Virtual Private Network (VPN)

El mundo ha cambiado mucho en las últimas dos décadas. En lugar de simplemente ocuparse de las preocupaciones locales o regionales, muchas empresas ahora tienen que pensar en los mercados y la logística globales.

Muchas empresas tienen instalaciones repartidas por todo el país, o incluso en todo el mundo. Pero hay una cosa que todas las empresas necesitan: una forma de mantener comunicaciones rápidas, seguras y confiables donde sea que se encuentren sus oficinas.

Hasta hace poco tiempo, la comunicación confiable significaba el uso de líneas alquiladas para mantener una red de área amplia (WAN). Las líneas arrendadas, que van desde la red digital de servicios integrados (ISDN, que funciona a 144 Kbps) hasta la fibra óptica Carrier-3 (OC3, que funciona a 155 Mbps), brindan a una empresa una forma de expandir su red privada más allá de su área geográfica inmediata.

Una WAN tiene ventajas obvias sobre una red pública como Internet cuando se trata de confiabilidad, rendimiento y seguridad; pero mantener una WAN, particularmente cuando se usan líneas alquiladas, puede resultar bastante costoso (a menudo aumenta el costo a medida que aumenta la distancia entre las oficinas). Además, las líneas alquiladas no son una solución viable para las organizaciones en las que parte de la fuerza laboral es muy móvil (como es el caso del personal de marketing) y es posible que necesite conectarse a la red corporativa de forma remota y acceder a datos confidenciales con frecuencia.

A medida que ha crecido la popularidad de Internet, las empresas han recurrido a él como un medio para ampliar sus propias redes. Primero llegaron las intranets, que son sitios diseñados para que los utilicen únicamente los empleados de la empresa.

Ahora, muchas empresas crean sus propias redes privadas virtuales (VPN) para adaptarse a las necesidades de los empleados remotos y las oficinas distantes.

Una VPN típica puede tener una red de área local (LAN) principal en la sede corporativa de una empresa, otras LAN en oficinas o instalaciones remotas y usuarios individuales que se conectan desde el campo.

Una VPN es una red privada que utiliza una red pública (generalmente Internet) para conectar usuarios o sitios remotos.

En lugar de utilizar una conexión dedicada del mundo real, como una línea alquilada, una VPN utiliza conexiones «virtuales» enrutadas a través de Internet desde la red privada de la empresa hasta el sitio remoto o el empleado.

vpn

¿Para qué sirve una VPN?

Hay dos tipos comunes de VPN:

Acceso remoto (Remote Acces):

También llamada Red privada virtual de acceso telefónico (VPDN), esta es una conexión de usuario a LAN utilizada por una empresa que tiene empleados que necesitan conectarse a la red privada desde varias ubicaciones remotas.

Por lo general, una corporación que desea configurar una gran VPN de acceso remoto proporciona algún tipo de cuenta de acceso telefónico a Internet a sus usuarios mediante un proveedor de servicios de Internet (ISP).

Luego, los teletrabajadores pueden marcar un número 1-800 para conectarse a Internet y usar su software de cliente VPN para acceder a la red corporativa.

Un buen ejemplo de una empresa que necesita una VPN de acceso remoto sería una empresa grande con cientos de vendedores en el campo.

Las VPN de acceso remoto permiten conexiones cifradas y seguras entre la red privada de una empresa y los usuarios remotos a través de un proveedor de servicios externo.

Sitio a sitio (Site-to-site)

Mediante el uso de equipos dedicados y cifrado a gran escala, una empresa puede conectar varios sitios fijos a través de una red pública como Internet.

Cada sitio solo necesita una conexión local a la misma red pública, lo que ahorra dinero en largas líneas privadas arrendadas.

Las VPN de sitio a sitio se pueden clasificar en intranets o extranets. Se dice que una VPN de sitio a sitio creada entre las oficinas de la misma empresa es una VPN de intranet, mientras que una VPN creada para conectar la empresa con su socio o cliente se denomina VPN de extranet.

Una VPN bien diseñada puede beneficiar enormemente a una empresa.

