Documente Academic
Documente Profesional
Documente Cultură
Índice
[ocultar]
Autentificación y autorización: ¿quién está del otro lado? Usuario/equipo y qué nivel de
acceso debe tener.
Integridad: de que los datos enviados no han sido alterados. Para ello se utilizan
funciones de Hash. Los algoritmos de hash más comunes son los Message
Digest (MD2 yMD5) y el Secure Hash Algorithm (SHA).
Confidencialidad/Privacidad: dado que solamente puede ser interpretada por los
destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption
Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
No repudio: es decir, un mensaje tiene que ir firmado, y quien lo firma no puede negar
que envió el mensaje.
Control de acceso: se trata de asegurar que los participantes autenticados tiene
acceso únicamente a los datos a los que están autorizados.
Auditoría y registro de actividades: se trata de asegurar el correcto funcionamiento y la
capacidad de recuperación.
Calidad del servicio: se trata de asegurar un buen rendimiento, que no haya una
degradación poco aceptable en la velocidad de transmisión.
Requisitos básicos[editar]
Identificación de usuario: las VPN deben verificar la identidad de los usuarios y
restringir su acceso a aquellos que no se encuentren autorizados.
Cifrado de datos: los datos que se van a transmitir a través de la red pública (Internet),
antes deben ser cifrados, para que así no puedan ser leídos si son interceptados. Esta
tarea se realiza con algoritmos de cifrado como DES o 3DES que únicamente pueden
ser leídos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado para
los usuarios.
Nuevo algoritmo de seguridad SEAL.
Tipos de VPN[editar]
Básicamente existen cuatro arquitecturas de conexión VPN:
VPN de acceso remoto[editar]
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se
conectan con la empresa desde sitios remotos (oficinas comerciales,
domicilios,hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de
acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red
local de la empresa. Muchas empresas han reemplazado con esta tecnología su
infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto[editar]
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las
conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores
de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de
Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a punto tradicionales (realizados comúnmente mediante
conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones
internacionales. Es más común el siguiente punto, también llamado tecnología de túnel
otunneling.
Tunneling[editar]
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo
de red encapsulador) creando un túnel dentro de una red de computadoras. El
establecimiento de dicho túnel se implementa incluyendo una PDU (unidades de datos de
protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del túnel sin que sea necesaria una interpretación intermedia de
la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel
queda definido por los puntos extremos y el protocolo de comunicación empleado, que
entre otros, podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se
esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la
redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de
tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y
redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo
de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-móvil. Se maneja de manera remota.
VPN over LAN[editar]
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente
para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos,
ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado
del cifrado, haciendo posible que solamente el personal de recursos humanos habilitado
pueda acceder a la información.
Otro ejemplo es la conexión a redes Wi-Fi haciendo uso de túneles cifrados IPSec o SSL
que además de pasar por los métodos de autenticación tradicionales (WEP, WPA,
direcciones MAC, etc.) agregan las credenciales de seguridad del túnel VPN creado en la
LAN interna o externa.
Implementaciones[editar]
El protocolo estándar de facto es el IPSEC, pero también
están PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en
cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.
Actualmente hay una línea de productos en crecimiento relacionada con el
protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas
soluciones.
Las aplicaciones VPN por software son las más configurables y son ideales cuando
surgen problemas de interoperatividad en los modelos anteriores. Obviamente el
rendimiento es menor y la configuración más delicada, porque se suma el sistema
operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las
soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo
productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan.
En ambos casos se pueden utilizar soluciones de firewall («cortafuegos» o «barrera de
fuego»), obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento
del rendimiento.
Ventajas[editar]
Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares distantes.
Tipos de conexión[editar]
Conexión de acceso remoto[editar]
Una conexión de acceso remoto es realizada por un cliente o un usuario de
una computadora que se conecta a una red privada, los paquetes enviados a través de la
conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al servidor
de acceso remoto, y el servidor se autentifica ante el cliente.
Conexión VPN router a router[editar]
Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a
una red privada. En este tipo de conexión, los paquetes enviados desde cualquierrouter no
se originan en los routers. El router que realiza la llamada se autentifica ante el router que
responde y este a su vez se autentifica ante el router que realiza la llamada y también sirve
para la intranet.
