2.1 TECNOLOGÍAS DE ENCRIPTACIÓN
La tecnología de encriptación
permite la transmisión segura de información a través de internet, al codificar
los datos transmitidos usando una fórmula matemática que “desmenuza” los datos.
Sin el decodificador adecuado, la transmisión luciría como un texto sin ningún
sentido, el cual resulta completamente inútil.
La
tecnología de encriptación se usa para una variedad de aplicaciones, tales
como: comercio electrónico, envío de correo electrónico y protección de
documentos confidenciales.
La
encriptación básica envuelve la transmisión de datos de una parte a la otra.
Quien envía la información la codifica al “desmenuzarla” y enviarla de esta
manera. El receptor decodifica los datos con el decodificador adecuado, para
poder así leerla y usarla.
La
efectividad, o nivel de seguridad, de la encriptación se mide en términos del
tamaño de la clave (mientras más larga es la clave, mayor sería el tiempo que
le tomaría a una persona sin el decodificador correcto para decodificar el
mensaje). Esto se mide en bits (por ejemplo, el nivel de encriptación utilizado
por los sistemas de banca en línea en el país es de 40-bits, mientras que el
nivel de encriptación de Citibank Online es de 128-bits). Para una clave de
40-bits existen 240 posibles combinaciones distintas. Para una clave de
128-bits (el nivel de encriptación utilizado en Citibank Online) existen 2128
posibles combinaciones distintas. En opinión de Netscape, la encriptación de
128-bits es 309.485.009.821.345.068.724.781.056 veces más poderosa que la
encriptación de 40-bits.
2.2. VALIDACIÓN Y FIRMAS DIGITALES
La Firma Digital es una
modalidad de firma electrónica, resultado de una operación matemática que
utiliza algoritmos de criptografía asimétrica y permite inferir, con seguridad,
el origen y la integridad del documento.
Procedimiento:
1. Cálculo del resumen del mensaje: Un valor de
“hash” del mensaje (comúnmente denominado resumen del mensaje o “mensaje
digest”) es calculado por la aplicación de un algoritmo criptográfico de
hashing (Ej. MD2, MD4, MD5, SHA1, etc.). El valor de hash calculado de un
mensaje es una secuencia de bits, usualmente con un tamaño fijo, extraído de
alguna forma del mensaje.
2. Cálculo de la firma digital: La información
obtenida en el primer paso (resumen del mensaje) es cifrada con la llave
privada de la persona que firma el mensaje y así un el valor que es obtenido
conforma la firma digital. Para el cálculo de la firma digital de un
determinado resumen es utilizado un algoritmo critpográfico. Los algoritmos frecuentemente
utilizados son RSA (basado en la teoría de los números), DSA (basado en la
teoría de los logaritmos discretos) o el ECDSA (basado en la teoría de las
curvas elípticas).
Verificación de la firma
digital
La tecnología de la firma digital permite al
receptor de un mensaje, con una firma digital, verificar su integridad. El
proceso de verificación busca determinar si un mensaje fue firmado por la llave
privada que corresponde a una dada llave pública. La verificación de la firma
digital no puede determinar si un mensaje fue firmado por una determinada
entidad, para ello se precisaría obtener la llave pública de alguna manera
segura (CD, o procedimientos estipulados).
Procedimiento:
1. Cálculo del valor corriente del hash
Calcular un valor de hash del mensaje firmado: para
este cálculo es usado el mismo algoritmo tal cual fue aplicado en el proceso de
generación de la firma digital. El valor obtenido es denominado valor de hash
corriente, pues él es creado a partir del estado actual del mensaje.
2. Calcular el valor original del hash
La firma digital es descifrada con el mismo
algoritmo utilizado durante la generación de la firma digital. El descifrado es
realizado con la llave pública asociada a la llave privada utilizada durante la
firma del mensaje. Como resultado, se obtiene el valor original de hash que fue
calculado del mansaje original durante el primer paso de la creación de la
firma digital (el valor original del resumen del mensaje – valor de hash).
3. Comparar el valor corriente original de hash
Comparar el valor corriente del hash obtenido en el
primer paso con el valor original del hash obtenido en el segundo paso. Si los
dos valores son idénticos, prueba que el mensaje fue firmado con la llave
privada que corresponde a la llave pública usada en la certificación.