Por ejemplo, puede:

  • Ampliar la conectividad geográfica Reducir los costos operativos en comparación con las WAN tradicionales
  • Reducir los tiempos de tránsito y los costos de viaje para usuarios remotos
  • Mejorar la productividad
  • Simplificar la topología de la red
  • Brindar oportunidades de redes globales
  • Brindar soporte para teletrabajadores
  • Proporcionar un retorno de la inversión (ROI) más rápido que la WAN tradicional

¿Qué características se necesitan en una VPN bien diseñada?

Debe incorporar estos elementos:

  1. Seguridad
  2. Confiabilidad
  3. Escalabilidad
  4. Gestión de red
  5. Gestión de políticas

Analogía: Each LAN is an isLANd

Imagina que vives en una isla en un océano enorme. Hay miles de otras islas a tu alrededor, algunas muy cerca y otras más lejos. La forma normal de viajar es tomar un ferry desde su isla a cualquier isla que desee visitar. Viajar en un ferry significa que casi no tienes privacidad.

Cualquier cosa que hagas puede ser vista por otra persona. Suponga que cada isla representa una LAN privada y que el océano es Internet.Cuando viajas en ferry, es similar a cuando te conectas a un servidor web oa otro dispositivo a través de Internet.

No tienes control sobre los cables y enrutadores que forman Internet, al igual que no tienes control sobre las otras personas en el ferry.Esto lo deja susceptible a problemas de seguridad si intenta conectarse entre dos redes privadas utilizando un recurso público. Su isla decide construir un puente a otra isla para que haya una forma más fácil, segura y directa para que las personas viajen entre las dos.

Es costoso construir y mantener el puente, a pesar de que la isla con la que se conecta está muy cerca. Pero la necesidad de una ruta confiable y segura es tan grande que lo hace de todos modos.A tu isla le gustaría conectarse a una segunda isla que está mucho más lejos, pero decides que es demasiado caro. Esta situación es muy parecida a tener una línea arrendada.

Los puentes (líneas alquiladas) están separados del océano (Internet), pero pueden conectar las islas (LAN). Muchas empresas han elegido esta ruta debido a la necesidad de seguridad y confiabilidad en la conexión de sus oficinas remotas.Sin embargo, si las oficinas están muy separadas, el costo puede ser prohibitivamente alto, al igual que intentar construir un puente que se extienda a lo largo de una gran distancia.

Entonces, ¿cómo encaja VPN en esta analogía?

Podríamos regalar a cada habitante de nuestras islas su propio pequeño submarino con estas propiedades.

  • Es rápido.
  • Es fácil de llevar contigo donde quiera que vayas.
  • Es capaz de ocultarte por completo de cualquier otro barco o submarino.
  • Es confiable.
  • Cuesta poco agregar submarinos adicionales a su flota una vez que se compra el primero.

Aunque viajan en el océano junto con otro tráfico, los habitantes de nuestras dos islas podrían viajar de ida y vuelta cuando quisieran con privacidad y seguridad. Básicamente, así es como funciona una VPN.

Cada miembro remoto de su red puede comunicarse de manera segura y confiable utilizando Internet como medio para conectarse a la LAN privada. Una VPN puede crecer para adaptarse a más usuarios y diferentes ubicaciones mucho más fácilmente que una línea arrendada. De hecho, la escalabilidad es una gran ventaja que tienen las VPN sobre las líneas arrendadas típicas.

A diferencia de las líneas arrendadas donde el costo aumenta en proporción a las distancias involucradas, las ubicaciones geográficas de cada oficina importan poco en la creación de una VPN.

Tecnologías VPN

Una VPN bien diseñada utiliza varios métodos para mantener su conexión y sus datos seguros.

Data Confidentiality

(Confidencialidad de datos) este es quizás el servicio más importante proporcionado por cualquier implementación de VPN.

Dado que sus datos privados viajan a través de una red pública, la confidencialidad de los datos es vital y se puede lograr cifrando los datos.

