lopezatienza.com

INDICE

1.- INTRODUCCIÓN

1.1.- ¿ Por qué una vpn ?

2.- DEFINICION DE VPN

2.1.- La seguridad en un tunel privado

2.2.- Principales protocolos utilizados

2.3.- Categorías de VPN

2.4.- Beneficios de una VPN

3.-PROTEGIENDO LA RED: VPN Y FIREWALL

3.1.- controles y riegos asociados a la tecnología vpn

3.2.- certificados digitales

3.3.-autentificacion fuerte

3.4.- Firewall y sistemas autorizacion

4.-CONCLUSION

1.     INTRODUCCIÓN

Las VPNs utilizan protocolos especiales de seguridad que permiten, únicamente al personal autorizado, obtener acceso a servicios privados de una organización: cuando un empleado se conecta a Internet, la configuración VPN le permite conectarse a la red privada de la Compañía y navegar en la red como si estuvieran localmente en la oficina.

1.1.        ¿Por qué UNA VPN?

Cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo tres opciones:

·       Modem: Las desventajas es el coste de la llamada, ya que el costo de esta llamada sería por minuto conectado, ademas sería una llamada de larga distancia, a parte no contaría con la calidad y velocidad adecuadas.

·       Línea Privada: Tendría que tender mi cable ya sea de cobre o fibra óptica de un punto a otro, en esta opción el costo es muy elevado porque si por ejemplo necesito enlazar mi oficina central con una sucursal que se encuentra a 200 Kilómetros de distancia el costo sería por la renta mensual por Kilómetro. Sin importar el uso.

VPN: Los costos son bajos porque solo realizo llamadas locales, ademas de tener la posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y velocidad.

2.             DEFINICIÓN DE VPN

Una de las necesidades vitales de la empresa moderna es la posibilidad de compartir información, particularmente para aquellas empresas que se encuentran dispersas, con sedes en diferentes zonas y unidades de negocio que no se encuentran en el mismo entorno físico. Hasta el momento, las grandes corporaciones habían solucionado el problema mediante sistemas de comunicación como líneas punto a punto y sofisticadas instalaciones de interconexión. Aunque efectivas, estas soluciones quedaban fuera del alcance de empresas de menor tamaño y con recursos económicos y técnicos más escasos.
Desde hace  un tiempo, apareció una nueva fórmula de interconexión con tecnologías de menor costo,VPN – Virtual Private Network (red privada virtual), el cual no es en realidad, ninguna novedad tecnológica.

Una VPN (Virtual Private Network) es una estructura de red corporativa implantada sobre una red de recursos de transmisión y conmutación públicos, que utiliza la misma gestión y políticas de acceso que se utilizan en las redes privadas. En la mayoría de los casos la red pública es Internet, pero también puede ser una red ATM o Frame Relay. Puede definirse como una red privada que se extiende, mediante procesos de encapsulación y cifrado, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte, como la Internet.

Las funcionalidades de una VPN están definidas más que por el protocolo de transporte WAN, por los dispositivos instalados en sus extremos, encargados de realizar la conexión con los elementos de la red de área local, en los puntos remotos a través de la WAN. Las VPN pueden enlazar las oficinas corporativas con aliados comerciales o asociados de negocio, usuarios móviles y sucursales remotas, mediante canales de comunicación seguros utilizando protocolos como IPSec (IP Secure), como se muestra la Figura N° 1.

 

Figura N° 1: Conexión de la Red Corporativa a través de una VPN

2.1.     La seguridad en un “túnel” privado

 

Los paquetes de datos de una VPN viajan por medio de un “túnel” definido en la red pública. El túnel es la conexión definida entre dos puntos en modo similar a como lo hacen los circuitos en una topología WAN basada en paquetes. A diferencia de los protocolos orientados a paquetes, capaces de enviar los datos a través de una variedad de rutas antes de alcanzar el destino final, un túnel representa un circuito virtual dedicado entre dos puntos. Para crear el túnel es preciso que un protocolo especial encapsule cada paquete origen en uno nuevo que incluya los campos de control necesarios para crear, gestionar y deshacer el túnel, tal como se muestra en la Figura N° 2.

Figura N° 2: Túnel en una VPN

Adicionalmente las VPNs emplean el túnel con propósitos de seguridad. Los paquetes utilizan inicialmente funciones de cifrado, autenticación o integridad de datos, y después se encapsulan en paquetes IP (Internet Protocol). Posteriormente los paquetes son descrifrados en su destino.

2.2.     Principales protoclos utilizados.

Entre los principales protocolos utilizados para el proceso de “tunneling” se pueden mencionar:

PPTP (Point-to-Point Tunneling Protocol):

PPTP es un protocolo de red que permite la realización de transferencias desde clientes remotos a servidores localizados en redes privadas. Para ello emplea tanto líneas telefónicas conmutadas como Internet. PPTP es una extensión de PPP que soporta control de flujos y túnel multiprotocolo sobre IP.

