Red privada virtual

«VPN» redirige aquí. Para otras acepciones, véase VPN (desambiguación).

Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una
tecnología de red de computadoras que permite una extensión segura de la red de área
local(LAN) sobre una red pública o no controlada como Internet. Permite que la
computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si
fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red
privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso
de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su
equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la
infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area
network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado—
de allí la designación "virtual private network".2

Índice
[ocultar]

 1Características básicas de la seguridad

 2Requisitos básicos
 3Tipos de VPN
o 3.1VPN de acceso remoto
o 3.2VPN punto a punto
 3.2.1Tunneling
o 3.3VPN over LAN
 4Implementaciones
 5Ventajas
 6Tipos de conexión
o 6.1Conexión de acceso remoto
o 6.2Conexión VPN router a router
o 6.3Conexión VPN firewall a firewall
o 6.4VPN en entornos móviles
 7Véase también
 8Referencias
 9Enlaces externos

Características básicas de la seguridad[editar]

Para hacerlo posible de manera segura es necesario proporcionar los medios para
garantizar la autentificación.

 Autentificación y autorización: ¿quién está del otro lado? Usuario/equipo y qué nivel de
acceso debe tener.
 Integridad: de que los datos enviados no han sido alterados. Para ello se utilizan
funciones de Hash. Los algoritmos de hash más comunes son los Message
Digest (MD2 yMD5) y el Secure Hash Algorithm (SHA).
 Confidencialidad/Privacidad: dado que solamente puede ser interpretada por los
destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption
Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
 No repudio: es decir, un mensaje tiene que ir firmado, y quien lo firma no puede negar
que envió el mensaje.
 Control de acceso: se trata de asegurar que los participantes autenticados tiene
acceso únicamente a los datos a los que están autorizados.
 Auditoría y registro de actividades: se trata de asegurar el correcto funcionamiento y la
capacidad de recuperación.
 Calidad del servicio: se trata de asegurar un buen rendimiento, que no haya una
degradación poco aceptable en la velocidad de transmisión.

Requisitos básicos[editar]
 Identificación de usuario: las VPN deben verificar la identidad de los usuarios y
restringir su acceso a aquellos que no se encuentren autorizados.
 Cifrado de datos: los datos que se van a transmitir a través de la red pública (Internet),
antes deben ser cifrados, para que así no puedan ser leídos si son interceptados. Esta
tarea se realiza con algoritmos de cifrado como DES o 3DES que únicamente pueden
ser leídos por el emisor y receptor.
 Administración de claves: las VPN deben actualizar las claves de cifrado para
los usuarios.
 Nuevo algoritmo de seguridad SEAL.

Tipos de VPN[editar]
Básicamente existen cuatro arquitecturas de conexión VPN:
VPN de acceso remoto[editar]
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas comerciales,
domicilios,hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de
acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red
local de la empresa. Muchas empresas han reemplazado con esta tecnología su
infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto[editar]
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las
conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores
de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de
Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a punto tradicionales (realizados comúnmente mediante
conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones
internacionales. Es más común el siguiente punto, también llamado tecnología de túnel
otunneling.
Tunneling[editar]
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo
de red encapsulador) creando un túnel dentro de una red de computadoras. El
establecimiento de dicho túnel se implementa incluyendo una PDU (unidades de datos de
protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del túnel sin que sea necesaria una interpretación intermedia de
la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel
queda definido por los puntos extremos y el protocolo de comunicación empleado, que
entre otros, podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se
esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la
redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de
tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y
redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo
de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-móvil. Se maneja de manera remota.
VPN over LAN[editar]
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente
para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos,
ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado
del cifrado, haciendo posible que solamente el personal de recursos humanos habilitado
pueda acceder a la información.
Otro ejemplo es la conexión a redes Wi-Fi haciendo uso de túneles cifrados IPSec o SSL
que además de pasar por los métodos de autenticación tradicionales (WEP, WPA,
direcciones MAC, etc.) agregan las credenciales de seguridad del túnel VPN creado en la
LAN interna o externa.

Implementaciones[editar]
El protocolo estándar de facto es el IPSEC, pero también
están PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en
cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.
Actualmente hay una línea de productos en crecimiento relacionada con el
protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas
soluciones.

 Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de

configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de
esta familia tenemos a los productos
de Fortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper
Networks), Symantec, Nokia, U.S. Robotics, D-link, Mikrotik, etc.

 Las aplicaciones VPN por software son las más configurables y son ideales cuando
surgen problemas de interoperatividad en los modelos anteriores. Obviamente el
rendimiento es menor y la configuración más delicada, porque se suma el sistema
operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las
soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo
productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan.
En ambos casos se pueden utilizar soluciones de firewall («cortafuegos» o «barrera de
fuego»), obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento
del rendimiento.