Este es el proceso de tomar todos los datos que una computadora está enviando a otra y codificarlos en una forma que solo la otra computadora podrá decodificar. La mayoría de las VPN utilizan uno de estos protocolos para proporcionar cifrado.

IPsec

El protocolo de seguridad de Internet (IPsec) proporciona funciones de seguridad mejoradas, como algoritmos de cifrado más sólidos y una autenticación más completa. IPsec tiene dos modos de cifrado: túnel y transporte.

El modo de túnel cifra el encabezado y la carga útil de cada paquete, mientras que el modo de transporte solo cifra la carga útil. Solo los sistemas compatibles con IPsec pueden aprovechar este protocolo.

Además, todos los dispositivos deben usar una clave o certificado común y deben tener configuradas políticas de seguridad muy similares.

Para los usuarios de VPN de acceso remoto, alguna forma de paquete de software de terceros proporciona la conexión y el cifrado en la PC de los usuarios. IPsec admite cifrado de 56 bits (DES único) o de 168 bits (DES triple).

PPTP/MPPE

PPTP fue creado por PPTP Forum, un consorcio que incluye a US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP admite VPN multiprotocolo, con cifrado de 40 y 128 bits mediante un protocolo denominado Microsoft Point-to-Point Encryption (MPPE). Es importante tener en cuenta que PPTP por sí solo no proporciona cifrado de datos.

L2TP/IPsec

IPsec, proporciona la seguridad del protocolo IPsec sobre la tunelización del Protocolo de tunelización de capa 2 (L2TP). L2TP es el producto de una asociación entre los miembros del foro PPTP, Cisco y el Grupo de Trabajo de Ingeniería de Internet (IETF).

Se utiliza principalmente para VPN de acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000 proporciona un cliente IPsec y L2TP nativo.

Los proveedores de servicios de Internet también pueden proporcionar conexiones L2TP para usuarios de acceso telefónico y luego cifrar ese tráfico con IPsec entre su punto de acceso y el servidor de red de la oficina remota.

Data Integrity

Integridad de los datos: si bien es importante que sus datos estén encriptados a través de una red pública, es igual de importante verificar que no hayan sido modificados durante el tránsito. Por ejemplo, IPsec tiene un mecanismo para garantizar que la parte cifrada del paquete, o la parte completa del encabezado y los datos del paquete, no haya sido alterada. Si se detecta una manipulación, el paquete se descarta. La integridad de los datos también puede implicar la autenticación del par remoto.

Data Origin Authentication

Autenticación del origen de los datos: es extremadamente importante verificar la identidad de la fuente de los datos que se envían. Esto es necesario para protegerse contra una serie de ataques que dependen de la falsificación de la identidad del remitente.

Anti Replay

 Esta es la capacidad de detectar y rechazar paquetes reproducidos y ayuda a prevenir la suplantación de identidad.

No repudation

En ciertas transferencias de datos, especialmente aquellas relacionadas con transacciones financieras, el no repudio es una característica muy deseable. Esto es útil para prevenir situaciones en las que un extremo niega haber participado en una transacción. Al igual que un banco requiere su firma antes de pagar su cheque, el no repudio funciona al adjuntar una firma digital al mensaje enviado, lo que excluye la posibilidad de que el remitente niegue la participación en la transacción.

Data Tunneling/Traffic Flow Confidentiality

La «Tunelización» es el proceso de encapsular un paquete completo dentro de otro paquete y enviarlo a través de una red. La tunelización de datos es útil en los casos en que es deseable ocultar la identidad del dispositivo que origina el tráfico. Por ejemplo, un solo dispositivo que usa IPsec encapsula el tráfico que pertenece a varios hosts detrás de él y agrega su propio encabezado encima de los paquetes existentes.

Al cifrar el paquete y el encabezado originales (y enrutar el paquete en función del encabezado de capa 3 adicional agregado en la parte superior), el dispositivo de tunelización oculta efectivamente la fuente real del paquete. Solo el par de confianza puede determinar la verdadera fuente, después de quitar el encabezado adicional y descifrar el encabezado original.

