiere lsquotraducirrsquo aplicaciones a HTTP
Fuente creacioacuten propia
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 99
53 Discusioacuten de resultados
Tanto IPSec como SSL son tecnologiacuteas confiables y
eficaces que pueden ser usadas para proveer seguridad en
comunicaciones altamente sensibles
Cada una de estas tecnologiacuteas tiene sus ventajas y
desventajas y su mayor rendimiento dependeraacute del
escenario en el que se encuentren operando
IPSec es un protocolo muy seguro basado en estaacutendares y
muy adecuado para traacuteficos totalmente IP El uso de este
protocolo es el maacutes indicado cuando se tienen los siguientes
requerimientos
o Conexiones permanentes
o Todos los usuarios son empleados de la compantildeiacutea
o Todos los usuarios han de tener acceso a todos los
recursos de la red
o Precisamos de un alto nivel de seguridad en el cifrado
y autentificacioacuten
o Deseamos flexibilidad en las modificaciones futuras
de la red
Tambieacuten podemos concluir que IPSec se considera un
protocolo ideal para las siguientes aplicaciones
o VPN Acceso remoto
o VPN Red-a-Red
o Seguridad VoIP
o Seguridad en Wireless LAN
SSL es un protocolo que ofrece una mayor sencillez a la
hora de crear conexiones seguras por Internet El uso de
este protocolo es el maacutes indicado cuando se tienen los
siguientes requerimientos
o Conexiones efiacutemeras o puestos moacuteviles
o No todos los usuarios son empleados de la compantildeiacutea
o Deseamos controlar el acceso a determinadas
aplicaciones
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 100
o La confidencialidad y la autenticidad no son
especialmente criacuteticas en nuestros sistemas
o Deseamos una implantacioacuten raacutepida y de facilidad
mantenimiento
Tambieacuten podemos concluir que SSL se considera un
protocolo ideal o apropiado para las siguientes aplicaciones
o VPN Acceso remoto
o Web mail remoto
o Seguridad interna de aplicacioacuten
o Portales de aplicacioacuten
o Seguridad en Wireless LAN
Finalmente podemos decir que las empresas pueden
beneficiarse de usar IPsec y SSL en sus redes privadas
virtuales al aplicar cada una de estas tecnologiacuteas en las
aplicaciones y para los requerimientos apropiados
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 101
CONCLUSIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 102
Podemos concluir que la implementacioacuten de VPNacutes es maacutes segura
cuando se utilizan Tuacuteneles IPSec esto por su bajo costo y grandes
prestaciones ademaacutes del hecho impliacutecito de seguridad que trae el
coacutedigo abierto por lo que es posible estudiar y modificar el coacutedigo para
adaptarlo a las necesidades del servidor
De acuerdo con los resultados que se han obtenido en las pruebas de
rendimiento y seguridad se pudo comprobar que en la praacutectica la
implementacioacuten de Redes Privadas Virtuales es factible desde muchos
puntos de vista (econoacutemicos de seguridad de confiabilidad etc)
ademaacutes trae muchos beneficios asociados a la conectividad de
usuarios remotos y oficinas distantes esto a pesar de la sobrecarga
introducida por el uso de VPN no afecta de manera significativa en las
redes de datos
El uso de Tuacuteneles aplicada a las Redes Privadas Virtuales (VPN) dan
una mejor fiabilidad de seguridad autenticacioacuten y confiabilidad en las
transmisiones sobre redes puacuteblicas como es el caso de Internet
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 103
RECOMENDACIONES
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 104
Se recomienda el uso de Redes Privadas Virtuales en conexiones que
se realizan sobre la red puacuteblica (Internet) entre dependencias de
instituciones geograacuteficamente distantes ademaacutes de representar un
bajo costo por el uso de una red puacuteblica en contraste al uso de liacuteneas
dedicadas
Analizar las posibilidades de uso comercial de implementar Redes
