Meraki SD-WAN, explicado

Meraki SD-WAN, explicado

SD-WAN es un acrónimo de Software-Defined Wide Area Network
Compartir artículo
Share on facebook
Share on linkedin
Share on twitter
Share on email

¡La vida es buena en Auto VPN Express!

Introducción

Si trabajas en el sector de la tecnología de redes, probablemente habrás escuchado el término SD-WAN al menos seis veces en los últimos 12 meses. A menos, por supuesto, que hayas caído en el pozo de la pérdida como en el gráfico anterior. En esta publicación, nos basaremos en algunos de los conceptos para ayudar a mostrar por qué SD-WAN podría ser un gran problema para tu negocio.

La cuestión es que SD-WAN significa cosas diferentes para diferentes proveedores y, a veces, incluso cosas diferentes para el mismo proveedor, sin mencionar todo el hardware, software y licencias dedicados necesarios para ejecutar estas soluciones. El objetivo de SD-WAN es permitir que las organizaciones ahorren dinero y establezcan sus requisitos de conectividad más rápidamente. Los ahorros de costos y la capacidad de servicio se habilitan al inculcar la lógica empresarial en la WAN.

Cisco Meraki, tiene una solución SD-WAN que se incluye con la licencia base (licencia enterprise) en todos los dispositivos de seguridad y SD-WAN de Meraki MX y no requiere servidores ni hardware adicionales. Simplemente conéctalo, configúralo en el panel de Meraki y comienza a ahorrar dinero, agregar valor y volver a las cosas que te apasionan.

SD-¿Y ahora qué?

SD-WAN es un acrónimo de Software-Defined Wide Area Network y es una tecnología que forma la familia de tecnologías de Software-Defined Network ( SDN ), con otro ejemplo de Software-Defined Access .  

El bit de área amplia solo significa que los sitios / redes que buscan conectarse no están al lado o son locales entre sí.  

Bit definido por software significa que las decisiones sobre cómo se puede enrutar el tráfico entre todos los sitios de la WAN se definen mediante políticas y su comportamiento se adapta a la condición de la WAN en lugar de tener una configuración fija.  

Las soluciones SD-WAN logran esto a través de una serie de características, como resistenciaseguridadcalidad de serviciooptimización de aplicaciones y muchas más. La solución utiliza una combinación única de estas tecnologías para que sea fácil de configurar, implementar y administrar.

La simplicidad de Meraki SD-WAN significa que el poder y la flexibilidad están directamente en manos del cliente o proveedor de servicios. Esto quiere decir que, sin la necesidad de dispositivos, servicios o actualizaciones adicionales, los clientes pueden crear o beneficiarse de una conectividad de red más rentable y disponible que responda al rendimiento de los enlaces subyacentes.  

Si bien este tipo de enrutamiento preferencial está disponible en las redes MPLS tradicionales, generalmente solo está disponible con una prima, en un conjunto de clases limitado y para redes o aplicaciones predefinidas. Mientras que Meraki SD-WAN combina la detección de aplicaciones basada en la capa 7 que viene de serie en toda la pila Meraki para lograr esto de una manera más sucinta.

¿Por qué Meraki entonces?

A menudo bromeamos diciendo que SD-WAN son solo chispas mágicas basadas en políticas creadas sobre Cisco Meraki Auto VPN . Sin embargo, utiliza tecnología abierta basada en estándares que probablemente ya haya utilizado. En otras palabras, nos referimos específicamente aquí es a una tecnología creada originalmente dentro de Google, pero luego de código abierto, que está integrada en la mayoría de sus productos (por ejemplo, Gmail, Google Drive).  

Los dispositivos de seguridad y SD-WAN de MX utilizan esta tecnología para inferir la latencia , la fluctuación y la pérdida de paquetes de las rutas virtuales entre 2 MX, como se muestra a continuación. Estas tres cosas juntas nos brindan la capacidad de calcular un puntaje de opinión media (MOS) , que se puede usar para calificar la aceptabilidad de una ruta WAN para el tráfico de voz.  

Esto significa que una de las políticas que viene preconfigurada es la capacidad de elegir la ruta virtual que sea mejor para el tráfico de voz, una ganancia rápida para todos. En el caso de que cambie la mejor ruta virtual para la voz, el MX moverá automáticamente los flujos a la siguiente ruta más apropiada.

