es Spanish

¿Qué es un VPN y cómo funciona?

Antecedentes

El mundo ha cambiado en los últimos meses. En lugar de simplemente abordar problemas locales o regionales, muchas empresas ahora deben tener en cuenta logística y mercados globales. Infinidad de empresas cuentan con instalaciones diseminadas en todo el país o, incluso, en todo el mundo.

…Pero hay algo que todas las empresas necesitan: una forma de mantener comunicaciones rápidas, seguras y fiables en donde se encuentran sus oficinas.

Hasta hace poco, una comunicación fiable implicaba el uso de líneas arrendadas para mantener una red de área amplia (WAN). Las líneas arrendadas, desde la Red digital de servicios integrados (ISDN, que se ejecuta a 144 KB/s) hasta la fibra óptica Carrier-3 (OC3, que se ejecuta a 155 Mbps), ofrecen a una empresa una forma de ampliar su red privada más allá de su zona geográfica inmediata.

¿Cómo funciona una WAN?

Una WAN tiene ventajas claras en relación con una red pública como Internet cuando se trata de fiabilidad, rendimiento y seguridad; pero mantener una WAN, especialmente cuando se utilizan líneas arrendadas, puede volverse bastante costoso (a menudo, aumenta el costo a medida que aumenta la distancia entre las oficinas).

No son una solución viable para organizaciones en las que parte de la fuerza de trabajo es muy móvil (como es el caso del personal de marketing) y puede necesitar con frecuencia conectarse a la red corporativa de forma remota y tener acceso a datos confidenciales.

A medida que ha ido aumentando la popularidad de Internet, las empresas han recurrido a esta como medio para ampliar sus propias redes. Primero, se utilizaron intranets, que son sitios diseñados para que solo los usen los empleados de la empresa. Ahora, muchas empresas crean sus propias redes privadas virtuales (VPN) para satisfacer las necesidades de los trabajadores remotos y de las oficinas lejanas.

VPN de paga

La VPN típica puede tener una red de área local (LAN) principal en la sede central corporativa de una empresa, otras LAN en oficinas o instalaciones remotas, y usuarios individuales que se conectan desde el campo.

En otras palabras, es una red privada que utiliza una red pública (por lo general, Internet) para conectar sitios o usuarios remotos entre sí. En vez de utilizar una conexión real dedicada como línea arrendada,  utiliza conexiones “virtuales” enrutadas a través de Internet desde la red privada de la empresa hacia el empleado o el sitio remoto.

¿Qué constituye una VPN?

Hay dos tipos de VPN comunes.

  • Sitio a sitio: mediante el uso de equipos exclusivos y cifrado a gran escala, una empresa puede conectar varios sitios fijos a través de una red pública como Internet. Cada sitio solo necesita una conexión local a la misma red pública, lo cual ahorra dinero en extensas líneas arrendadas privadas. Estas VPN de sitio a sitio también se pueden clasificar en intranets o extranets. Una VPN de sitio a sitio desarrollada entre oficinas de la misma empresa se denomina VPN intranet, mientras que una VPN desarrollada para conectar la empresa con su partner o cliente se denomina VPN extranet.

  • Acceso remoto: también denominada Red telefónica privada virtual (VPDN), se trata de una conexión de usuario a LAN utilizada por una empresa que posee empleados que necesitan conectarse a la red privada desde distintas ubicaciones remotas. Normalmente, una empresa que desea configurar una VPN de acceso remoto grande proporciona algún tipo de cuenta telefónica de Internet a sus usuarios mediante un proveedor de servicios de Internet (ISP). Luego, los teletrabajadores pueden marcar un número 1-800 para conectarse a Internet y usar su software de cliente VPN para acceder a la red corporativa.

Un buen ejemplo de una empresa que necesita una VPN de acceso remoto sería una firma grande con cientos de miembros del personal de ventas en el campo. El acceso remoto permite conexiones seguras y cifradas entre la red privada de una empresa y los usuarios remotos a través de un proveedor de servicios de terceros.