Privadas Virtuales (VPN) utilizando coacutedigo Abierto o Libre
Estudiar la Implementacioacuten de VPNs en las dependencias de las
instituciones que utilizan enlaces inalaacutembricos como manera de
garantizar la integridad y la confidencialidad en el intercambio de
informacioacuten previniendo el robo de contrasentildeas de usuarios y permitir
un control en el acceso de todos los clientes inalaacutembricos
Implementar un manual de poliacuteticas de seguridad asociadas a la
implementacioacuten de VPNs asiacute como un completo entendimiento de
criptografiacutea de clave puacuteblica y manejo de certificados y firmas digitales
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 105
BIBLIOGRAFIacuteA
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 106
Aldaya A C (Diciembre de 2013) Disentildeo e integracioacuten de algoritmos criptograacuteficos
en sistemas empotrados sobre FPGA EAC 51
Alonso J A (2009) Redes privadas virtuales Espantildea RA-MA
Cisco (2013) Informe Anual de Seguridad EEUU
Cisco (2014) Informe Anual de Seguridad EEUU
Eset (2013) Estudio de seguridad EEUU
Gonzales Morales A (2008) Red Privada Virtual Peruacute
Hernaacutendez A F (Febrero de 2012) Implementacioacuten multinuacutecleo de la multiplicacioacuten
escalar en curvas de Koblitz Meacutexico Meacutexico
Latinoameacuterica E (2013) Tendencias 2014 en Seguridad Informaacutetica Meacutexico
Li C amp Sun C (2012) Secure VPN Based on Combination of L2TP and IpSec
EEUU
Lomparte K R (2005) Encriptacioacuten RSA de archivos de texto Lima Lima Peruacute
Lucena Lopez M (2010) Criptografiacutea y Seguridad en Computadoras Colombia
Maiorano A (2010) Criptografiacutea ndash Teacutecnicas de desarrollo para profesionales Segu-
info
Meza N P (2014) Anaacutelisis y mejora del rendimiento del algoritmo AES para su
utilizacioacuten en teleacutefonos moacuteviles Meacutexico Meacutexico Meacutexico
Padilla J L (2014) Investigaciones en tecnologiacuteas de informacioacuten informaacutetica y
computacioacuten EEUU Palibrio LLC
Ramiacuterez A H (Octubre de 2012) Implementacioacuten de la criptografiacutea basada en
atributos en un dispositivo moacutevil Meacutexico Meacutexico Meacutexico
Real Academia (2010) Diccionario
Sciences J o (2014) Adaptive Data Hiding Based on Visual Cryptography EEUU
Wikipedia (10 de Junio de 2014) Advanced Encryption Standard Obtenido de
httpeswikipediaorgwikiAdvanced_Encryption_Standard
Bellovin Steven M (1996) laquoProblem Areas for the IP Security Protocolsraquo
Proceedings of the Sixth Usenix Unix Security Symposium 1-16
KG Paterson y A Yau (2006) laquoCryptography in theory and practice The case of
encryption in IPsecraquo Eurocrypt 2006 Lecture Notes in Computer Science Vol
4004 12-29
JP Degabriele y KG Paterson (2007) laquoAttacking the IPsec Standards in Encryption-
only Configurationsraquo IEEE Symposium on Security and Privacy IEEE Computer
Society 335-349
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 107
ANEXOS
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 108
Anexo 01
CONFIGURACION DE SERVIDOR FTP EN LINUX CENTOS 65
En este anexo paso a paso se describe coacutemo instalar y configurar un
servidor de protocolo de transferencia de archivos (FTP)
En el caso del Linux Centos el servidor debe tener un programa
instalado para poder utilizar el servicio FTP en este caso vamos a usar
el servidor VSFTPD Este es un servidor FTP raacutepido y seguro para
sistemas Unix Linux
Para instalar el servicio FTP seguimos estos pasos
Paraacutemetros para la configuracioacuten del servidor
El nombre de mi servidor es serverDB y la direccioacuten IP es
1921682513324 Estos valores cambiaraacuten seguacuten su red
Instalacioacuten de VSFTPD
Todos los comandos deben emitirse con el usuario root Ejecute el
siguiente comando en la terminal para instalar el paquete vsftpd
yum ndashy install vsftpd ftp