Conexión VPN firewall a firewall[editar]
Una conexión VPN firewall es realizada por uno de ellos, y éste a su vez se conecta a una
red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario
en Internet. El firewall que realiza la llamada se autentifica ante el que responde y éste a
su vez se autentifica ante el llamante.
VPN en entornos móviles[editar]
La VPN móvil se establece cuando el punto de terminación de la VPN no está fijo a una
única dirección IP, sino que se mueve entre varias redes como pueden ser las redes de
datos de operadores móviles o distintos puntos de acceso de una red Wifi.3 Las VPNs
móviles se han utilizado en seguridad pública dando acceso a las fuerzas de orden público
a aplicaciones críticas tales como bases de datos con datos de identificación de criminales,
mientras que la conexión se mueve entre distintas subredes de una red móvil.4También se
utilizan en la gestión de equipos de técnico y en organizaciones sanitarias5 entre otras
industrias. Cada vez más, las VPNs móviles están siendo adaptadas por profesionales que
necesitan conexiones fiables.6 Se utilizan para moverse entre redes sin perder la sesión de
aplicación o perder la sesión segura en la VPN. En una VPN tradicional no se pueden
soportar tales situaciones porque se produce la desconexión de la aplicación, time outs7 o
fallos, o incluso causar fallos en el dispositivo.8
Véase también[editar]
OpenVPN
Ciferespacio
Cifrado
Freenet
I2P
Referencias[editar]
1. Volver arriba↑ Mason, Andrew G. Cisco Secure Virtual Private Network. Cisco Press, 2002,
p. 7.
2. Volver arriba↑ Microsoft Technet. «Virtual Private Networking: An Overview».
3. Volver arriba↑ Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com,
July 16, 2006
4. Volver arriba↑ Willett, Andy. "Solving the Computing Challenges of Mobile Officers",
www.officer.com, May, 2006.
5. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007
6. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007
7. Volver arriba↑ Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com,
July 16, 2006
8. Volver arriba↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, December 11,
2007
Enlaces externos[editar]
NTVL-NAT Traversal VLAN/VPN
Microsoft Tech Net: Guía detallada de creación de una conexión de red privada virtual
de sitio a sitio
Cisco: Red privada virtual
Universidad de Valencia: Red privada virtual
Bloqueos por DNS y por IP, y qué VPN usar
OpenVPN
OpenVPN
Desarrollador(es)
Información general
Plataforma Multiplataforma
OpenVPN es una solución de conectividad basada en software libre: SSL (Secure Sockets
Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad
punto-a-punto con validación jerárquica de usuarios y host conectados remotamente,
resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas IEEE 802.11) y
soporta una amplia configuración, entre ellas balanceo de cargas. Está publicado bajo la
licencia GPL, de software libre.
Índice
[ocultar]
1Introducción
2Usos de las VPN
3Implementación de VPN
4Protocolos
5Seguridad en VPN
6Ventajas y Desventajas de OpenVPN
7Comparación entre OpenVPN e IPsec VPN
8Bibliografía
9Referencias
10Enlaces externos
Introducción[editar]
OpenVPN, es un producto de software creado por James Yonan en el año 2001 y que ha
estado mejorando desde entonces.
Ofrece una combinación de seguridad a nivel empresarial, seguridad, facilidad de uso y
riqueza de características.[cita requerida]
Es una solución multiplataforma que ha simplificado la configuración de VPN's frente a
otras soluciones más antiguas y difíciles de configurar como IPsec y haciéndola más
accesible para gente inexperta en este tipo de tecnología.
Por ejemplo: Supongamos que necesitamos comunicar diferentes sucursales de una
organización. A continuación veremos algunas soluciones que se han ofrecido como
respuesta a este tipo de necesidades.
En el pasado las comunicaciones se realizaban por correo, teléfono o fax. Hoy en día hay
factores que hacen necesaria la implementación de soluciones más sofisticadas de
conectividad entre las oficinas de las organizaciones a lo largo del mundo.
Dichos factores son:
Implementación de VPN[editar]
Supongamos que se tienen dos sitios de una organización conectados a Internet. En
ambos se contará con un equipo de conexión a la red de redes que cumplirá la función de
ruteo hacia y desde Internet así como firewall para protegerse de accesos no autorizados.
El software VPN debe estar instalado en ese firewall o algún dispositivo protegido por él.