Certificado Digital
El certificado digital es un documento conteniendo
datos de identificación de la persona o institución que desea comprobar su
propia identidad como así también confirmar la identidad de terceros.
Los certificados digitales vinculan un par de
llaves electrónicas que pueden ser usadas para criptografiar y firmar
información digital. Usados en conjunto con la criptografìa, éstos proveen una
solución de seguridad que permiten asegurar la identidad de una o de todas las
partes comprometidas en una transacción.
Los certificados digitales evitan tentativas de
substitución de una llave pública por otra. Para evitar que esto ocurra, se
hace necesario el uso de certificados digitales de llave pública, ya que estos
garantizan seguridad y autenticidad a aquellos que acceden a redes inseguras,
previniendo el acceso a datos confidenciales.
El certificado del destinatario contiene algo más
que su llave pública, contiene información sobre el destinatario como: su nombre,
dirección, etc. Es firmado por alguien en quien el origen deposita su confianza
denominada autoridad de certificación (Certification Authority), que funciona
como un registro electrónico.
El certificado digital funciona de la siguiente
forma:
Se debe localizar la llave pública de la persona
con quien se desea comunicar y Se debe obtener una garantía de que la llave
pública encontrada sea proveniente del destinatario.
2.3 FIREWALLS Y VIRTUAL PRIVATE NETWORK, (VPN).
La Red Privada Virtual (RPV), en inglés Virtual
Private Network (VPN), es una tecnología de red que permite una extensión de la
red local sobre una red pública o no controlada, como por ejemplo Internet.
Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una
empresa utilizando como vínculo Internet, permitir a los miembros del equipo de
soporte técnico la conexión desde su casa al centro de cómputo, o que un
usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo
un hotel. Todo ello utilizando la infraestructura de Internet.
Medios
Para hacerlo posible de manera segura es necesario
proporcionar los medios para garantizar la autenticación, integridad y
confidencialidad de toda la comunicación:
• Autenticación y autorización: ¿Quién está del
otro lado? Usuario/equipo y qué nivel de acceso debe tener.
• Integridad: La garantía de que los datos enviados
no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos
de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA).
• Confidencialidad: Dado que los datos viajan a
través de un medio tan hostil como Internet, dichos datos son susceptibles de
intercepción, por lo que resulta fundamental el cifrado de los mismos. De este
modo, la información no debe poder ser interpretada por nadie más que los
destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data
Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard
(AES).
• No repudio: es decir, un mensaje tiene que ir
firmado, y el que lo firma no puede negar que el mensaje lo envió él.
* Requerimientos básicos
• Identificación de usuario: las VPN deben
verificar la identidad de los usuarios y restringir su acceso a aquellos que no
se encuentren autorizados.
• Codificación de datos: los datos que se van a
transmitir a través de la red pública (Internet), antes deben ser cifrados,
para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de
cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor.
• Administración de claves: las VPN deben
actualizar las claves de cifrado para los usuarios.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión
VPN:
· VPN de acceso remoto
Es quizás el modelo más usado actualmente y
consiste en usuarios o proveedores que se conectan con la empresa desde sitios
remotos (oficinas comerciales, domicilios, hoteles, aviones preparados,
etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados
tienen un nivel de acceso muy similar al que tienen en la red local de la
empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura
dial-up (módems y líneas telefónicas).
· VPN punto a punto
Este esquema se utiliza para conectar oficinas
remotas con la sede central de la organización. El servidor VPN, que posee un
vínculo permanente a Internet, acepta las conexiones vía Internet provenientes
de los sitios y establece el túnel VPN. Los servidores de las sucursales se
conectan a Internet utilizando los servicios de su proveedor local de Internet,
típicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones
internacionales. Es más común el punto anterior, también llamada tecnología de
túnel o tunneling.
· TUNNELING
Internet se construyó desde un principio como un
medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir
datos de una máquina a otra a través de la red carecen de algún tipo de cifrado
o medio de seguridad que evite que nuestras comunicaciones puedan ser
interceptadas y espiadas. HTTP, FTP, POP3 y otros muchos protocolos ampliamente
usados, utilizan comunicaciones que viajan en claro a través de la red. Esto
supone un grave problema, en todas aquellas situaciones en las que queremos
transferir entre máquinas información sensible, como pueda ser una cuenta de
usuario (nombre de usuario y contraseña), y no tengamos un control absoluto
sobre la red, a fin de evitar que alguien pueda interceptar nuestra
comunicación por medio de la técnica del hombre en el medio (man in the
middle), como es el caso de la Red de redes.