Configuracioacuten de VSFTPD
Se debe editar el archivo de configuracioacuten del VSTFPD el cual se
encuentra en la siguiente ruta etcvsftpdvsftpdconf
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 109
Debemos encontrar las siguientes liacuteneas y hacer los cambios como se
muestra a continuacioacuten
[]
Establecemos este valor en NO
Esta opcioacuten permite ingresar sin necesidad de tener un usuario
configurado la recomendacioacuten es dejarla en NO si no queremos que
esto suceda
o anonymous_enable=NO
Descomentar estas dos liacuteneas
o ascii_upload_enable=YES
o ascii_download_enable=YES
Eliminamos el comentario ndash Escribimos el mensaje de bienvenida -
Esto es opcional
Esta opcioacuten permite poner un mensaje de bienvenida para que cuando
iniciamos sesioacuten en el cliente de FTP se muestre el Slogan o Nombre
de nuestro sitio o empresa
o ftpd_banner= Bienvenidos a Mi Sitio FTP - SIPAN
Antildeadir esta liacutenea al final del archivo
Esta opcioacuten se habilita para que el servidor FTP utilice la hora local
o use_localtime=YES
Iniciamos el servicio vsftpd y hacemos que se inicie automaacuteticamente
en cada reinicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 110
Crear usuarios FTP
Por defecto al usuario root no se le permite iniciar sesioacuten en el servidor
ftp para fines de seguridad Asiacute que vamos a crear un usuario de
prueba llamado adminftp con la contrasentildea centos
Ahora iniciamos una nueva sesioacuten con el servidor FTP (lo
podemos realizar desde cualquier cliente Windows o Linux)
Limpiamos las reglas del firewall
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 111
Ahora podremos conectarnos a un servidor FTP sin ninguacuten problema
Se obtendraacute un error como 500 oops cannot change directory
Esto es porque el SELinux restringe al usuario para iniciar sesioacuten
en el servidor ftp Asiacute que vamos a actualizar los valores booleanos
de SELinux para el servicio FTP usamos el siguiente comando
o setenforce 0
Ahora iniciamos una nueva sesioacuten con el servidor FTP
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 112
Anexo 02
INSTALACIOacuteN Y CONFIGURACIOacuteN DE SERVIDOR VPN EN
LINUX CENTOS 65
En este anexo se realizaraacute la instalacioacuten de un Servidor VPN en el SO CENTOS
65 tambieacuten se explicaraacute la instalacioacuten y configuracioacuten de un cliente VPN para
su conexioacuten hacia el servidor que hemos creado con anterioridad
iquestQueacute es un Servidor VPN
De sus siglas Virtual Private Network que a su traduccioacuten al espantildeol seria Red
Privada Virtual no es maacutes que una extensioacuten ficticia de nuestra red local hacia
la red local de destino permitiendo ser virtualmente parte de ella
iquestVentajas
Existen varias ventajas por el cual podemos encontrar si usamos VPN
Son faacuteciles de montar y no son realmente costosas
Mejora la comunicacioacuten de los usuarios de la red origen y destino
iquestQueacute es OpenVPN
OpenVPN es una aplicacioacuten de coacutedigo abierto que implementa una red
privada virtual VPN Puede ser utilizado para crear una conexioacuten segura entre
redes de aacuterea local distribuidas fiacutesicamente
OpenVPN Access Server es una solucioacuten software completa de tuacutenel de
red seguro mediante VPN con una interfaz de configuracioacuten sencilla mediante
web Posee clientes para Windows Mac Linux Android e iOS
OpenVPN Access Server es compatible con una amplia gama de
configuraciones incluyendo acceso remoto seguro y acceso a redes internas con
control de acceso de grano fino
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 113
Escenario inicial para montar una red VPN con OpenVPN
Dispondremos de una red local LAN con el direccionamiento 19216825024
en la que habraacute un servidor y equipos informaacuteticos Se pretende conseguir que
un equipo cliente externo se pueda comunicar con cualquier equipo de la red