Como se indica en RFC 2401 goingcisco.com, «… la divulgación de las características externas de la comunicación también puede ser una preocupación en algunas circunstancias. La confidencialidad del flujo de tráfico es el servicio que aborda esta última preocupación ocultando las direcciones de origen y destino, la longitud del mensaje, o frecuencia de comunicación.

En el contexto de IPsec, el uso de ESP en modo túnel, especialmente en una puerta de enlace de seguridad, puede proporcionar cierto nivel de confidencialidad del flujo de tráfico».

Todos los protocolos de cifrado enumerados aquí también utilizan túneles como medio para transferir los datos cifrados a través de la red pública. Es importante darse cuenta de que la tunelización, por sí sola, no proporciona seguridad de datos.

El paquete original simplemente se encapsula dentro de otro protocolo y aún puede verse con un dispositivo de captura de paquetes si no está encriptado. Sin embargo, se menciona aquí, ya que es una parte integral del funcionamiento de las VPN.

La tunelización requiere tres protocolos diferentes.

  1. Protocolo de pasajeros: los datos originales (IPX, NetBeui, IP) que se transportan.
  2. Protocolo de encapsulación: el protocolo (GRE, IPsec, L2F, PPTP, L2TP) que envuelve los datos originales.
  3. Protocolo de operador: el protocolo utilizado por la red a través de la cual viaja la información.

El paquete original (protocolo de pasajeros) se encapsula dentro del protocolo de encapsulación, que luego se coloca dentro del encabezado del protocolo del operador (generalmente IP) para la transmisión a través de la red pública. Tenga en cuenta que el protocolo de encapsulación también suele llevar a cabo el cifrado de los datos. Los protocolos como IPX y NetBeui, que normalmente no se transferirían a través de Internet, se pueden transmitir de forma segura.

Para las VPN de sitio a sitio, el protocolo de encapsulación suele ser IPsec o Encapsulación de enrutamiento genérico (GRE). GRE incluye información sobre qué tipo de paquete está encapsulando e información sobre la conexión entre el cliente y el servidor.

Para las VPN de acceso remoto, la tunelización normalmente se realiza mediante el protocolo punto a punto (PPP). Parte de la pila TCP/IP, PPP es el portador de otros protocolos IP cuando se comunica a través de la red entre la computadora host y un sistema remoto. La tunelización PPP utilizará uno de PPTP, L2TP o el reenvío de capa 2 (L2F) de Cisco.

AAA

AAA: la autenticación, la autorización y «accounting» se utilizan para un acceso más seguro en un entorno de VPN de acceso remoto. Sin autenticación de usuario, cualquiera que se siente frente a una computadora portátil/PC con un software de cliente VPN preconfigurado puede establecer una conexión segura a la red remota. Sin embargo, con la autenticación de usuario, también se debe ingresar un nombre de usuario y una contraseña válidos antes de que se complete la conexión. Los nombres de usuario y las contraseñas se pueden almacenar en el propio dispositivo de terminación de VPN o en un servidor AAA externo, que puede proporcionar autenticación a muchas otras bases de datos, como Windows NT, Novell, LDAP, etc.

Cuando llega una solicitud para establecer un túnel desde un cliente de acceso telefónico, el dispositivo VPN solicita un nombre de usuario y una contraseña. Luego, esto puede autenticarse localmente o enviarse al servidor AAA externo, que verifica:

Quién eres (Autenticación)

Lo que se le permite hacer (Autorización)

Lo que realmente haces (Accounting/Contabilidad)

La información de la cuenta (accounting) es especialmente útil para rastrear el uso del cliente con fines de auditoría de seguridad, facturación o generación de informes.

Existe una serie de protocolos que se pueden utilizar para crear una solución VPN. Todos estos protocolos proporcionan algún subconjunto de los servicios enumerados en este documento. La elección de un protocolo depende del conjunto de servicios deseado. Por ejemplo, una organización puede sentirse cómoda con la transferencia de datos en texto claro, pero extremadamente preocupada por mantener su integridad, mientras que otra organización puede considerar que mantener la confidencialidad de los datos es absolutamente esencial. Por lo tanto, su elección de protocolos podría ser diferente. Para obtener más información sobre los protocolos disponibles y sus fortalezas relativas, consulte ¿Qué solución VPN es adecuada para tu empresa?.