Una VPN bien diseñada puede beneficiar mucho a una empresa, por ejemplo:

Proporcionar oportunidades de redes globales

Proporcionar un Retorno de la inversión (ROI) más rápido que la WAN tradicional

Reducir costos operativos en relación a WAN tradicionales

Reducir los tiempos de tránsito y los costos de viaje de usuarios remotos

Proporcionar soporte para el teletrabajador

Ampliar la conectividad geográfica

Simplificar la topología de la red

Mejorar la productividad

A su vez, debe incorporar los siguientes elementos:

  • Security

  • Confiabilidad

  • Escalabilidad

  • Administración de la red

  • Administración de políticas

Productos analógicos: Cada LAN es una isla

Imaginemos que vive en una isla en un océano enorme. Hay miles de otras islas a su alrededor, algunas muy cercanas y otras más alejadas. La manera normal de viajar es tomar un buque de su isla a cualquier isla que desee visitar. Viajar en buque implica no tener casi nada de privacidad. Todo lo que haga lo puede ver otra persona.

Cada isla representa una LAN privada e Internet es el océano. Viajar por buque es similar a conectarse a un servidor web u otro dispositivo a través de Internet. No tiene ningún control sobre los cables y routers que componen Internet, al igual que no tiene ningún control de las demás personas en el buque. Esto lo deja susceptible a problemas de seguridad si intenta conectarse entre dos redes privadas a través de un recurso público.

Su isla decide crear un puente con otra isla para que haya una forma más fácil, más segura y directa para que las personas viajen entre ellas. Es costoso crear y mantener el puente, incluso si la isla con la que se conecta está muy cerca. Pero la necesidad de una ruta fiable y segura es tan grande que se crea de todas maneras. A su isla le gustaría conectarse a una segunda isla mucho más alejada, pero usted decide que es demasiado costoso.

Esta situación se asemeja a tener una línea arrendada. Los puentes (líneas arrendadas) están separados del océano (Internet), pero pueden conectarse a las Islas (LAN). Muchas otras empresas han seleccionado esta ruta debido a la necesidad de seguridad y fiabilidad en conectar sus oficinas remotas. Sin embargo, si las oficinas están muy alejadas, el costo puede ser demasiado alto, como intentar crear un puente que abarque una gran distancia.

¿Cómo se ajusta VPN a esta analogía? Podríamos ofrecer a cada habitante de nuestras islas su propio submarino pequeño con estas propiedades.

  • Es rápido.

  • Es fácil de llevarlo con usted, vaya donde vaya.

  • Es capaz de ocultarse por completo de cualquier otro barco o submarino.

  • Es fiable.

  • Cuesta poco agregar submarinos adicionales a su flota una vez que se ha adquirido el primero.

Aunque estén viajando por el océano junto con el resto del tráfico, los habitantes de nuestras dos islas podrían ir y venir siempre que lo desearan con privacidad y seguridad. Así funciona básicamente una VPN. Cada miembro remoto de la red se puede comunicar de forma segura y fiable a través de Internet como medio para conectarse a la LAN privada. Una VPN puede aumentar para albergar a más usuarios y diferentes ubicaciones de manera mucho más fácil que una línea arrendada. De hecho, la escalabilidad es una ventaja importante que tienen las VPN en relación con las típicas líneas arrendadas. A diferencia de las líneas arrendadas donde el costo aumenta de manera proporcional a las distancias implicadas, las ubicaciones geográficas de cada oficina importan poco en la creación de una VPN.

Tecnologías VPN

Cuando las VPN están bien diseñadas utilizan varios métodos para conservar sus datos y la conexión seguros.

Confidencialidad de datos

Es quizá el servicio más importante ofrecido por cualquier implementación de VPN. Dado que los datos privados viajan a través de una red pública, la confidencialidad de estos es fundamental y puede lograrse mediante el cifrado de datos. Este es el proceso de tomar todos los datos que una computadora está enviando a otra y cifrarlos en un formato que solo la otra computadora pueda descifrar.

  • La mayoría de las VPN utiliza uno de estos protocolos para proporcionar cifrado.

    • IPsec : el Protocolo de seguridad de protocolos de Internet (IPsec) proporciona funciones de seguridad mejorada como algoritmos de cifrado más potentes y autenticación integral. IPsec tiene dos modos de cifrado: túnel y transporte. El modo de túnel cifra el encabezado y la carga de cada paquete mientras el modo de transporte solo cifra la carga. Solo los sistemas que son compatibles con IPsec pueden aprovechar este protocolo. Además, todos los dispositivos deben utilizar una clave o certificado común y deben implementar políticas de seguridad muy similares.