interna utilizando las IPs privadas como si el equipo cliente externo estuviera
fiacutesicamente conectado a la red interna
Prerequisitos para montar una red privada virtual VPN con OpenVPN
Servidor fiacutesico o virtual con sistema operativo Linux CentOS
El servidor que tendraacute el rol de servidor OpenVPN Access Server debe tener los
siguientes requisitos
Sistema operativo Linux CentOS 65
SELinux desactivado
Servicios iptables e ip6tables deshabilitados
El servidor con Linux necesitaraacute conexioacuten a Internet
IP Puacuteblica estaacutetica
Es recomendable para establecer una VPN con la red privada de nuestra
organizacioacuten o casa disponer de una IP puacuteblica estaacutetica Esta IP nos la
proporcionaraacute nuestro proveedor de servicios de Internet Si no disponemos de
IP estaacutetica y por el contrario es dinaacutemica deberemos disponer de alguacuten software
que nos enviacutee la IP puacuteblica
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 114
Instalacioacuten y configuracioacuten de OpenVPN Access Server en un servidor con
Linux CentOS
Accederemos al servidor con Linux CentOS 65 desde la consola del shell de
comandos accediendo con superusuario root ejecutaremos el siguiente
comando
rpm -Uvh httpswupdateopenvpnorgasopenvpn-as-2010-
CentOS6x86_64rpm
Una vez instalado OpenVPN Access Server con el comando anterior
estableceremos la contrasentildea del usuario administrador
Por defecto OpenVPN Access Server utiliza autenticacioacuten PAM Esto quiere
decir que los usuarios que se configuren en OpenVPN Access Server deben
existir en el sistema operativo Linux ya que seraacute este quien valide la contrasentildea
Inicialmente existe un uacutenico usuario llamado openvpn que crea el programa de
instalacioacuten Es necesario establecerle la contrasentildea para poder iniciar sesioacuten en
la paacutegina web de administracioacuten de OpenVPN Access Server
Para establecer la contrasentildea al usuario openvpn en la consola del servidor de
Linux escribiremos el comando
passwd openvpn
Introduciremos la contrasentildea (centospvn) deseada para el usuario openvpn
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 115
Tras la instalacioacuten de OpenVPN Access Server y el establecimiento de la
contrasentildea para el usuario openvpn estaremos en disposicioacuten de iniciar la
configuracioacuten de OpenVPN Access Server para ello abriremos un navegador
web (podemos abrirlo desde cualquier equipo de la red LAN del servidor de
OpenVPN) e introduciremos la URL
https19216825133943admin
(19216825133 seraacute la IP del servidor Linux CentOS con OpenVPN)
Tambieacuten se podriacutea utilizar la URL de acceso externo si ya hemos redireccionado
los puertos (como indicamos aquiacute)
httpsIP puacuteblica943admin
El navegador informaraacute de que el certificado no estaacute validado aun asiacute podemos
continuar Esto se debe a que el certificado ha sido generado por el propio
servidor en el momento de la instalacioacuten pulsando en Opciones Avanzadas
podremos ver el detalle del mensaje de aviso
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 116
Pulsaremos en Acceder a 19216825133 (Entiendo los riesgos)
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 117
Iniciamos sesioacuten utilizando el usuario openvpn y la contrasentildea que se le
establecioacute
La primera vez que se accede a la consola de administracioacuten web de OpenVPN
Access Server mostraraacute un formulario de aceptacioacuten de la licencia Lo leeremos
y si estamos de acuerdo pulsaremos Agree para continuar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 118
Nos mostraraacute la paacutegina principal de la consola de administracioacuten web
de OpenVPN Access Server
La configuracioacuten baacutesica es bastante simple accederemos a seccioacuten Server