L2F (Layer 2 Forwarding):

El protocolo L2F tiene como objetivo proporcionar un mecanismo de “tunneling” para el transporte de tramas a nivel de enlace: HDLC, PPP, SLIP, etc. El proceso de “tunneling” involucra tres protocolos diferentes: el protocolo pasajero representa el protocolo de nivel superior que debe encapsularse; el protocolo encapsulador indica el protocolo que será empleado para la creación, mantenimiento y destrucción del túnel de comunicación (el protocolo encapsulador es L2F); y el protocolo portador será el encargado de realizar el transporte de todo el conjunto.

L2TP (Layer 2 Tunneling Protocol):

Encapsula características PPTP y L2F como un todo, resolviendo los problemas de interoperatividad entre ambos protocolos. Permite el túnel del nivel de enlace de PPP, de forma que los paquetes IP, IPX y AppleTalk enviados de forma privada, puedan ser transportados por Internet. Para seguridad de los datos se apoya en IPSec.

IPSec (IP Secure):

Protocolo de seguridad que opera sobre la capa de red que proporciona un canal seguro para los datos. Ofrece integridad, autenticación, control de acceso y confidencialidad para el envío de paquetes IP por Internet.

2.3.     Categorías de VPN

? Las VPN pueden dividirse en tres categorías:

VPN de Acceso Remoto: Conectan usuarios móviles con mínimo tráfico a la red corporativa. Proporcionan acceso desde una red pública, con las mismas políticas de la red privada. Los accesos pueden ser tanto sobre líneas analógicas, digitales, RDSI o DSL.

VPN de Intranet: Permite conectar localidades fijas a la red corporativa usando conexiones dedicadas.

VPN de Extranet: Proporciona acceso limitado a los recursos de la corporación a sus aliados comerciales externos como proveedores y clientes, facilitando el acceso a la información de uso común para todos a través de una estructura de comunicación pública.

2.4.     Beneficios de una VPN

Actualmente, las VPNs pueden aportar grandes beneficios a las empresas, por la diversidad de servicios que ofrecen y que ayudan a fortalecer los objetivos del negocio. Una estrategia de VPN debe estar basada en función a las necesidades de la empresa. En la Figura N° 3, se resume las demandas actuales de los servicios IP VPN.

Figura N° 3: Demanda de servicios de una VPN

Podemos decir que las VPNs ofrecen muchas ventajas sobre las redes tradicionales basadas en líneas arrendadas.

 Algunos de sus principales beneficios son los siguientes:

· Reducción de costos: El costo total de conectividad se reduce debido a la eliminación de servicios como líneas arrendadas, equipo de acceso dial-up, tiempo de staff de TI para configurar y mantener equipos, contratos de mantenimiento de equipos, equipos PBX (en el que el cliente es propietario), servidor de autenticación dial-up, sistemas UPS para equipos dial-up, números “800”, enlaces ATM y conexiones ISDN.

El costo de un enlace dedicado alquilado se incrementa con la distancia, como podemos ver en la Figura 4(a). Sin embargo, Internet puede usarse para suministrar larga distancia de la conexión y reducir substancialmente el costo de los enlaces WAN, como mostramos en la Figura 4(b).

Figura N° 4: Comparación entre línea dedicada y VPN

Asimismo, la Figura N° 5 ilustra el viejo método de implantar el acceso remoto para “teletrabajadores” y usuarios móviles, el cual consiste en configurar un RAS (Remote Access Server) y un banco de módem para recibir llamadas. Bajo este esquema, se necesitan varias líneas telefónicas de entrada para cada módem, además de pagar los costos de todas las líneas si los usuarios remotos llaman desde sitios distantes. Sin mebargo, la Figura N° 6 muestra un esquema de VPN en el que los servicios de acceso remoto se trasladas a un ISP, y sólo se tiene una línea para acceder al ISP y los usuarios remotos usan Internet para acceder a la red corporativa.

Figura N° 5: Una conexión RAS convencional

Figura N° 6: Una conexión por Internet

· Escalabilidad: Las VPNs son arquitecturas de red más escalables y flexibles que las WAN tradicionales, debido a que permiten a las corporaciones agregar o eliminar sus sistemas localizados remotamente, “teletrabajadores” o aliados comerciales de forma fácil y poco costosa en función de las necesidades del negocio.

· Seguridad: Bajo el esquema de VPN la conexión a través de Internet es cifrada. El servidor de acceso remoto exige el uso de protocolos de autenticación y cifrado. Los datos confidenciales quedan ocultos a los usuarios de Internet, pero los usuarios atorizados pueden tener acceso a ellos a través de la VPN.

