2. Red Privada Virtual (VPN)
Una red privada virtual (VPN) es un método para establecer conexión con una red
privada (por ejemplo, la red de su oficina) mediante una red pública (como
Internet).
Una VPN combina las ventajas de una conexión de acceso telefónico a un servidor
con la facilidad y flexibilidad de una conexión a Internet. Una conexión a Internet le
permite conectarse a recursos de todo el mundo y además, en la mayoría de los
sitios, le permite conectarse a su oficina haciendo una llamada local al número de
teléfono de acceso a Internet más cercano. Si dispone de una conexión a Internet
de alta velocidad como un cable o una línea de suscriptores digitales (DSL) en su
equipo y en su oficina, puede comunicarse con su oficina a la máxima velocidad de
Internet. Esto es mucho más rápido que cualquier conexión de acceso telefónico
que utilice un módem analógico.
3. Las redes VPN SSL y VPN IPsec se han convertido en las
principales soluciones de redes privadas virtuales para
conectar oficinas remotas, usuarios remotos y partners
comerciales, porque:
Proporcionan comunicaciones seguras con derechos de acceso
adaptados a usuarios individuales, tales como empleados,
contratistas y partners
Aumentan la productividad al ampliar el alcance de las redes y
aplicaciones empresariales
Reducen los costos de comunicación y aumentan la flexibilidad
4. Características básicas de la seguridad
Para hacerlo posible de manera segura es necesario proporcionar
los medios para garantizar la autentificación, integridad de toda la
comunicación:
Autentificación y autorización: ¿Quién está del otro lado?
Usuario/equipo y qué nivel de acceso debe tener.
Integridad: de que los datos enviados no han sido alterados. Para
ello se utiliza funciones de Hash. Los algoritmos de hash más
comunes son los Message Digest (MD2 y MD5) y el Secure Hash
Algorithm (SHA).
Confidencialidad: Dado que sólo puede ser interpretada por los
destinatarios de la misma. Se hace uso de algoritmos de cifrado
como Data Encryption Standard (DES), Triple DES (3DES) y Advanced
Encryption Standard (AES).
No repudio: es decir, un mensaje tiene que ir firmado, y quien lo
firma no puede negar que envió el mensaje.
5. Requisitos básicos
Identificación de usuario: las VPN deben verificar la identidad
de los usuarios y restringir su acceso a aquellos que no se
encuentren autorizados.
Cifrado de datos: los datos que se van a transmitir a través de
la red pública (Internet), antes deben ser cifrados, para que así
no puedan ser leídos si son interceptados. Esta tarea se realiza
con algoritmos de cifrado como DES o 3DES que sólo pueden
ser leídos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves
de cifrado para los usuarios.
Nuevo algoritmo de seguridad SEAL.
8. La comunicación entre los dos extremos de la red privada
a través de la red pública se hace estableciendo túneles
virtuales entre esos dos puntos y usando sistemas de
encriptación y autentificación que aseguren la
confidencialidad e integridad de los datos transmitidos a
través de esa red pública. Debido al uso de estas,
generalmente Internet, es necesario prestar especial
atención a las cuestiones de seguridad para evitar accesos
no deseados.
10. La autenticación en redes virtuales es similar al sistema de
inicio de sesión a través de usuario y contraseña, pero tiene
unas necesidades mayores de aseguramiento de validación
de identidades.
La mayoría de los sistemas de autenticación usados en VPN
están basados en sistema de claves compartidas.
La autenticación se realiza normalmente al inicio de una
sesión, y luego, aleatoriamente, durante el transcurso de la
sesión, para asegurar que no haya algún tercer participante
que se haya podido entrometer en la conversación.
11.
12.
13.
14.
15. Técnicas de encriptación
Encriptación con clave secreta se utiliza una contraseña secreta
conocida por todos los participantes que van a hacer uso de la
información encriptada. La contraseña se utiliza tanto para encriptar
como para desencriptar la información.