Productos VPN

Según el tipo de VPN (acceso remoto o sitio a sitio), debe implementar ciertos componentes para construir su VPN.

Estos pueden incluir:

  • Cliente de software de escritorio para cada usuario remoto
  • Hardware dedicado como Cisco VPN Concentrator o Cisco Secure PIX Firewall
  • Servidor VPN dedicado para servicios de acceso telefónico
  • Servidor de acceso a la red (NAS) utilizado por el proveedor de servicios para el acceso VPN de usuarios remotos
  • Centro de administración de políticas y redes privadas

Debido a que no existe un estándar ampliamente aceptado para implementar una VPN, muchas empresas han desarrollado soluciones llave en mano por su cuenta.

Por ejemplo, Cisco ofrece varias soluciones VPN que incluyen:

Concentrador de VPN:

Incorporando las técnicas de encriptación y autenticación más avanzadas disponibles, los concentradores de VPN de Cisco están diseñados específicamente para crear una VPN de acceso remoto o de sitio a sitio e, idealmente, se implementan donde se requiere que un solo dispositivo maneje una gran cantidad de dispositivos. de túneles VPN. El concentrador VPN se desarrolló específicamente para abordar el requisito de un dispositivo VPN de acceso remoto especialmente diseñado. Los concentradores brindan alta disponibilidad, alto rendimiento y escalabilidad e incluyen componentes, denominados módulos Scalable Encryption Processing (SEP), que permiten a los usuarios aumentar fácilmente la capacidad y el rendimiento. Los concentradores se ofrecen en modelos adecuados para pequeñas empresas con 100 o menos usuarios de acceso remoto a grandes organizaciones empresariales con hasta 10 000 usuarios remotos simultáneos.

Concentrador VPN

Firewall Cisco Secure PIX:

El firewall Private Internet eXchange (PIX) combina la traducción dinámica de direcciones de red, el servidor proxy, la filtración de paquetes, el firewall y las capacidades de VPN en una sola pieza de hardware. En lugar de usar el software Cisco IOS, este dispositivo tiene un sistema operativo altamente optimizado que cambia la capacidad de manejar una variedad de protocolos por una solidez y un rendimiento extremos al enfocarse en IP. Al igual que con los enrutadores de Cisco, todos los modelos de cortafuegos PIX son compatibles con IPsec VPN. Todo lo que se requiere es que se cumplan los requisitos de licencia para habilitar la función VPN.

Enrutador habilitado para VPN/enrutador optimizado para VPN:

Todos los enrutadores Cisco que ejecutan el software Cisco IOS® admiten VPN IPsec. El único requisito es que el enrutador debe ejecutar una imagen de Cisco IOS con el conjunto de funciones adecuado. La solución Cisco IOS VPN es totalmente compatible con los requisitos de VPN de acceso remoto, intranet y extranet. Esto significa que los enrutadores de Cisco pueden funcionar igual de bien cuando se conectan a un host remoto que ejecuta el software VPN Client o cuando se conectan a otro dispositivo VPN, como un enrutador, PIX Firewall o VPN Concentrator. Los enrutadores habilitados para VPN son apropiados para VPN con requisitos moderados de encriptación y tunelización y brindan servicios de VPN completamente a través de las funciones del software Cisco IOS. Los ejemplos de enrutadores habilitados para VPN incluyen las series Cisco 1000, Cisco 1600, Cisco 2500, Cisco 4000, Cisco 4500 y Cisco 4700.