      Para los usuarios VPN de acceso remoto, algún tipo de paquete de software de terceros proporciona la conexión y el cifrado en las PC de los usuarios. IPsec admite 56 bits (solo DES) o cifrado de 168 bits (triple DES).

    • PPTP/MPPE : PPTP fue creado por el foro de PPTP, un consorcio que incluye US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP admite VPN multiprotocolo, con cifrado de 40 bits y 128 bits mediante un protocolo denominado Cifrado de punto a punto de Microsoft (MPPE). Es importante tener en cuenta que PPTP no proporciona cifrado de datos por su cuenta.

    • L2TP/IPsec : comúnmente denominado L2TP a través de IPsec, proporciona la seguridad del protocolo de IPsec a través de los túneles de Protocolo de túneles de capa 2 (L2TP). L2TP es producto de una asociación entre los miembros del foro de PPTP, Cisco y el Grupo de tareas de ingeniería de Internet (IETF). Se usa principalmente para VPN de acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000 proporciona una IPsec nativa y un cliente L2TP. Los proveedores de servicios de Internet también pueden brindar conexiones L2TP para usuarios de acceso telefónico y, luego, cifrar el tráfico con IPsec entre su punto de acceso y el servidor de red de la oficina remota.

Integridad de los datos

  • Si bien es importante que los datos se cifren a través de una red pública, es igualmente importante verificar que no se hayan modificado mientras están en tránsito. Por ejemplo, IPsec tiene un mecanismo para asegurarse de que no se haya manipulado la parte cifrada del paquete o toda la parte de encabezado y datos del paquete. Si se ha detectado manipulación, el paquete se descarta. La integridad de los datos también puede implicar la autenticación del par remoto.

Autenticación de origen de datos

Es muy importante verificar la identidad de la fuente de los datos que se envían. Esto es necesario para protegerlo contra un número de ataques que utilizan la suplantación de la identidad del remitente.

Control antirreproducción

Esta es la capacidad para detectar y rechazar paquetes reproducidos y ayuda a evitar la suplantación de identidad.

Confidencialidad de tráfico/tunelizado de datos

El tunelizado es el proceso de encapsular un paquete entero dentro de otro paquete y enviarlo a través de una red.Es útil en casos en los que se recomienda ocultar la identidad del dispositivo que originó el tráfico. Por ejemplo, un único dispositivo que utiliza IPsec encapsula el tráfico que pertenece a un número de hosts detrás de sí y agrega su propio encabezado sobre los paquetes existentes. Al cifrar el paquete y el encabezado originales (y enrutar el paquete según el encabezado de capa 3 adicional agregado en la parte superior), el dispositivo de tunelizado oculta de manera eficaz la fuente real del paquete. Solo el par de confianza es capaz de determinar la fuente real, después de que quita el encabezado adicional y descifra el encabezado original. 

Como se indica en RFC 2401 leavingcisco.com , “…la revelación de las características de comunicación externas también puede ser un problema en determinadas circunstancias. La confidencialidad de flujo de tráfico es el servicio que aborda este último problema al ocultar las direcciones de origen y destino, la longitud del mensaje o la frecuencia de la comunicación. En el contexto de IPsec, utilizar ESP en modo de túnel, especialmente en un gateway de seguridad, puede ofrecer un nivel de confidencialidad de flujo de tráfico”.

Protocolos de cifrado

Todos los protocolos de cifrado que aparecen aquí también usan el tunelado como un medio para transferir los datos cifrados a través de la red pública. Es importante tener en cuenta que el tunelado, por sí solo, no proporciona seguridad de datos. Un paquete original simplemente se encapsula dentro de otro protocolo y aún puede visualizarse con un dispositivo de captura de paquetes si no es cifrado. Sin embargo, aquí se menciona el motivo por el que es una parte integral de cómo funcionan las VPN.

Un tunelado requiere tres protocolos diferentes.