La encriptación de clave pública implica la utilización de dos claves,
una pública y una secreta. La primera es enviada a los demás
participantes. Al encriptar, se usa la clave privada propia y la clave
pública del otro participante de la conversación. Al recibir la
información, ésta es desencriptada usando su propia clave privada y
la pública del generador de la información
16. Configuración de una VPN
La mayor parte de aplicaciones de este estilo trabajan
usando un esquema Cliente-Servidor. Esto significa que
habrá que configurar los dos extremos de la
comunicación, en un extremo tendremos la máquina que
va a funcionar como servidor, es decir, la máquina a la
que nos vamos a conectar, y en el otro un cliente que es
la que usaremos para conectarnos.
A continuación se presenta la configuración del Servidor:
39. VPN de acceso remoto
Consiste en usuarios o proveedores que se conectan con la empresa
desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones
preparados) utilizando Internet como vínculo de acceso.
Una vez autenticados tienen un nivel de acceso muy similar al que
tienen en la red local de la empresa. Muchas empresas han
reemplazado con esta tecnología su infraestructura dial-
up (módems y líneas telefónicas).
40. VPN de punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los
servicios de su proveedor local de Internet, típicamente mediante conexiones
de banda ancha.
Esto permite eliminar los costosos vínculos punto a punto tradicionales,
realizados comúnmente mediante conexiones de cable físicas entre los nodos,
sobre todo en las comunicaciones internacionales. Es más común la tecnología
de túnel o tunneling.
41. VPN over LAN
Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la
misma red de área local (LAN) de la empresa.
Sirve para aislar zonas y servicios de la red interna. Esta
capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalámbricas
(WIFI).
Un ejemplo clásico es un servidor con información
sensible, como las nóminas de sueldos, ubicado detrás
de un equipo VPN, haciendo posible que sólo el
personal de recursos humanos habilitado pueda
acceder a la información.
Otro es la conexión a redes Wi-Fi haciendo uso de
túneles cifrados que además de pasar por los métodos
de autenticación tradicionales (WEP, WPA, etc.)
agregan las credenciales de seguridad del túnel VPN
creado en la LAN interna o externa.
42. Implementaciones
El protocolo estándar de facto es el IPSEC, pero también
están PPTP, L2F, L2TP, SSL/TLS, SSH, entre otros. Cada uno con
características específicas.
Las soluciones de hardware casi siempre ofrecen mayor rendimiento y
facilidad de configuración, aunque no tienen la flexibilidad de las
versiones por software.
Dentro de esta familia tenemos a los productos de Fortinet,
SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Symantec,
Nokia, U.S. Robotics, entre otros
Las aplicaciones VPN por software son las más configurables y son
ideales cuando surgen problemas de interoperatividad en los modelos
anteriores. Obviamente el rendimiento es menor y la configuración
más delicada, porque se suma el sistema operativo y la seguridad del
equipo en general.
43. Ventajas
Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares
distantes.
44.
45. Conexión de Acceso Remoto
o Una conexión de acceso remoto es realizada
por un cliente o un usuario de
una computadora que se conecta a una red
privada, los paquetes enviados a través de la
conexión VPN son originados al cliente de
acceso remoto, y éste se autentifica al
servidor de acceso remoto, y el servidor se
autentifica ante el cliente.
46. Conexión VPN Router a Router
o Es realizada por un router, y este a su vez se conecta a una
red privada.
En este tipo de conexión, los paquetes enviados desde
cualquier router no se originan en los routers. El router que
realiza la llamada se autentifica ante el router que responde
y este a su vez se autentica ante el router que realiza la
llamada y también sirve para la intranet.
47. Conexión VPN Firewall a Firewall
o Es realizada por uno de ellos, el cual se conecta a una red privada.
En este tipo de conexión, los paquetes son enviados desde cualquier
usuario en Internet. El firewall que realiza la llamada se autentifica ante el
que responde y éste a su vez se autentifica ante el llamante.