Network Settings En esta ventana estableceremos los siguientes valores
Hostname or IP Address en este campo introduciremos la IP puacuteblica del router
(que podemos obtener como indicamos aquiacute) Si disponemos de un dominio
registrado que apunta a la IP puacuteblica podremos utilizarlo tambieacuten
Interface and IP Address marcaremos eth0 19216825133
Protocol marcaremos Both (Multi-daemon mode)
El resto de valores los dejaremos por defecto
Number of TCP daemon 2
TCP Port number 443
Number of UDP daemons 2
UDP Port number 1194
Service Forwarding
Admin Web Server maraceremos esta opcioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 119
Client Web Server marcaremos esta opcioacuten
A continuacioacuten se guardaraacuten los cambios pulsando en Save Settings (al final de
la paacutegina)
Aplicaremos la configuracioacuten pulsando sobre el botoacuten Update Running Server
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 120
De esta forma ya tendremos el servidor OpenVPN configurado
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 121
Anexo 03
INSTALACIOacuteN Y CONFIGURACIOacuteN DE CLIENTE VPN
Aquiacute configuraremos un cliente VPN que nos permitiraacute la conexioacuten al servidor
que anteriormente hemos configurado
Configurar el acceso VPN desde un equipo cliente desde fuera de la red
desde Internet
Una vez montado el servidor OpenVPN y configurado ya estaremos en
disposicioacuten de poder conectarnos desde un equipo externo a traveacutes de Internet
Para ello en el equipo cliente situado fuera de la red interna LAN que tenga
acceso a Internet abriremos un navegador y accederemos a la la URL
httpsIP puacuteblica del router de la red interna
Nos mostraraacute la ventana de inicio de sesioacuten de OpenVPN introduciremos
usuario y contrasentildea establecidos en la configuracioacuten de OpenVPN
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 122
Pulsaremos en Click here to continue de esta forma se iniciaraacute la descarga de
la aplicacioacuten cliente de OpenVPN Una vez descargado el ficheroopenvpn-
connect-xxxmsi lo ejecutaremos
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 123
El programa cliente de OpenVPN se instalaraacute directamente creando un acceso
directo en el escritorio y en el menuacute de inicio
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 124
Al terminar la instalacioacuten el cliente se autoejecutaraacute Para conectar al servidor
OpenVPN pulsaremos con el botoacuten secundario del ratoacuten sobre el icono del
cliente OpenVPN que se habraacute situado en el aacuterea de notificacioacuten (de color
naranja con un aspa en color gris) y seleccionaremos Connect to IP puacuteblica
Introduciremos las credenciales de acceso al servidor OpenVPN
Y por uacuteltimo aceptaremos el aviso sobre que el certificado no estaacute verificado
pulsando en Yes
Con el texto The server xxx has an UNTRUSTED SSL certificate Allow the
connection to proceed
A partir de este momento tendremos asignada una IP de la red 12727232020
y ya tendremos acceso a cualquier equipo de la red interna 19216825024
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 125
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 126
Anexo 04
WIRESHARK
Wireshark una herramienta de anaacutelisis de redes antes conocido como Ethereal
captura los paquetes en tiempo real y los muestra en formato legible por
humanos
Wireshark incluye filtros coacutedigo de colores y otras caracteriacutesticas que le permiten
profundizar en el traacutefico de red e inspeccionar los paquetes individuales
Aquiacute se mostrara los conceptos baacutesicos de la captura de paquetes filtrados y
control de dichos aparatos Puede utilizar Wireshark para inspeccionar el traacutefico
de red de un programa sospechoso analizar el flujo de traacutefico en la red o
solucionar problemas de red
Puede descargar Wireshark para Windows Linux o Mac OS X desde