  • Protocolo de pasajero: los datos originales (IPX, NetBeui, IP) que se transportan.

  • Protocolo de encapsulación: el protocolo (GRE, IPsec, L2F, PPTP, L2TP) que envuelve los datos originales.

  • Protocolo de transporte: el protocolo utilizado por la red a través de la cual viaja la información.

El paquete original (Protocolo de pasajero) se encapsula dentro del protocolo de encapsulación, que, luego, se coloca dentro del encabezado del protocolo de la portadora (generalmente IP) para la transmisión a través de la red pública. Tenga en cuenta que el protocolo de encapsulación muy a menudo también lleva a cabo el cifrado de los datos. Los protocolos como IPX y NetBeui, que normalmente no se transfieren a través de Internet, pueden transmitirse de forma segura.

Para las VPN de sitio a sitio, el protocolo de encapsulación generalmente es IPsec o Encapsulamiento de routing genérico (GRE). GRE incluye información sobre qué tipo de paquete está encapsulando e información sobre la conexión entre el cliente y el servidor.

En cuanto a una VPN de acceso remoto, el tunelado generalmente se realiza mediante el Protocolo punto a punto (PPP). Como parte de la pila TCP/IP, PPP es la portadora de otros protocolos IP cuando se comunican a través de la red entre la computadora host y un sistema remoto. El tunelado PPP utilizará uno de los Reenvíos de capa 2 (L2F) de PPTP, L2TP o Cisco.

  • AAC — Autenticación, autorización y cuenta se utilizan para un acceso más seguro en un entorno de VPN de acceso remoto. Sin la autenticación del usuario, cualquiera que se encuentra en una computadora portátil o PC con software de cliente VPN bien configurado puede establecer una conexión segura a la red remota. Sin embargo, con la autenticación de usuario, también se debe introducir un nombre de usuario y contraseña válidos antes de completar la conexión. Los nombres de usuario y contraseñas se pueden almacenar en el propio dispositivo de terminación de VPN o en un servidor AAC externo, lo que puede suministrar autenticación a muchas otras bases de datos como Windows NT, Novell, LDAP, etc.

    Cuando una solicitud para establecer un túnel proviene de un cliente de acceso telefónico, el dispositivo VPN solicita un nombre de usuario y una contraseña. Luego, esto se puede autenticar de forma local o enviarse al servidor AAC externo, que comprueba:

    • Quién es usted (Autenticación)

    • Qué tiene permitido hacer (Autorización)

    • Qué hace realmente (Cuenta)

    La información de Cuenta es especialmente útil para realizar el seguimiento de uso del cliente con fines de auditoría, facturación o informes de seguridad.

  • No rechazo: en determinadas transferencias de datos, especialmente las relacionadas con las transacciones financieras, el no rechazo es una función muy recomendable. Esto resulta útil para evitar situaciones donde una de las partes niega haber participado en una transacción. De manera similar a como un banco requiere su firma antes de otorgarle un cheque, el no rechazo funciona al agregar una firma digital en el mensaje enviado, por lo que impide la posibilidad de que el remitente niegue participación en la transacción.

Existe un número de protocolos que pueden utilizarse para crear una solución de VPN. Todos estos protocolos proporcionan un subconjunto de los servicios que aparecen en este documento. La elección de un protocolo depende del conjunto de servicios que desee. Por ejemplo, una organización puede no tener problemas con que los datos se transfieran en texto no cifrado, pero puede preocuparse por mantener su integridad, mientras que otra organización puede considerar la confidencialidad de los datos absolutamente esencial. Entonces, su elección de protocolos puede ser diferente. 

Productos VPN

Según el tipo de VPN (acceso remoto o de sitio a sitio), debe implementar ciertos componentes para generar la VPN. Entre ellos se encuentran:

    • Cliente de software de escritorio para cada usuario remoto

    • Hardware exclusivo, como un concentrador de VPN de Cisco o un Firewall Cisco Secure PIX

    • Servidor de VPN exclusivo para servicios telefónicos

    • Servidor de acceso a la red (NAS) usado por el proveedor de servicios para el acceso de VPN de usuario remoto

    • Red privada y Centro de administración de políticas

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Share this:

Abrir chat
1
Hola en que podemos ayudarte ?