Para rastrear aplicaciones con diferentes características a la voz, simplemente puedes agregar una clase de rendimiento personalizada que permite establecer un umbral compatible para latencia, jitter, pérdida de paquetes o cualquier combinación de los tres. Luego, se puede hacer referencia a esto como el criterio para la selección de ruta virtual en una sola política de IU, como se muestra a continuación:

ruta-virtual

Finalmente,  integrada en la solución, está la capacidad de ver cómo los flujos atraviesan las rutas virtuales de su red casi en tiempo real y de manera poderosamente histórica:

Conclusión

Meraki ha simplificado la tecnología compleja durante más de una década y SD-WAN es solo otro ejemplo en el que ha rociado la magia de Meraki para permitir que las organizaciones se concentren en su misión. También vale la pena señalar que Meraki ha estado ofreciendo SD-WAN desde 2016, lo que la convierte en una de las plataformas tecnológicas más establecidas en este rubro.

Miles de clientes en todo el mundo ya han elegido Meraki SD-WAN y miles más se están registrando a un ritmo tres veces mayor que el año anterior. 

MBR

Conoce la tecnología de Cisco Meraki

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

WI-FI 6

WI-FI 6

Compartir artículo
Share on facebook
Share on linkedin
Share on twitter
Share on email

Wi-FI 6, la nueva actualización a las redes inalámbricas

Cada nueva generación de Wi-Fi brinda una oportunidad para hacer una reflexión y considerar los cambios que nos transformarán en los próximos años.

Hoy en día, las redes ya experimentan contenido multimedia con uso intensivo de ancho de banda y múltiples redes Wi-Fi.

Tráfico de datos WIFI

En el futuro, las redes enfrentarán un aumento continuo en el número de dispositivos utilizados por cada usuario, una triplicación del tráfico IP global total y una amplia gama de nuevas tecnologías que dependen en gran medida de la conexión Wi-Fi.

Al igual que con las generaciones anteriores, Wi-Fi 6 (también conocido como 802.11ax) mejorará el rendimiento de alta densidad y proporcionará un rendimiento más rápido. Además, esta nueva generación aumentará la velocidad y densidad con nuevas capacidades diseñadas para las tendencias tecnológicas del futuro.

Se estima que las conexiones de IoT representarán más de la mitad de todos los dispositivos conectados globales para 2022. El tráfico de la red de realidad virtual aumentada está a punto de multiplicarse por doce para 2022, por eso las redes Wi-Fi del futuro deben ser ágiles y eficientes para adaptarse a una mayor densidad de clientes con grandes requisitos y una diversidad de nuevas aplicaciones de alto rendimiento.

Wi-Fi 6 ofrece varias mejoras nuevas para convertirlo en el conjunto de protocolos inalámbricos de mayor rendimiento. Wi-Fi 6 no solo aumentará el rendimiento general, sino que está diseñado para funcionar eficientemente en escenarios del mundo real.

Las nuevas funciones como OFDMA, uplink MU-MIMO, TWT, BSS, el color y los nuevos esquemas de modulación trabajan juntos para permitir que los usuarios finales experimenten siempre conectividad sin cuellos de botella ni degradación del rendimiento.

Además, ofrece varias mejoras para convertirlo en el conjunto de protocolos inalámbricos de mayor rendimiento alguna vez desarrollado.

Evolución de WI-FI

Desde 1999, Wi-Fi ha evolucionado rápidamente para proporcionar un rendimiento rendimiento significativamente mayor.

En 2013, 802.11n entregó la batuta a 802.11ac al proporcionar a los usuarios una mayor velocidad y confiabilidad mientras se reduce el consumo de energía para beneficiar a los dispositivos móviles.

Durante los últimos años, 802.11ac Wave 2 ha mejorado las velocidades de datos máximas más allá de 1 Gbps. Mientras que 802.11ac Wave 1 y Wave 2 proporcionaron rendimiento significativamente mayor en comparación con los estándares anteriores, aunque la capacidad de obtener multigigabit confiable, el rendimiento y la eficiencia espectral aún faltaban en el estándar Wi-Fi 802.11 y requerían mejoras adicionales.