Ventajas[editar]
 Integridad, confidencialidad y seguridad de datos.
 Las VPN reducen los costos y son sencillas de usar.
 Facilita la comunicación entre dos usuarios en lugares distantes.

Tipos de conexión[editar]
Conexión de acceso remoto[editar]
Una conexión de acceso remoto es realizada por un cliente o un usuario de
una computadora que se conecta a una red privada, los paquetes enviados a través de la
conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al servidor
de acceso remoto, y el servidor se autentifica ante el cliente.
Conexión VPN router a router[editar]
Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a
una red privada. En este tipo de conexión, los paquetes enviados desde cualquierrouter no
se originan en los routers. El router que realiza la llamada se autentifica ante el router que
responde y este a su vez se autentifica ante el router que realiza la llamada y también sirve
para la intranet.
Conexión VPN firewall a firewall[editar]
Una conexión VPN firewall es realizada por uno de ellos, y éste a su vez se conecta a una
red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario
en Internet. El firewall que realiza la llamada se autentifica ante el que responde y éste a
su vez se autentifica ante el llamante.
VPN en entornos móviles[editar]
La VPN móvil se establece cuando el punto de terminación de la VPN no está fijo a una
única dirección IP, sino que se mueve entre varias redes como pueden ser las redes de
datos de operadores móviles o distintos puntos de acceso de una red Wifi.3 Las VPNs
móviles se han utilizado en seguridad pública dando acceso a las fuerzas de orden público
a aplicaciones críticas tales como bases de datos con datos de identificación de criminales,
mientras que la conexión se mueve entre distintas subredes de una red móvil.4También se
utilizan en la gestión de equipos de técnico y en organizaciones sanitarias5 entre otras
industrias. Cada vez más, las VPNs móviles están siendo adaptadas por profesionales que
necesitan conexiones fiables.6 Se utilizan para moverse entre redes sin perder la sesión de
aplicación o perder la sesión segura en la VPN. En una VPN tradicional no se pueden
soportar tales situaciones porque se produce la desconexión de la aplicación, time outs7 o
fallos, o incluso causar fallos en el dispositivo.8

Véase también[editar]
 OpenVPN
 Ciferespacio
 Cifrado
 Freenet
 I2P

Referencias[editar]
1. Volver arriba↑ Mason, Andrew G. Cisco Secure Virtual Private Network. Cisco Press, 2002,
p. 7.
2. Volver arriba↑ Microsoft Technet. «Virtual Private Networking: An Overview».
3. Volver arriba↑ Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com,
July 16, 2006
 4. Volver arriba↑ Willett, Andy. "Solving the Computing Challenges of Mobile Officers",
www.officer.com, May, 2006.
5. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007
6. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007
7. Volver arriba↑ Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com,
July 16, 2006
8. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007

Enlaces externos[editar]
 NTVL-NAT Traversal VLAN/VPN
 Microsoft Tech Net: Guía detallada de creación de una conexión de red privada virtual
de sitio a sitio
 Cisco: Red privada virtual
 Universidad de Valencia: Red privada virtual
 Bloqueos por DNS y por IP, y qué VPN usar

OpenVPN
OpenVPN

The Open-Source VPN

Desarrollador(es)

OpenVPN project / OpenVPN Technologies, Inc.

openvpn.net

Información general

Autor(es) James Yonan

Lanzamiento inicial 1.1.0 / 10 de abril de 20021

Última versión estable 2.3.72

8 de junio de 2015 (1 año, 4 meses y 9 días)
 Género VPN

Plataforma Multiplataforma

Licencia GNU GPL

[editar datos en Wikidata]

OpenVPN es una solución de conectividad basada en software libre: SSL (Secure Sockets
Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad
punto-a-punto con validación jerárquica de usuarios y host conectados remotamente,
resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas IEEE 802.11) y
soporta una amplia configuración, entre ellas balanceo de cargas. Está publicado bajo la
licencia GPL, de software libre.