· Diseño de red simplificado: Un diseño de red con tecnología VPN se simplifica en términos de diseño de arquitectura, flexibilidad y mantenimiento, debido a que se reducen los costos asociados a la gestión de red.

· Compatibilidad: Como se aceptan la mayor parte de los protocolos de red más comunes (incluidos TCP/IP, IPX y NetBEUI), las VPNs puede ejecutar de forma remota cualquier aplicación que dependa de estos protocolos de red específicos.

· Administración centralizada: Algunos proveedores soportan la característica de administración centralizada de sus productos VPN. Esto representa una fuerte característica de seguridad y un buen mecanismo para la resolución de problemas.

· Prioridad de Tráfico: Algunos proveedores ofrecen la funcionalidad de priorizar tráfico en sus productos VPN. Esto agrega gran flexibilidad a la corporación en cuanto a la utilización de los enlaces de Internet, debido a que se puede decidir en qué orden se preserva el ancho de banda según el tipo de tráfico permitido y de acuerdo a su importancia.

3.      PROTEGIENDO LA RED: VPN Y FIREWALL.

La mayoría de las organizaciones hoy día protegen sus instalaciones mediante firewalls. Estos dispositivos deben configurarse para que permitan pasar el tráfico VPN. En la Figura N° 7 se muestra la configuración típica, donde el servidor VPN está colocado detrás del firewall, en la zona desmilitarizada (DMZ) o en la propia red interna.

Figura N° 7: Firewall y Servidor VPN en dispositivos separados

En la práctica, muchos firewalls incorporan un servidor VPN (Ver Figura N° 8). Las reglas del firewall deben permitir el tráfico PPTP, L2TP e IPSec en base a los puertos utilizados.

Figura N° 8: Firewall y Servidor VPN incorporados en un mismo dispositivo

3.1.     Controles y riesgos asociados a la tecnología VPN

Cuando se desea implantar una VPN se debe estar consciente de las ventajas que va a aportar a la organización, sin embargo, es importante considerar los riesgos que estas facilidades implican en caso de no adoptarse las medidas necesarias al implantar una VPN “segura”. Los estándares utilizados para la implementación de VPNs, garantizan la privacidad e integridad de los datos y permiten la autenticación de los extremos de la comunicación, pero esto no es suficiente: el uso erróneo de las VPN puede ser catastrófico para el negocio.

Las medidas para implantar una VPN “segura” incluyen el uso de certificados digitales para la autenticación de equipos VPN, token cards o tarjetas inteligentes para la autenticación “fuerte” de usuarios remotos, y para el control de acceso es importante contar con un Firewall y sistemas de autorización.

3.2.     Certificados digitales:

Con el uso de certificados digitales, se garantiza la autenticación de los elementos remotos que generan el túnel y elimina el problema de la distribución de claves. Implantar un sistema PKI (Infraestructura de Clave Pública) para emitir los certificados digitales, permite tener el control absoluto de la emisión, renovación y revocación de los certificados digitales usados en la VPN. El uso de PKI no se limita sólo a las VPNs sino que puede utilizarse para aplicaciones como firmas digitales, cifrado de correo electrónico, entre otras.

3.3.     Autenticación fuerte:

En la implantación de una VPN se debe verificar que se estén realmente autenticando los usuarios. Esto dependerá de dónde se almacene el certificado digital y la clave privada. Si el certificado digital y la clave privada se almacenan, protegidos por un PIN, en una tarjeta inteligente que el usuario lleva consigo, se está autenticando al usuario. Desafortunadamente, aun no existe un estándar definido que permita la implantación a gran escala de lectores de tarjetas en los PCs. Por lo que esta opción en algunos casos no es factible. Si, por el contrario, el certificado digital y la clave privada se almacenan en el propio PC, no se está autenticando al usuario sino al PC. Para autenticar al usuario, algunos fabricantes de sistemas VPN han añadido un segundo nivel de autenticación.

El uso de contraseñas es un nivel adicional de seguridad, pero no es el más adecuado, ya que carecen de los niveles de seguridad necesarios debido a que son fácilmente reproducibles, pueden ser capturadas y realmente no autentican a la persona.

El método más adecuado es autenticar a los usuarios remotos mediante un la utilización de sistemas de autenticación fuerte. Estos sistemas se basan en la combinación de dos factores: el token y el PIN. De esta forma se asegura que sólo los usuarios autorizados acceden a la VPN de la organización.

3.4. Firewall y Sistemas de Autorización:

El control de acceso se puede realizar utilizando Firewalls y sistemas de autorización; de esta manera se aplican políticas de acceso a determinados sistemas y aplicaciones de acuerdo al tipo de usuarios o grupos de usuarios que los acceden.

4. CONCLUSIÓN

Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y practicamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la trasnferencia de datos de un lugar a otro, el unico inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias.

Autor: Antonio Lopez Atienza