El problema de los protocolos que envían sus datos
en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso
físico a la red en la que se sitúan las máquinas puede ver dichos datos. De
este modo, alguien que conecte su máquina a una red y utilice un sniffer
recibirá y podrá analizar por tanto todos los paquetes que circulen por dicha
red. Si alguno de esos paquetes pertenece a un protocolo que envía sus
comunicaciones en claro, y contiene información sensible, dicha información se
verá comprometida.
Si por el contrario, se cifran las comunicaciones
con un sistema que permita entenderse sólo a las dos máquinas que son
partícipes de la comunicación, cualquiera que intercepte desde una tercera
máquina los paquetes, no podrá hacer nada con ellos, al no poder descifrar los
datos. Una forma de evitar este problema, sin dejar por ello de utilizar todos
aquellos protocolos que carezcan de medios de cifrado, es usar una técnica
llamada tunneling.
Básicamente, esta técnica consiste en abrir
conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser
SSH (Secure S Hell?), a través de las cuales realizaremos las transferencias inseguras, que
pasarán de este modo a ser seguras. De esta analogía viene el nombre de la
técnica, siendo la conexión segura (en este caso de ssh) el túnel por el cual
se envían los datos para que nadie más aparte de los interlocutores que se
sitúan a cada extremo del túnel, pueda ver dichos datos. Este tipo de técnica
requiere de forma imprescindible tener una cuenta de acceso seguro en la
máquina con la que se quiere comunicar los datos.
· VPN interna WLAN
Este esquema es el menos difundido pero uno de los
más poderosos para utilizar dentro de la empresa. Es una variante del tipo
“acceso remoto” pero, en vez de utilizar Internet como medio de conexión,
emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas
y servicios de la red interna. Esta capacidad lo hace muy conveniente para
mejorar las prestaciones de seguridad de las redes inalámbricas (Wi Fi?).
Un ejemplo clásico es un servidor con información
sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual
provee autenticación adicional más el agregado del cifrado, haciendo posible
que sólo el personal de recursos humanos habilitado pueda acceder a la
información.
¿Por qué VPN?
Las VPN son una salida al costo que puede
significar el pagar una conexión de alto costo, para usar líneas alquiladas que
estén conectadas a otros puntos que puedan hacer uso de la conexión a Internet
o para hacer negocios con clientes frecuentes a través de la red.
Los datos son codificados o cifrados e
inmediatamente enviados a través de la conexión, para de esa manera asegurar la
información y la contraseña que se esté enviando.
Esta tecnología proporciona un medio para
aprovechar un canal público de Internet como un canal privado o propio para
comunicar datos que son privados. Más aún, con un método de codificación y
encapsulamiento, una VPN básica, crea un camino privado a través de Internet.
Esto reduce el trabajo y riesgo en una gestión de red.
La tecnología de túneles esta basado en estándares.
Esta tecnología permite transmitir datos entre dos redes similares. A esto
también se llama “encapsulación”, es decir, a la tecnología que coloca algún
tipo de paquetes dentro de otro protocolo (TCP). Aparte de todo esto, también
se añade otra información necesaria para poder descifrar la información que se
encuentra codificada. Estos paquetes llegan a su destino después de haber
atravesado Internet, pero para verificar que ha llegado al destino correcto se
realiza un proceso de autentificación.
Las VPNs son una gran solución a distintos
problemas, pero solo en el campo de la economía de los usuarios porque por
ejemplo en el caso de que se realice una conexión entre dos sedes de empresas,
una en Japón y la otra en Chile, sería muy costoso el realizar un cableado
entre estos dos países, y un enlace inalámbrico satelital sería muy costoso. Es
por ello que una red privada virtual es más económica porque solo se hace uso
de Internet que es un conjunto de redes conectadas entre si.