Índice
[ocultar]

 1Introducción
 2Usos de las VPN
 3Implementación de VPN
 4Protocolos
 5Seguridad en VPN
 6Ventajas y Desventajas de OpenVPN
 7Comparación entre OpenVPN e IPsec VPN
 8Bibliografía
 9Referencias
 10Enlaces externos

Introducción[editar]
OpenVPN, es un producto de software creado por James Yonan en el año 2001 y que ha
estado mejorando desde entonces.
Ofrece una combinación de seguridad a nivel empresarial, seguridad, facilidad de uso y
riqueza de características.[cita requerida]
Es una solución multiplataforma que ha simplificado la configuración de VPN's frente a
otras soluciones más antiguas y difíciles de configurar como IPsec y haciéndola más
accesible para gente inexperta en este tipo de tecnología.
Por ejemplo: Supongamos que necesitamos comunicar diferentes sucursales de una
organización. A continuación veremos algunas soluciones que se han ofrecido como
respuesta a este tipo de necesidades.
En el pasado las comunicaciones se realizaban por correo, teléfono o fax. Hoy en día hay
factores que hacen necesaria la implementación de soluciones más sofisticadas de
conectividad entre las oficinas de las organizaciones a lo largo del mundo.
Dichos factores son:

 La aceleración de los procesos de negocios y su consecuente aumento en la

necesidad de intercambio flexible y rápido de información.
 Muchas organizaciones tienen varias sucursales en diferentes ubicaciones así como
también tele trabajadores remotos desde sus casas, quienes necesitan intercambiar
información sin ninguna demora, como si estuvieran físicamente juntos.
 La necesidad de las redes de computación de cumplir altos estándares de seguridad
que aseguren la autenticidad, integridad y disponibilidad.
Líneas dedicadas
Las necesidades antes mencionadas se satisfacían en principio colocando líneas
dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de
simple acceso a Internet. Se necesitaban conexiones físicas reales necesitando de un
proveedor en cada sitio resultando en una solo línea de comunicación entre dos partes.
Por ejemplo, para una red de 4 nodos en la cual se buscase comunicación de todos con
todos, habría que tender 6 líneas de comunicación.
Además, para dar conectividad a trabajadores domésticos o viajeros se implementaban
servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante
conexiones de módem o líneas ISDN2 donde la organización se comportaba como un
proveedor de Internet (ISP).

Acceso mediante Internet y VPNs

Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas
tecnologías. Surgió entonces la idea de utilizar a Internet como medio de comunicación
entre los diferentes sitios de la organización. Surge así la idea de las VPN's que son
“Virtuales” y “Privadas”. Virtuales porque no son redes directas reales entre partes, sino
solo conexiones virtuales provistas mediante software sobre la red Internet. Además son
privadas porque solo la gente debidamente autorizada puede leer los datos transferidos
por este tipo de red logrando la seguridad mediante la utilización de modernos
mecanismos de criptografía. Retomando el ejemplo anterior de una organización con
cuatro sitios, ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis
dedicadas de antes. Además los que se conectan temporalmente, también lo hacen
mediante una conexión a Internet, mucho más barata y accesible desde muchos lugares,
como por ejemplo de cibercafés.

Usos de las VPN[editar]

Las VPN se usan generalmente para:

 Conexión entre diversos puntos de una organización a través de Internet.

 Conexiones de trabajadores domésticos o de campo con IP dinámicas.
 Soluciones extranet para clientes u organizaciones asociadas con los cuales se
necesita intercambiar cierta información en forma privada pero no se les debe dar
acceso al resto de la red interna.
 Además brinda una excelente fiabilidad en la comunicación de usuarios móviles así
como también al unir dos puntos distantes como agencias de una empresa dentro de
una sola red unificada.

Implementación de VPN[editar]
Supongamos que se tienen dos sitios de una organización conectados a Internet. En
ambos se contará con un equipo de conexión a la red de redes que cumplirá la función de
ruteo hacia y desde Internet así como firewall para protegerse de accesos no autorizados.
El software VPN debe estar instalado en ese firewall o algún dispositivo protegido por él.
Uno de los sitios será el “servidor” y será el sitio que contiene la información y sistemas
que queremos compartir, mientras que al otro lo llamaremos “cliente”. El servidor será
entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este
punto habremos logrado tener dos sitios comunicados como en una red directa real pero
aún no es una VPN dado que falta implementar la “privacidad”, pues cualquier nodo
intermedio de Internet puede leer la información que viaja sin protección. Lo que se debe
hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves
aseguren que solo equipos o personas dueños de esas claves puedan acceder a los datos
enviados por la VPN. Todos los datos enviados del punto A al B deberán ser cifrados antes
de ser enviados y descifrados en el otro extremo para posteriormente ser entregados
normalmente a su destinatario final. Uno de los factores que diferencian a una
implementación de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir
claves a todos los integrantes de dicha red.

Protocolos[editar]
Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de
red.
Implementaciones de capa 2 - Enlace
El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias
sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems. Teóricamente, las
tecnologías implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la
mayoría de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual
se establece la conexión con el otro lado del túnel.
Algunos ejemplos de estas tecnologías:

 PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión
de PPP.
Su principal desventaja es que solo puede establecer un túnel por vez entre pares.