Uno de los sitios será el “servidor” y será el sitio que contiene la información y sistemas
que queremos compartir, mientras que al otro lo llamaremos “cliente”. El servidor será
entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este
punto habremos logrado tener dos sitios comunicados como en una red directa real pero
aún no es una VPN dado que falta implementar la “privacidad”, pues cualquier nodo
intermedio de Internet puede leer la información que viaja sin protección. Lo que se debe
hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves
aseguren que solo equipos o personas dueños de esas claves puedan acceder a los datos
enviados por la VPN. Todos los datos enviados del punto A al B deberán ser cifrados antes
de ser enviados y descifrados en el otro extremo para posteriormente ser entregados
normalmente a su destinatario final. Uno de los factores que diferencian a una
implementación de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir
claves a todos los integrantes de dicha red.
Protocolos[editar]
Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de
red.
Implementaciones de capa 2 - Enlace
El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias
sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems. Teóricamente, las
tecnologías implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la
mayoría de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual
se establece la conexión con el otro lado del túnel.
Algunos ejemplos de estas tecnologías:
PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión
de PPP.
Su principal desventaja es que solo puede establecer un túnel por vez entre pares.
L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solución con
seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande
en la comunicación para lograrlo.
Implementaciones de capa 3 - Red
IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar
de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier
tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar para
protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede
ser usado prácticamente en cualquier plataforma existiendo una gran variedad de
soluciones tanto de software como de hardware.
Existen dos métodos principales usados por IPsec:
Seguridad en VPN[editar]
Para cifrar datos se usan Passwords o claves de cifrado.
OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-
compartidas y otro en SSL/TLS usando certificados y claves RSA.
Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos
usando el mecanismo conocido como “clave simétrica” y dicha clave debe ser instalada en
todas las máquinas que tomarán parte en la conexión VPN.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas
cuentan con la ventaja de la simplicidad.
Veremos a continuación ese método y otros que aportan mayor seguridad y facilidad de
distribución.
Cifrado simétrico y claves pre-compartidas
Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la
obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como
un integrante más de la VPN.
Es por ello que mecanismos como IPsec cambian las claves cada cierto período,
asociando a las mismas ciertos períodos de validez, llamados “tiempo de vida” o “lifetime”.
Una buena combinación de tiempo de vida y longitud de la clave asegurarán que un
atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga
(porque lo hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio
protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados
de los noventa y aún no ha sido terminado.
Es de destacar que la clave privada debe permanecer secreta mientras que la clave
pública debe ser intercambiada para que nos puedan enviar mensajes.
Seguridad SSL/TLS
Las bibliotecas SSL/TLS son parte del software OpenSSL que viene instalado en cualquier
sistema moderno e implementa mecanismos de cifrado y autenticación basados en
certificados. Los certificados generalmente son emitidos por entidades de reconocida
confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos en nuestra
propia VPN. Con un certificado firmado, el dueño del mismo es capaz de demostrar su
identidad a todos aquellos que confíen en la autoridad certificadora que lo emitió.
No tiene compatibilidad con IPsec que es el actual estándar para soluciones VPN.
Carencia de masa crítica [cita requerida].
Todavía son relativamente pocos los que saben cómo usar OpenVPN [cita requerida].
A día de hoy mayormente se puede conectar a otras computadoras o dispositivos con
IOS y Android [cita requerida]. Sin embargo, esto está cambiando, dado que existen
compañías desarrollando dispositivos con clientes OpenVPN integrados y haciendo
llegar esta tecnología a otros ámbitos como la automatización industrial (ver ejemplo
enPanasonic)
Comparación entre OpenVPN e IPsec VPN[editar]
IPsec OpenVPN
Necesidad de permisos de
Ejecuta en el espacio del usuario y puede ser chroot-ed
administrador
Diferentes implementaciones de
distintos proveedores pueden ser Tecnologías de cifrado estandarizadas
incompatibles entre si
Bibliografía[editar]
OpenVPN: Building and Integrating Virtual Private Networks – Markus Feilner – ISBN
1-904811-85
Sito web de OpenVPN. http://openvpn.net/howto.html
Sitio web de Ubuntu. http://www.ubuntu-es.org/node/5290
http://laurel.datsi.fi.upm.es/~rpons/openvpn_como/