Coste
La principal motivación del uso y difusión de esta
tecnología es la reducción de los costos de comunicaciones directos, tanto en
líneas analógicas (dial-up) como en vínculos WAN dedicados. Los costos se
reducen drásticamente en estos casos:
• En el caso de accesos remotos, llamadas locales a
los ISP (Internet Service Provider) en vez de llamadas de larga distancia a los
servidores de acceso remoto de la organización. O también mediante servicios de
banda ancha.
• En el caso de conexiones punto a punto,
utilizando servicios de banda ancha para acceder a Internet, y desde Internet
llegar al servidor VPN de la organización. Todo esto a un costo sensiblemente
inferior al de los vínculos WAN dedicados.
Implementaciones
El protocolo estándar de hecho es el IPSEC, pero
también tenemos PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y
desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes
soportados.
Actualmente hay una línea de productos en
crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más
amigable la configuración y operación de estas soluciones.
• Las soluciones de hardware casi siempre ofrecen
mayor rendimiento y facilidad de configuración, aunque no tienen la
flexibilidad de las versiones por software. Dentro de esta familia tenemos a
los productos de Sonic WALL?, Watch Guard?, Nortel, Cisco, Linksys, Netscreen, Symantec, Nokia, U.S. Robotics,
D-link, etc.
• Las aplicaciones VPN por software son las más
configurables y son ideales cuando surgen problemas de interoperatividad en los
modelos anteriores. Obviamente el rendimiento es menor y la configuración más
delicada, porque se suma el sistema operativo y la seguridad del equipo en
general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, Linux y
los Unix en general. Por ejemplo productos de código abierto como Open SSH?, Open VPN? y Free S?/Wan.
En ambos casos se pueden utilizar soluciones de
firewall (cortafuegos en castellano), obteniendo un nivel de seguridad alto por
la protección que brinda, en detrimento del rendimiento.
Ventajas
• Integridad, confidencialidad y seguridad de
datos.
• Las VPN reducen los costes y son sencillas de
usar.
• Facilita la comunicación entre dos usuarios en
lugares distantes.
Tipos de conexión
· Conexión de acceso remoto
Una conexión de acceso remoto es realizada por un
cliente o un usuario de una computadora que se conecta a una red privada, los
paquetes enviados a través de la conexión VPN son originados al cliente de
acceso remoto, y este se autentica al servidor de acceso remoto, y el servidor
se autentica ante el cliente.
· Conexión VPN router a
router
Una conexión VPN router a router es realizada por
un router, y este a su vez se conecta a una red privada. En este tipo de
conexión, los paquetes enviados desde cualquier router no se originan en los
routers. El router que realiza la llamada se autentifica ante el router que
responde y este a su vez se autentica ante el router que realiza la llamada y
también sirve para la intranet.
· Conexión VPN firewall ASA
a firewall ASA
Una conexión VPN firewall ASA a firewall ASA es
realizada por uno de ellos, y éste a su vez se conecta a una red privada. En
este tipo de conexión, los paquetes son enviados desde cualquier usuario en
Internet. El firewall que realiza la llamada se autentica ante el que responde
y éste a su vez se autentica ante el llamante.
Un firewall o cortafuegos se utiliza para proteger la red interna de
intentos de acceso no autorizados desde Internet, que puedan aprovechar
vulnerabilidades de los sistemas de la red interna.
Los firewalls pueden disfrazar la identidad
de su computadora para que los intentos de intrusión o rastreo de su
computadora por parte de los allanadores no regresen el tipo de información que
facilita la invasión.
La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet.
Uno de los motivos por los cuales alguien allanaría su computadora es por ejemplo para obtener acceso a su información privada.
Hay 3 tipos de firewalls:
La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet.
Uno de los motivos por los cuales alguien allanaría su computadora es por ejemplo para obtener acceso a su información privada.
Hay 3 tipos de firewalls:
- Firewalls personales (o de software). Tiene un costo
módico. Los más conocidos: Microsoft, Symantec, McAfee, Zone Labs, Sygate
y Internet Security Systems.
- Enrutadores de Hardware. Aunque no son verdaderas firewalls
realizan ciertas funciones, como la de disfrazar la dirección y puertos de
su computadora a los intrusos. Se puede conectar desde uno a cuatro
accesorios de computación.