 L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece

mejores posibilidades que PPTP principalmente en el uso de conexiones simultáneas.

 L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otros fabricantes, se ha

convertido en estándar de la industria y combina las ventajas de PPTP y L2F y
además eliminando las desventajas. Dado que esta solución no ofrece mecanismos de
seguridad, para su uso deberá ser combinada con otros mecanismos generalmente
implementados en capa 3 del modelo OSI.

 L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solución con
seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande
en la comunicación para lograrlo.
Implementaciones de capa 3 - Red
IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar
de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier
tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar para
protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede
ser usado prácticamente en cualquier plataforma existiendo una gran variedad de
soluciones tanto de software como de hardware.
Existen dos métodos principales usados por IPsec:

 Modo Túnel. Todos los paquetes IP son encapsulados en un nuevo paquete y

enviados a través del túnel siendo desempaquetados en el otro extremo y
posteriormente dirigidos a su destinatario final. En este modo, se protegen las
direcciones IP de emisor y receptor así como el resto de los metadatos de los
paquetes.

 Modo Transporte. Solo la carga útil (payload) de la sección de datos es cifrada y

encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso
anterior, pero se exponen los metadatos a posibles atacantes que podrán ver quien se
está comunicando con quien.
Implementaciones de capa 7 - Aplicación
También es posible establecer túneles en la capa de aplicación y de hecho son
ampliamente utilizados hoy en día siendo algunas aproximaciones soluciones
como SSL6 yTLS7. El usuario accede a la VPN de la organización a través de un
navegador iniciando la conexión en un sitio web seguro (HTTPS-Secured website).
Además, existen otros productos como SSL-Explorer y otros que ofrecen una combinación
de gran flexibilidad, seguridad fuerte y facilidad de configuración. La seguridad es lograda
mediante cifrado del tráfico usando mecanismos SSL/TLS, los cuales han probado ser muy
seguros y están siendo constantemente sometidos a mejoras y pruebas.
Implementación OpenVPN
OpenVPN es una solución para VPN que implementa conexiones de capa 2 o 3, usa los
estándares de la industria SSL/TLS para cifrar y combina todas las características
mencionadas anteriormente en las otras soluciones VPN. Su principal desventaja por el
momento es que hay muy pocos fabricantes de hardware que lo integren en sus
soluciones. Sin embargo, en sistemas basados en Linux se puede implementar sin
problemas mediante software.

Seguridad en VPN[editar]
Para cifrar datos se usan Passwords o claves de cifrado.
OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-
compartidas y otro en SSL/TLS usando certificados y claves RSA.
Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos
usando el mecanismo conocido como “clave simétrica” y dicha clave debe ser instalada en
todas las máquinas que tomarán parte en la conexión VPN.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas
cuentan con la ventaja de la simplicidad.
Veremos a continuación ese método y otros que aportan mayor seguridad y facilidad de
distribución.
Cifrado simétrico y claves pre-compartidas
Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la
obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como
un integrante más de la VPN.
Es por ello que mecanismos como IPsec cambian las claves cada cierto período,
asociando a las mismas ciertos períodos de validez, llamados “tiempo de vida” o “lifetime”.
Una buena combinación de tiempo de vida y longitud de la clave asegurarán que un
atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga
(porque lo hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio
protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados
de los noventa y aún no ha sido terminado.

Cifrado asimétrico con SSL/TLS

SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los
integrantes de la VPN.
Cada integrante tiene dos claves, una pública y otra privada.
La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a
la contraparte quien conoce la clave privada que es imprescindible para descifrar los datos.
El par de clave pública/privada es generado a partir de algoritmos matemáticos que
aseguran que solo con la clave privada es posible leer los datos originales. Si se
encontrase un modo de quebrar la seguridad que estos algoritmos proporcionan, todas las
conexiones cuya integridad depende de ellos se verían potencialmente comprometidas.

Es de destacar que la clave privada debe permanecer secreta mientras que la clave
pública debe ser intercambiada para que nos puedan enviar mensajes.
Seguridad SSL/TLS
Las bibliotecas SSL/TLS son parte del software OpenSSL que viene instalado en cualquier
sistema moderno e implementa mecanismos de cifrado y autenticación basados en
certificados. Los certificados generalmente son emitidos por entidades de reconocida
confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos en nuestra
propia VPN. Con un certificado firmado, el dueño del mismo es capaz de demostrar su
identidad a todos aquellos que confíen en la autoridad certificadora que lo emitió.