El desarrollo de la actualización 802.11ax comenzó en 2013, cuando llegó un grupo de expertos técnicos a discutir los desafíos que podría enfrentar Wi-Fi en los próximos años, ya que estaba compitiendo con su propio éxito al volverse una heramienta omnipresente.

Los expertos notaron el aumento proyectado de dispositivos Wi-Fi como teléfonos móviles, productos electrónicos de consumo y dispositivos IoT. Este incremento  enfrentaría a una interferencia creciente y un rendimiento reducido, fue así como el grupo debatió toda la información arrojada del uso de la red y sentó las bases para WI-FI 6, también conocido como WLAN de alta eficiencia. Esta nueva generación de Wi-Fi será lo suficientemente inteligente para habilitar los entornos inalámbricos densos y universales del futuro.

El panorama inalámbrico de próxima generación.

De cara al futuro, varias tendencias están cambiando las redes inalámbricas tal como las conocemos hoy en día. Las redes inalámbricas enfrentan un uso creciente de aplicaciones de alto rendimiento lo que se traduce como una mayor densidad de dispositivos inalámbricos y un cambio en las necesidades de las redes.

En los próximos años se verá un aumento del 50% de dispositivos en red por persona, lo que resultará en una promedio de 3.6 dispositivos conectados por persona. A medida que aumenta el número de dispositivos, los usuarios también esperan un experiencia inalámbrica más rica y fluida. Sin embargo, las computadoras y dispositivos portátiles, y los teléfonos móviles suelen causar interferencias significativas y un rendimiento deficiente para el resto de la red. Además del aumento de flujo constante de clientes, los administradores de red tendrán que tener en cuenta los cambios dinámicos como el movimiento fisico de los usuarios. A medida que varios clientes móviles se mueven por los espacios que tienen cobertura superpuesta de estaciones inalámbricas (STA), los protocolos tradicionales para evitar colisiones comienzan a disminuir en eficiencia.

Este efecto es particularmente pronunciado a velocidades de datos más altas y esquemas de modulación que son más susceptibles al ruido.

Cambiando las necesidades de la red

Con cuatro veces más dispositivos conectados a Wi-Fi que humanos en el planeta, la población mundial está más conectada que nunca, los días de los trabajadores atados a puestos de trabajo en torno a los centros de datos de las empresas están en declive.

Las cinco generaciones anteriores de Wi-Fi ayudaron a esta transición sin ataduras, y la próxima generación busca ampliar aún más los límites de la movilidad.

WiFi 6 sentará las bases para el uso creciente de aplicaciones como la transmisión de video HD colaborativa, realidad aumentada en la planta de fabricación, entretenimiento de realidad virtual e IoT. Se estima que para 2022, el 80% de los nuevos proyectos de IoT serán inalámbricos. Los dispositivos para IoT obtendrán beneficios con Wi-Fi, permitiendo una eficiencia energética tres veces mayor y una eficiencia espectral adicional, esto reducirá la barrera de desarrollo para robots de almacén, sensores y más.

Wi-Fi 6: capacidades y beneficios

A pesar de los desafíos en el cambiante panorama inalámbrico, los usuarios esperan que las implementaciones inalámbricas puedan respaldar una gran capacidad y una alta densidad de clientes.

Wi-Fi 6 está diseñado para cumplir estas necesidades cambiantes:

el rendimiento que superará a 802.11ac Wave 2 en más de 3 a 4 veces, soporte para mayor densidad de dispositivos.

Ahorro de batería. Si bien Wi-Fi 6 podrá ofrecer un crecimiento teórico de la tasa de datos de alrededor del 37%, su mayor beneficio es la capacidad de ofrecer un rendimiento de alta eficiencia en entornos del mundo real.

Con el aumento de número de clientes, Wi-Fi 6 podrá mantener un rendimiento de datos mucho más consistente que versiones anteriores de 802.11ny 802.11ac.

Hay ambientes controlados con una muy pequeña cantidad de clientes donde las generaciones anteriores de Wi-Fi pueden proporcionar un mayor rendimiento. Esto es debido a los marcos más largos y los intervalos de protección más amplios de 802.11ax, que ayudan a proporcionar resistencia.

Rendimiento de datos consistente en ambientes densos.

Rango de cobertura más amplio.

Mayor fiabilidad y reducción desconexiones.