Los enrutadores optimizados para VPN de Cisco brindan escalabilidad, enrutamiento, seguridad y calidad de servicio (QoS). Los enrutadores se basan en el software Cisco IOS, y hay un dispositivo adecuado para cada situación, desde el acceso a oficinas pequeñas/oficinas domésticas (SOHO) a través de la agregación de VPN en el sitio central hasta las necesidades empresariales a gran escala. Los enrutadores optimizados para VPN están diseñados para cumplir con altos requisitos de encriptación y tunelización y, a menudo, utilizan hardware adicional, como tarjetas de encriptación, para lograr un alto rendimiento. Los ejemplos de enrutadores optimizados para VPN incluyen las series Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 y Cisco7500.

vpn router

Clientes VPN de Cisco:

Cisco ofrece clientes VPN de hardware y software. El cliente VPN de Cisco (software) se incluye con el concentrador de la serie Cisco VPN 3000 sin costo adicional. Este cliente de software puede instalarse en la máquina host y usarse para conectarse de forma segura al concentrador del sitio central (oa cualquier otro dispositivo VPN, como un enrutador o un firewall). El cliente de hardware VPN 3002 es una alternativa a la implementación del software del cliente VPN en cada máquina y proporciona conectividad VPN a varios dispositivos.

La elección de los dispositivos que usaría para construir su solución VPN es, en última instancia, un problema de diseño que depende de varios factores, incluido el rendimiento deseado y la cantidad de usuarios. Por ejemplo, en un sitio remoto con un puñado de usuarios detrás de un PIX 501, podría considerar configurar el PIX existente como punto final de VPN IPsec, siempre que acepte el rendimiento 3DES del 501 de aproximadamente 3 Mbps y el límite de un máximo de 5 Pares de VPN. Por otro lado, en un sitio central que actúa como punto final de VPN para una gran cantidad de túneles VPN, probablemente sea una buena idea optar por un enrutador optimizado para VPN o un concentrador de VPN. La elección ahora dependería del tipo (LAN a LAN o acceso remoto) y la cantidad de túneles VPN que se estén configurando. La amplia gama de dispositivos Cisco que admiten VPN proporciona a los diseñadores de redes una gran flexibilidad y una solución robusta para satisfacer todas las necesidades de diseño.

    Make IT Spain

    Make IT Spain

    España lidera el mundo de la informática en el mundo hispano desde la expansión de sistemas informáticos domésticos en los años 90's y hasta la fecha, la integración de tecnología digital en el país sigue siendo una firme apuesta para el crecimiento de la economía....

    leer más
    ¿Qué es un DLP y para qué sirve?

    ¿Qué es un DLP y para qué sirve?

    La manera en cómo la información circula y se almacena en las empresas ha evolucionado en los últimos años. Y es que antes de la llegada de la era digital, solíamos usar diferentes tipos de mobiliarios para guardar papeles y documentos de muchísima importancia, de...

    leer más
    ¿Qué son las Enterprise Networks?

    ¿Qué son las Enterprise Networks?

    Las Enterprise Networks, como cualquier red corporativa, representan una estructura de telecomunicaciones digitales capaces de generar un intercambio oportuno de información entre múltiples dispositivos de comunicación y datos. Concretamente, el conjunto de elementos...

    leer más
    ¿Qué es un DLP y para qué sirve?

    ¿Qué es un DLP y para qué sirve?

    La manera en cómo la información circula y se almacena en las empresas ha evolucionado en los últimos años. Y es que antes de la llegada de la era digital, solíamos usar diferentes tipos de mobiliarios para guardar papeles y documentos de muchísima importancia, de...

    Herramientas antimalware

    Herramientas antimalware

    ¿Qué es un antimalware?Se trata de la línea de software destinada a la defensa y protección de equipos y sistemas informáticos (servidores, ordenadores, móviles, electrodomésticos y aparatos inteligentes, etc.) frente a cualquier tipo de software o código malicioso al...

    Más de diez maneras de robar una contraseña

    Más de diez maneras de robar una contraseña

    Una contraseña es algo habitual en nuestros días, algo tan sencillo que al ser secreto, permite una seguridad única, imprescindible hoy en nuestros días las contraseñas se han convertido en algo tedioso, la mayoría de las personas en edad laboral debe de lidiar con...

    × ¡Escríbenos por Whats App aquí!