Ventajas y Desventajas de OpenVPN[editar]

Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado
sin sufrir la complejidad de otras soluciones VPN como las de IPsec.
Además ofrece otras ventajas comparativas, como son:

 Posibilidad de implementar dos modos básicos, en capa 2 o capa 3, con lo que se

logran túneles capaces de enviar información en otros protocolos no-IP como IPX o
broadcast (NETBIOS).
 Protección de los usuarios remotos. Una vez que OpenVPN ha establecido un túnel el
firewall de la organización protegerá el laptop remoto aún cuando no es un equipo de
la red local. Por otra parte, sólo un puerto de red podrá ser abierto hacia la red local
por el remoto asegurando protección en ambos sentidos.
 Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall. Si se
posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un túnel
OpenVPN debería funcionar sin ningún problema.
 Soporte para proxy. Funciona a través de proxy y puede ser configurado para ejecutar
como un servicio TCP o UDP y además como servidor (simplemente esperando
conexiones entrantes) o como cliente (iniciando conexiones).
 Sólo un puerto en el firewall debe ser abierto para permitir conexiones, dado que
desde OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o
UDP.
 Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de
firewall muy específicas.
 Todos los conceptos de reglas, restricciones, reenvío y NAT10 pueden ser usados en
túneles OpenVPN.
 Alta flexibilidad y posibilidades de extensión mediante scripting. OpenVPN ofrece
numerosos puntos para ejecutar scripts individuales durante su arranque.
 Soporte transparente para IPs dinámicas. Se elimina la necesidad de usar direcciones
IP estáticas en ambos lados del túnel.
 Ningún problema con NAT. Tanto los clientes como el servidor pueden estar en la red
usando solamente IPs privadas.
 Instalación sencilla en cualquier plataforma. Tanto la instalación como su uso son muy
simples.
 Diseño modular. Se basa en un excelente diseño modular con un alto grado de
simplicidad tanto en seguridad como red.
Desventajas

 No tiene compatibilidad con IPsec que es el actual estándar para soluciones VPN.
 Carencia de masa crítica [cita requerida].
 Todavía son relativamente pocos los que saben cómo usar OpenVPN [cita requerida].
 A día de hoy mayormente se puede conectar a otras computadoras o dispositivos con
IOS y Android [cita requerida]. Sin embargo, esto está cambiando, dado que existen
compañías desarrollando dispositivos con clientes OpenVPN integrados y haciendo
llegar esta tecnología a otros ámbitos como la automatización industrial (ver ejemplo
enPanasonic)
Comparación entre OpenVPN e IPsec VPN[editar]

IPsec OpenVPN

Estándar de la tecnología VPN No compatible con IPsec

Solo en computadoras, pero en todos los sistemas

Plataformas de hardware (dispositivos,
operativos disponibles, ya comienzan a encontrarse
aparatos)
dispositivos que cuentan con OpenVPN

Tecnología conocida y probada Probada y sigue en crecimiento

Sin interfaces gráficas profesionales, aunque ya existen

Muchas interfaces gráficas disponibles
algunos proyectos prometedores

Modificación compleja del stack IP Tecnología sencilla

Necesidad de modificaciones críticas al

Interfaces de red y paquetes estandarizados
kernel

Necesidad de permisos de
Ejecuta en el espacio del usuario y puede ser chroot-ed
administrador

Diferentes implementaciones de
distintos proveedores pueden ser Tecnologías de cifrado estandarizadas
incompatibles entre si

Configuración compleja y tecnología Facilidad, buena estructuración, tecnología modular y

compleja facilidad de configuración

Fácil de aprender e implementar (incluso para

Curva de aprendizaje muy pronunciada
principiantes)

Necesidad de uso de múltiples puertos y

Utiliza sólo un puerto del firewall
protocolos en el firewall
 Trabaja con servidores de nombres dinámicos como
Problemas con direcciones dinámicas
DynDNS o No-IP con reconexiones rápidas y
en ambas puntas
transparentes

Problemas de seguridad de las

SSL/TLS como estándar de criptografía
tecnologías IPsec

Control de tráfico (Traffic shaping)

Velocidad (más de 20 Mbps en máquinas de 1Ghz)

Compatibilidad con firewall y proxies

Ningún problema con NAT (ambos lados puede ser

redes NATeadas)

Posibilidades para road warriors

Bibliografía[editar]
 OpenVPN: Building and Integrating Virtual Private Networks – Markus Feilner – ISBN
1-904811-85
 Sito web de OpenVPN. http://openvpn.net/howto.html
 Sitio web de Ubuntu. http://www.ubuntu-es.org/node/5290
 http://laurel.datsi.fi.upm.es/~rpons/openvpn_como/