Espectro de frecuencia adicional para IoT y otros dispositivos.

Ahorro de energía para dispositivos inalámbricos.

Mejor rendimiento en exteriores.

MBR

Conoce los equipos optimizados con Wi-Fi 6

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

¿Qué es una VPN y cómo funciona?

¿Qué es una VPN y cómo funciona?

red
Compartir artículo
Share on facebook
Share on linkedin
Share on twitter
Share on email

Contenido

¿Qué es un VPN y cómo funciona?

Antecedentes

El mundo ha cambiado en los últimos meses. En lugar de simplemente abordar problemas locales o regionales, muchas empresas ahora deben tener en cuenta logística y mercados globales. Infinidad de empresas cuentan con instalaciones diseminadas en todo el país o, incluso, en todo el mundo.

…Pero hay algo que todas las empresas necesitan: una forma de mantener comunicaciones rápidas, seguras y fiables en donde se encuentran sus oficinas.

Hasta hace poco, una comunicación fiable implicaba el uso de líneas arrendadas para mantener una red de área amplia (WAN). Las líneas arrendadas, desde la Red digital de servicios integrados (ISDN, que se ejecuta a 144 KB/s) hasta la fibra óptica Carrier-3 (OC3, que se ejecuta a 155 Mbps), ofrecen a una empresa una forma de ampliar su red privada más allá de su zona geográfica inmediata.

¿Cómo funciona una WAN?

Una WAN tiene ventajas claras en relación con una red pública como Internet cuando se trata de fiabilidad, rendimiento y seguridad; pero mantener una WAN, especialmente cuando se utilizan líneas arrendadas, puede volverse bastante costoso (a menudo, aumenta el costo a medida que aumenta la distancia entre las oficinas).

No son una solución viable para organizaciones en las que parte de la fuerza de trabajo es muy móvil (como es el caso del personal de marketing) y puede necesitar con frecuencia conectarse a la red corporativa de forma remota y tener acceso a datos confidenciales.

A medida que ha ido aumentando la popularidad de Internet, las empresas han recurrido a esta como medio para ampliar sus propias redes. Primero, se utilizaron intranets, que son sitios diseñados para que solo los usen los empleados de la empresa. Ahora, muchas empresas crean sus propias redes privadas virtuales (VPN) para satisfacer las necesidades de los trabajadores remotos y de las oficinas lejanas.

VPN de paga

La VPN típica puede tener una red de área local (LAN) principal en la sede central corporativa de una empresa, otras LAN en oficinas o instalaciones remotas, y usuarios individuales que se conectan desde el campo.

En otras palabras, es una red privada que utiliza una red pública (por lo general, Internet) para conectar sitios o usuarios remotos entre sí. En vez de utilizar una conexión real dedicada como línea arrendada,  utiliza conexiones “virtuales” enrutadas a través de Internet desde la red privada de la empresa hacia el empleado o el sitio remoto.

¿Qué constituye una VPN?

Hay dos tipos de VPN comunes.

  • Sitio a sitio: mediante el uso de equipos exclusivos y cifrado a gran escala, una empresa puede conectar varios sitios fijos a través de una red pública como Internet. Cada sitio solo necesita una conexión local a la misma red pública, lo cual ahorra dinero en extensas líneas arrendadas privadas. Estas VPN de sitio a sitio también se pueden clasificar en intranets o extranets. Una VPN de sitio a sitio desarrollada entre oficinas de la misma empresa se denomina VPN intranet, mientras que una VPN desarrollada para conectar la empresa con su partner o cliente se denomina VPN extranet.

  • Acceso remoto: también denominada Red telefónica privada virtual (VPDN), se trata de una conexión de usuario a LAN utilizada por una empresa que posee empleados que necesitan conectarse a la red privada desde distintas ubicaciones remotas. Normalmente, una empresa que desea configurar una VPN de acceso remoto grande proporciona algún tipo de cuenta telefónica de Internet a sus usuarios mediante un proveedor de servicios de Internet (ISP). Luego, los teletrabajadores pueden marcar un número 1-800 para conectarse a Internet y usar su software de cliente VPN para acceder a la red corporativa.

Un buen ejemplo de una empresa que necesita una VPN de acceso remoto sería una firma grande con cientos de miembros del personal de ventas en el campo. El acceso remoto permite conexiones seguras y cifradas entre la red privada de una empresa y los usuarios remotos a través de un proveedor de servicios de terceros.