- Firewalls de Hardware. Son más caros y complejos de manejar,
los firewalls de Hardware son más apropiados para negocios que tienen
múltiples computadoras conectadas.
CÓMO MANTENER SU FIREWALL EN
ÓPTIMAS CONDICIONAS
- Cuando no esté
utilizando la conexión, apáguela.
- Actualizaciones
de software. Vaya al Sitio Web del vendedor de su firewall, y suscríbase
para recibir avisos de actualizaciones.
- Revise las
bitácoras. Esté atento de la cantidad de tráfico que está rebotando su
firewall.
2.4
PROTOCOLOS DE SEGURIDAD.
Un protocolo de seguridad define las reglas que
gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar
ataques de carácter malicioso.
Protegerse contra todos los ataques posibles es generalmente
muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con
respecto a los riesgos a los cuales el sistema está expuesto.
Existen varios protocolos posibles. Las distintas
compañías que instalan y administran este tipo de redes eligen unos u otros
protocolos. En todos los casos se crean túneles entre origen y destino. Dentro
de estos túneles viaja la información, bien por una conexión normal (en este
caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP Sec es uno de los más empleados. Este se basa en GRE
que es un protocolo de tunneling. Este protocolo también se utiliza de forma
conjunta con otros protocolos como PPTP.
Generic Routing Encapsulation (GRE 47)
Point-to-Point Tunneling Protocol (PPTP)
IP Sec
Protocolo de tunelado nivel 2 (L2TP)
Secure shell (SSH)
Generic Routing Encapsulation (GRE 47)
Es el protocolo de Encapsulación de Enrutamiento
Genérico. Se emplea en combinación con otros protocolos de túnel para crear
redes virtuales privadas.
El GRE está documentado en el RFC 1701 y el RFC
1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y
simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de
IP que usa el protocolo IP 47.
Este protocolo es normalmente usado con VPN de
Microsoft entre servidores con acceso remoto (RRAS) configurados para el
enrutamiento entre redes de área local.
Esquema:
GRE se encarga del encapsulamiento de los datos
para enviarlos por un túnel, pero él no crea no los túneles, de eso de encarga
el protocolo PPTP u otro que estemos empleando.
El proceso de encapsulamiento tienen los siguientes
pasos:
El paquete IP con los datos se transmite desde el
Ecliente al servidor E-RRAS.
Se le añade la cabecera del PPP y se cifra todo
junto obteniendo un ‘fragmento PPP’.
Los datos cifrados se colocan dentro de un paquete
GRE con su correspondiente cabecera.
Se envía el paquete GRE del servidor E-RRAS al
servidor R-RRAS a través de Internet.
Este envía se realiza por una conexión VPN creada
anteriormente.
El servidor R-RRAS elimina el encabezados GRE,
descifra, elimina el encabezado PPP y transmite los datos (paquete IP) a el
Rcliente.
Los datos cifrados se colocan dentro de un paquete
GRE con su correspondiente cabecera.
Esquema: Formato de un paquete GRE
Point-to-Point Tunneling Protocol
El Protocolo de Túnel Punto a Punto (PPTP)
encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point
Protocol, PPP) con datagramas IP para transmitirlos por una red IP como
Internet o una intranet privada.
El PPTP utiliza una conexión TCP conocida como la
conexión de control de PPTP para crear, mantener y terminar el túnel, y una
versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos
para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas
o comprimidas o ambas cosas.
El PPTP supone la disponibilidad de una red IP
entre un cliente PPTP (un cliente de túnel que utiliza el protocolo PPTP) y un
servidor PPTP (un servidor de túnel que utiliza el protocolo PPTP). El cliente
PPTP podría estar ya conectado a una red IP por la que puede tener acceso al
servidor PPTP, o podría tener que llamar telefónicamente a un servidor de
acceso de red (Network Access Server, NAS) para establecer la conectividad IP
como en el caso de los usuarios de accesos telefónicos para Internet.