httpwwwwiresharkorgdownloadhtml Si estaacute utilizando Linux u otro sistema
UNIX es probable que encuentres Wireshark en sus repositorios de
paquetes Por ejemplo si estaacutes usando Ubuntu encontraraacute Wireshark en el
Centro de Software de Ubuntu
Captura de paquetes
Despueacutes de descargar e instalar Wireshark podemos iniciar y hacer clic en el
nombre de una interfaz en la Lista de interfaz para comenzar la captura de
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 127
paquetes en esa interfaz Por ejemplo si desea capturar el traacutefico en la red
inalaacutembrica haga clic en la interfaz inalaacutembrica
Tan pronto como haga clic en el nombre de la interfaz veraacute los paquetes que
comienzan a aparecer en tiempo real Wireshark captura cada paquete enviado
desde o hacia su sistema Si estaacute capturando en una interfaz inalaacutembrica y tiene
el modo promiscuo habilitado en sus opciones de captura tambieacuten veraacute los otros
paquetes en la red
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 128
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 129
La codificacioacuten en color
Es probable que vea los paquetes resaltados en verde azul y negro Wireshark
utiliza colores para ayudarle a identificar los tipos de traacutefico de un vistazo Por
defecto el verde es el traacutefico TCP azul oscuro es el traacutefico DNS azul claro es el
traacutefico UDP y negro identifica los paquetes TCP con problemas - por ejemplo
podriacutean haber sido entregadas fuera de orden
Captura de ejemplo
Si no hay nada interesante en su propia red a inspeccionar el wiki de Wireshark
contiene una paacutegina de archivos de captura de muestra que se puede descargar
e inspeccionar
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 130
La apertura de un archivo de captura es faacutecil simplemente haga clic en Abrir en
la pantalla principal y busque el archivo Tambieacuten puede guardar sus propias
capturas de Wireshark y abrirlos maacutes tarde
Filtrado de paquetes
Si estaacute tratando de inspeccionar algo especiacutefico es probable que tenga una gran
cantidad de paquetes para filtrar Ahiacute es donde los filtros de Wireshark sirven
La forma maacutes baacutesica para aplicar un filtro es escribiendo en la caja del filtro en
la parte superior de la ventana y hacer clic en Aplicar (o pulsando Enter) Por
ejemplo escriba dns y veraacutes paquetes DNS solamente Cuando empiezas a
escribir Wireshark le ayudaraacute Autocompletar su filtro
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 131
Tambieacuten puede hacer clic en el menuacute Analizar y seleccione Mostrar Filtros para
crear un nuevo filtro
Otra cosa interesante que puede hacer es click derecho en un paquete y
seleccione Follow TCP Stream
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 132
Vas a ver la conversacioacuten completa entre el cliente y el servidor
Cerramos la ventana y encontraremos que un filtro se ha aplicado de forma
automaacutetica y que se muestran los paquetes que componen la conversacioacuten
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 133
Inspeccioacuten de Paquetes
Hacemos click en un paquete para seleccionarlo y se puede visualizar hacia
abajo para ver sus detalles
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 134
Tambieacuten podemos crear filtros aquiacute - simplemente hacer click derecho en uno de
los detalles y utilizar el submenuacute Aplicar como filtro para crear un filtro basado
en eacutel
Anaacutelisis comparativo de teacutecnicas de cifrado utilizadas en la confidencialidad de la informacioacuten
en una Red Privada Virtual
Escuela Profesional de Ingenieriacutea de Sistemas Paacutegina 135
Wireshark es una herramienta muy potente Los profesionales lo utilizan para
depurar las implementaciones de protocolo de red examinar los problemas de
seguridad e inspeccionar partes internas del protocolo de red