Una VPN bien diseñada puede beneficiar mucho a una empresa, por ejemplo:

Proporcionar oportunidades de redes globales

Proporcionar un Retorno de la inversión (ROI) más rápido que la WAN tradicional

Reducir costos operativos en relación a WAN tradicionales

Reducir los tiempos de tránsito y los costos de viaje de usuarios remotos

Proporcionar soporte para el teletrabajador

Ampliar la conectividad geográfica

Simplificar la topología de la red

Mejorar la productividad

A su vez, debe incorporar los siguientes elementos:

  • Security

  • Confiabilidad

  • Escalabilidad

  • Administración de la red

  • Administración de políticas

Productos analógicos: Cada LAN es una isla

Imaginemos que vive en una isla en un océano enorme. Hay miles de otras islas a su alrededor, algunas muy cercanas y otras más alejadas. La manera normal de viajar es tomar un buque de su isla a cualquier isla que desee visitar. Viajar en buque implica no tener casi nada de privacidad. Todo lo que haga lo puede ver otra persona.

Cada isla representa una LAN privada e Internet es el océano. Viajar por buque es similar a conectarse a un servidor web u otro dispositivo a través de Internet. No tiene ningún control sobre los cables y routers que componen Internet, al igual que no tiene ningún control de las demás personas en el buque. Esto lo deja susceptible a problemas de seguridad si intenta conectarse entre dos redes privadas a través de un recurso público.

Su isla decide crear un puente con otra isla para que haya una forma más fácil, más segura y directa para que las personas viajen entre ellas. Es costoso crear y mantener el puente, incluso si la isla con la que se conecta está muy cerca. Pero la necesidad de una ruta fiable y segura es tan grande que se crea de todas maneras. A su isla le gustaría conectarse a una segunda isla mucho más alejada, pero usted decide que es demasiado costoso.

Esta situación se asemeja a tener una línea arrendada. Los puentes (líneas arrendadas) están separados del océano (Internet), pero pueden conectarse a las Islas (LAN). Muchas otras empresas han seleccionado esta ruta debido a la necesidad de seguridad y fiabilidad en conectar sus oficinas remotas. Sin embargo, si las oficinas están muy alejadas, el costo puede ser demasiado alto, como intentar crear un puente que abarque una gran distancia.

¿Cómo se ajusta VPN a esta analogía? Podríamos ofrecer a cada habitante de nuestras islas su propio submarino pequeño con estas propiedades.

  • Es rápido.

  • Es fácil de llevarlo con usted, vaya donde vaya.

  • Es capaz de ocultarse por completo de cualquier otro barco o submarino.

  • Es fiable.

  • Cuesta poco agregar submarinos adicionales a su flota una vez que se ha adquirido el primero.

Aunque estén viajando por el océano junto con el resto del tráfico, los habitantes de nuestras dos islas podrían ir y venir siempre que lo desearan con privacidad y seguridad. Así funciona básicamente una VPN. Cada miembro remoto de la red se puede comunicar de forma segura y fiable a través de Internet como medio para conectarse a la LAN privada. Una VPN puede aumentar para albergar a más usuarios y diferentes ubicaciones de manera mucho más fácil que una línea arrendada. De hecho, la escalabilidad es una ventaja importante que tienen las VPN en relación con las típicas líneas arrendadas. A diferencia de las líneas arrendadas donde el costo aumenta de manera proporcional a las distancias implicadas, las ubicaciones geográficas de cada oficina importan poco en la creación de una VPN.

Cuando las VPN están bien diseñadas utilizan varios métodos para conservar sus datos y la conexión seguros.

Tecnologías VPN

Confidencialidad de datos

Es quizá el servicio más importante ofrecido por cualquier implementación de VPN. Dado que los datos privados viajan a través de una red pública, la confidencialidad de estos es fundamental y puede lograrse mediante el cifrado de datos. Este es el proceso de tomar todos los datos que una computadora está enviando a otra y cifrarlos en un formato que solo la otra computadora pueda descifrar.

  • La mayoría de las VPN utiliza uno de estos protocolos para proporcionar cifrado.