La autentificación que ocurre durante la creación
de una conexión VPN con PPTP utiliza los mismos mecanismos de autentificación
que las conexiones PPP, tales como el Protocolo de Autentificación Extendible
(Extensible Authentication Protocol, EAP), el Protocolo de Autentificación con
Reto/Negociación de Microsoft (Microsoft Challenge-Handshake Authentication
Protocol, MS-CHAP), el CHAP, el Protocolo de Autentificación de Claves Shiva
(Shiva Password Authentication Protocol, SPAP) y el Protocolo de
Autentificación de Claves (Password Authentication Protocol, PAP). El PPTP
hereda la encriptación, la compresión o ambas de las cargas PPP del PPP. Para
servidores PPTP sobre Internet, el servidor PPTP es un servidor VPN con PPTP
con una interfase con Internet y una segunda interfase con la intranet.
IP Sec
IP Sec es un grupo de extesiones de la familia del
protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un
modo transparente a las aplicaciones superiores.
IP Sec está ya explicado en su trabajo
correspondiente: I Pv 6 e IP Sec
Protocolo de tunelado de nivel 2 (L2TP)
Es un componente de creación importante para las
VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para
la creación de VPNs. L2TP combina las mejores funciones de los otros dos
protocolos tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling
(PPTP) de Microsoft. L2TP es un estándar
emergente, que se encuentra actualmente en codesarrollo y que cuenta con el
respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la
industria de la conectividad.
A continuación una serie de términos relacionados
con este protocolo:
L2TP Access Concentrator (LAC): Se añade un
dispositivo LAC a los componentes físicos de la red conmutada; como la red
telefónica convencional o RDSI, o se coloca con un sistema de terminación PPP
capaz de gestionar el protocolo L2TP. Un LAC sólo necesita implementar el medio
sobre el cual opera el L2TP para admitir el tráfico de una o más LNS. Puede
“tunelizar” cualquier protocolo que incluya el PPP. LAC es el iniciador de las
llamadas entrantes y el receptor de las llamadas salientes.
L2TP Network Server (LNS): Un LNS opera sobre
cualquier plataforma con capacidad de terminación PPP. LNS gestiona el lado del
servidor del protocolo L2TP. Ya que L2TP se apoya sobre el medio al que llegan
los túneles L2TP, LNS sólo puede tener un único interfaz LAN o WAN, aunque es
capaz de terminar las llamadas entrantes en cualquiera de la amplia gama de los
interfaces PPP LAC (asíncronos, RDSI, PPP sobre ATM, PPP sobre Frame Relay).
Network Access Server (Servidor de acceso a la
red): NAS es un dispositivo que proporciona a los usuarios acceso temporal a la
red bajo demanda. Este acceso es punto a punto, de uso típico en líneas de la
red telefónica convencional o RDSI. En la implementación Cisco, un NAS sirve
como LAC.
Secure shell (SSH)
Tradicionalmente en sistemas Unix en el momento de
entrar en el sistema, tanto el login como el password, así como el resto de la
sesión, se transmiten a través de nuestra LAN o incluso a través de routers y
nodos ajenos al nuestro en texto claro. Esto quiere decir que cualquiera que
tenga activado un sniffer puede capturar nuestras sesiones con el potencial
peligro que ello conlleva. La manera de evitar que alguien pueda espiar
nuestras claves y sesiones, es utilizar una herramienta muy potente, fácil de
instalar y muy cómoda para el usuario.
ssh/sshd actúan basándose en la arquitectura
cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un
puerto (el defecto es el 22) a la espera de que alguien utilizando un cliente
ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo.
Todo es como en una sesión telnet tradicional, pero
con la particularidad de que todas las comunicaciones serán encriptadas. El
manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay
que introducir el servidor al que te quieres conectar (por ejemplo
fanelli.sindominio.net) y que algoritmo de encriptación quieres usar (por
ejemplo 3DES). Si no se dispone de un programa cliente de SSH, puede bajarse de
Internet.
Los programas que vienen con la distribución son:
sshd Es el servidor propiamente dicho, escucha a la
espera de conexiones.
ssh Es el cliente, con él nos podemos conectar a un
servidor sshd así como ejecutar comandos.
scp Copia archivos con seguridad entre hosts.
(Sustituto ideal de rcp) .
ssh-keygen Usado para crear RSA keys (host keys y
user authentication keys).
ssh-agent Agente de autentificación (Usado para
manejar RSA keys en la autentificación).
ssh-add Se usa para añadir nuevas llaves con el
agente.
make-ssh-known-hosts Usado para crear el archivo
/etc/ssh_known_hosts .