    • IPsec : el Protocolo de seguridad de protocolos de Internet (IPsec) proporciona funciones de seguridad mejorada como algoritmos de cifrado más potentes y autenticación integral. IPsec tiene dos modos de cifrado: túnel y transporte. El modo de túnel cifra el encabezado y la carga de cada paquete mientras el modo de transporte solo cifra la carga. Solo los sistemas que son compatibles con IPsec pueden aprovechar este protocolo. Además, todos los dispositivos deben utilizar una clave o certificado común y deben implementar políticas de seguridad muy similares.

      Para los usuarios VPN de acceso remoto, algún tipo de paquete de software de terceros proporciona la conexión y el cifrado en las PC de los usuarios. IPsec admite 56 bits (solo DES) o cifrado de 168 bits (triple DES).

    • PPTP/MPPE : PPTP fue creado por el foro de PPTP, un consorcio que incluye US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP admite VPN multiprotocolo, con cifrado de 40 bits y 128 bits mediante un protocolo denominado Cifrado de punto a punto de Microsoft (MPPE). Es importante tener en cuenta que PPTP no proporciona cifrado de datos por su cuenta.

    • L2TP/IPsec : comúnmente denominado L2TP a través de IPsec, proporciona la seguridad del protocolo de IPsec a través de los túneles de Protocolo de túneles de capa 2 (L2TP). L2TP es producto de una asociación entre los miembros del foro de PPTP, Cisco y el Grupo de tareas de ingeniería de Internet (IETF). Se usa principalmente para VPN de acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000 proporciona una IPsec nativa y un cliente L2TP. Los proveedores de servicios de Internet también pueden brindar conexiones L2TP para usuarios de acceso telefónico y, luego, cifrar el tráfico con IPsec entre su punto de acceso y el servidor de red de la oficina remota.

Integridad de los datos

  • Si bien es importante que los datos se cifren a través de una red pública, es igualmente importante verificar que no se hayan modificado mientras están en tránsito. Por ejemplo, IPsec tiene un mecanismo para asegurarse de que no se haya manipulado la parte cifrada del paquete o toda la parte de encabezado y datos del paquete. Si se ha detectado manipulación, el paquete se descarta. La integridad de los datos también puede implicar la autenticación del par remoto.

Autenticación de origen de datos

Es muy importante verificar la identidad de la fuente de los datos que se envían. Esto es necesario para protegerlo contra un número de ataques que utilizan la suplantación de la identidad del remitente.

Control antirreproducción

Esta es la capacidad para detectar y rechazar paquetes reproducidos y ayuda a evitar la suplantación de identidad.

Confidencialidad de tráfico/tunelizado de datos

El tunelizado es el proceso de encapsular un paquete entero dentro de otro paquete y enviarlo a través de una red.Es útil en casos en los que se recomienda ocultar la identidad del dispositivo que originó el tráfico. Por ejemplo, un único dispositivo que utiliza IPsec encapsula el tráfico que pertenece a un número de hosts detrás de sí y agrega su propio encabezado sobre los paquetes existentes. Al cifrar el paquete y el encabezado originales (y enrutar el paquete según el encabezado de capa 3 adicional agregado en la parte superior), el dispositivo de tunelizado oculta de manera eficaz la fuente real del paquete. Solo el par de confianza es capaz de determinar la fuente real, después de que quita el encabezado adicional y descifra el encabezado original. 

Como se indica en RFC 2401 leavingcisco.com , “…la revelación de las características de comunicación externas también puede ser un problema en determinadas circunstancias. La confidencialidad de flujo de tráfico es el servicio que aborda este último problema al ocultar las direcciones de origen y destino, la longitud del mensaje o la frecuencia de la comunicación. En el contexto de IPsec, utilizar ESP en modo de túnel, especialmente en un gateway de seguridad, puede ofrecer un nivel de confidencialidad de flujo de tráfico”.

Protocolos de cifrado

Todos los protocolos de cifrado que aparecen aquí también usan el tunelado como un medio para transferir los datos cifrados a través de la red pública. Es importante tener en cuenta que el tunelado, por sí solo, no proporciona seguridad de datos. Un paquete original simplemente se encapsula dentro de otro protocolo y aún puede visualizarse con un dispositivo de captura de paquetes si no es cifrado. Sin embargo, aquí se menciona el motivo por el que es una parte integral de cómo funcionan las VPN.

Un tunelado requiere tres protocolos diferentes.

  • Protocolo de pasajero: los datos originales (IPX, NetBeui, IP) que se transportan.

  • Protocolo de encapsulación: el protocolo (GRE, IPsec, L2F, PPTP, L2TP) que envuelve los datos originales.

  • Protocolo de transporte: el protocolo utilizado por la red a través de la cual viaja la información.

El paquete original (Protocolo de pasajero) se encapsula dentro del protocolo de encapsulación, que, luego, se coloca dentro del encabezado del protocolo de la portadora (generalmente IP) para la transmisión a través de la red pública. Tenga en cuenta que el protocolo de encapsulación muy a menudo también lleva a cabo el cifrado de los datos. Los protocolos como IPX y NetBeui, que normalmente no se transfieren a través de Internet, pueden transmitirse de forma segura.

Para las VPN de sitio a sitio, el protocolo de encapsulación generalmente es IPsec o Encapsulamiento de routing genérico (GRE). GRE incluye información sobre qué tipo de paquete está encapsulando e información sobre la conexión entre el cliente y el servidor.

En cuanto a una VPN de acceso remoto, el tunelado generalmente se realiza mediante el Protocolo punto a punto (PPP). Como parte de la pila TCP/IP, PPP es la portadora de otros protocolos IP cuando se comunican a través de la red entre la computadora host y un sistema remoto. El tunelado PPP utilizará uno de los Reenvíos de capa 2 (L2F) de PPTP, L2TP o Cisco.

  • AAC — Autenticación, autorización y cuenta se utilizan para un acceso más seguro en un entorno de VPN de acceso remoto. Sin la autenticación del usuario, cualquiera que se encuentra en una computadora portátil o PC con software de cliente VPN bien configurado puede establecer una conexión segura a la red remota. Sin embargo, con la autenticación de usuario, también se debe introducir un nombre de usuario y contraseña válidos antes de completar la conexión. Los nombres de usuario y contraseñas se pueden almacenar en el propio dispositivo de terminación de VPN o en un servidor AAC externo, lo que puede suministrar autenticación a muchas otras bases de datos como Windows NT, Novell, LDAP, etc.

    Cuando una solicitud para establecer un túnel proviene de un cliente de acceso telefónico, el dispositivo VPN solicita un nombre de usuario y una contraseña. Luego, esto se puede autenticar de forma local o enviarse al servidor AAC externo, que comprueba:

    • Quién es usted (Autenticación)

    • Qué tiene permitido hacer (Autorización)

    • Qué hace realmente (Cuenta)

    La información de Cuenta es especialmente útil para realizar el seguimiento de uso del cliente con fines de auditoría, facturación o informes de seguridad.

  • No rechazo: en determinadas transferencias de datos, especialmente las relacionadas con las transacciones financieras, el no rechazo es una función muy recomendable. Esto resulta útil para evitar situaciones donde una de las partes niega haber participado en una transacción. De manera similar a como un banco requiere su firma antes de otorgarle un cheque, el no rechazo funciona al agregar una firma digital en el mensaje enviado, por lo que impide la posibilidad de que el remitente niegue participación en la transacción.

Existe un número de protocolos que pueden utilizarse para crear una solución de VPN. Todos estos protocolos proporcionan un subconjunto de los servicios que aparecen en este documento. La elección de un protocolo depende del conjunto de servicios que desee. Por ejemplo, una organización puede no tener problemas con que los datos se transfieran en texto no cifrado, pero puede preocuparse por mantener su integridad, mientras que otra organización puede considerar la confidencialidad de los datos absolutamente esencial. Entonces, su elección de protocolos puede ser diferente. 

Productos VPN

Según el tipo de VPN (acceso remoto o de sitio a sitio), debe implementar ciertos componentes para generar la VPN. Entre ellos se encuentran:

    • Cliente de software de escritorio para cada usuario remoto

    • Hardware exclusivo, como un concentrador de VPN de Cisco o un Firewall Cisco Secure PIX

    • Servidor de VPN exclusivo para servicios telefónicos

    • Servidor de acceso a la red (NAS) usado por el proveedor de servicios para el acceso de VPN de usuario remoto

    • Red privada y Centro de administración de políticas

MBR

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés