El mundo ha cambiado bastante en las últimas décadas. Cada vez más, la necesidad de conectarse a Internet y comunicarse con sitios remotos se está haciendo más prioritaria. Las empresas, sobre todo, necesitan una forma rápida, segura y fiable de comunicarse, sin importar donde se encuentran sus oficinas.
Hasta hace poco, lo normal era utilizar alguna de las diferentes tecnologías WAN disponibles, como por ejemplo las líneas dedicadas o contratadas, que mantenían conexiones exclusivas para grupos y compañías. El uso de ISDN las conexiones por fibra óptica OC3, proveían a la compañía una manera de extender su red privada más allá de su área geográfica.
Una red WAN dedicada a un cliente tiene unas ventajas visibles sobre una red pública como es Internet, cuando se trata de fiabilidad, rendimiento y seguridad. Pero mantener una red WAN, particularmente con líneas dedicadas, puede ser bastante caro y normalmente sube de precio según la distancia de oficinas se incrementa.
Según la popularidad de Internet iba creciendo, las redes corporativas se empezaron a extender de forma rápida. Primero llegaron las Intranet, las cuales están protegidas por contraseña para uso exclusivo de empleados de la compañía. Ahora, muchas compañías están creando sus propias VPN (Virtual Private Network) para acomodar las necesidades de empleados a larga distancia y oficinas remotas.
Básicamente, una VPN es una red privada que utiliza una red pública (normalmente Internet) para conectar sitios distantes y usuarios alejados entre si. En lugar de utilizar una conexión dedicada contratada a una compañía, una red privada VPN usa conexiones virtuales, enrutadas por Internet desde la red de la compañía, hasta el lugar remoto.
Indice de Contenidos
Ventajas de una VPN
Una red privada virtual VPN bien diseñada, puede dar muchos beneficios a una compañía. Algunas ventajas son:
- Extensión de conectividad a nivel geográfico
- Mejoras de seguridad
- Reduce costes al ser instalado frente a las redes WAN más utilizadas
- Mejora la productividad
- Simplifica la topología de red
- Proporciona oportunidades de comunicación adicionales
Las funciones que una red VPN debe incorporar son seguridad, fiabilidad, escalabilidad, gestión de red y políticas de gestión. Hay 3 tipos de VPN, las cuales se nombrarán a continuación.
VPN de acceso remoto
Hay dos tipos comunes de VPN. Las de acceso remoto, también conocidas como VPND, es una conexión de usuario a LAN, usada por una compañía que tiene empleados que necesitan conectarse a la red privada desde distintas localizaciones.
Normalmente, una empresa que quiere poner en marcha una gran VPN de acceso remoto, contratará el servicio a compañía proveedora de este servicio que dispondrá de un RAS, o servidor de acceso remoto, y que también tendrá que dar a los clientes remotos un software para sus ordenadores. Estos clientes entonces podrán marcar un número de tarifa gratuita para alcanzar el RAS, y usar el software de cliente para acceder a la red corporativa.
VPN sitio a sitio
Por medio de un equipamiento dedicado y un sistema de encriptación, una compañía puede conectar múltiples sitios sobre una red pública, como puede ser Internet. Una VPN sitio a sitio puede ser:
- Basada en Intranet – Si una compañía tiene uno o más sitios remotos, los cuales quieren unir en una única red privada virtual, puede crear una Intranet VPN para conectar una LAN a otra LAN.
- Basada en Extranet – Cuando una compañía tiene ciertos vínculos con otra compañía, como por ejemplo un cliente, socio o suministrador, pueden construir una Extranet VPN que una LAN a LAN y que permite a varias compañías trabajar en el mismo entorno.
Analogía: Cada LAN en una isla
Imagina que vives en una isla en medio de un gran océano. Hay miles de otras islas alrededor de ti, algunas cercanas y otras alejadas. La manera más sencilla de viajar de una a otra es tomar un ferry. Por supuesto, coger un ferry significa no tener privacidad en absoluto. Cualquier cosa que hagas, lo podrán ver los demás.
Digamos que cada isla representa una LAN privada y el océano es la Internet. Viajar en un ferry es como conectarse a un servidor Web u otro dispositivo por medio de Internet. No tienes ningún control de los cables o routers que hacen posible Internet, al igual que no tienes control sobre la otra gente que viaja en el ferry. Esto te deja a merced de ciertos riesgos de seguridad si intentas conectar dos redes privadas usando un recurso público.
Continuando con la analogía, Tu isla decide construir un puente a otra isla para que exista un modo de viajar más seguro, fácil y directo. Es bastante caro construir y mantener un puente, incluso si la isla con la que enlazas está cerca. Pero la necesidad de un camino seguro y directo es importante y lo haces de todas maneras. Tu isla ahora quiere conectarse a una segunda isla, aunque esta vez está más lejos, y te das cuenta que los gastos son demasiado grandes. Esto más o menos es como tener una línea dedicada. Los puentes (líneas contratadas) están separados por el océano (Internet), pero aun así pueden conectarse a las islas (LAN).
¿Cómo entra en este escenario VPN? Usando nuestra analogía, podríamos dar a cada uno de los habitantes de nuestras islas, un pequeño submarino. Este submarino tiene ciertas propiedades:
- Es rápido
- Es fácil de llevar contigo a donde quiera que vayas
- Es capaz de esconderse de otros barcos y submarinos
- El coste para añadir submarinos adicionales a tu flota es bajo cuando se compra el primero
Aunque están viajando por el océano con otro tráfico, los habitantes de nuestras dos islas pueden viajar siempre que quieran con total seguridad y privacidad. Esto es esencialmente como trabaja una VPN. Cada miembro remoto de tu red, puede comunicarse de forma segura y fiable usando Internet como medio para conectarse a la LAN privada.
Una VPN puede crecer para establecer más usuarios en diferentes localizaciones de manera más fácil que en una línea dedicada. De forma diferente a las líneas dedicadas, donde el coste se incrementa en proporción a la distancia, cuando se crea una VPN, la situación geográfica importa poco.
Métodos para mantener la conexión
Una buena red VPN usa varios métodos para mantener la conexión y los datos seguros:
- Firewalls
- Encriptación
- IPSec
- Servidor AAA
Un firewall o cortafuegos, provee de una fuerte barrera entre la red privada e Internet. Puedes configurar un firewall para restringir por número de puertos, tipo de paquete, protocolos utilizados, etc. Muchos router, llevan incorporado un firewall y se debería tener uno ya instalado antes de implementar una red privada VPN, ya que puede usarse para terminar sesiones VPN.
Encriptación es el proceso de coger todos los datos que un ordenador está mandando a otro, y codificándolo en un formato que solo el otro ordenador será capaz de decodificar. La mayoría de los sistemas de encriptación entran en dos categorías:
- Encriptación de clave simétrica
- Encriptación de clave pública
En una clave simétrica, cada ordenador tiene una clave secreta (código) que puede usar para encriptar un paquete de información antes de ser enviado sobre la red a otro ordenador. La encriptación por clave simétrica requiere que se conozcan los ordenadores que van a hablar, para poder instalar la clave en cada uno de ellos. Esencialmente, tienen el mismo código para poder desencriptar los datos que se están pasando.
La encriptación por clave pública, utiliza una combinación de clave privada y clave pública. La clave privada solo la conoce tu ordenador, mientras que la clave pública es entregada se entrega a cualquier ordenador que quiere realizar una comunicación segura.
IPSec nos provee de funciones mejoradas de seguridad, como por ejemplo algoritmos de encriptación y una mejor autenticación. IPSec tiene dos modos de encriptación: túnel y transporte. Por túnel, se encripta la cabecera y los datos de cada paquete, mientras que en modo transporte solo se encriptan los datos. Solo los sistemas que soportan IPSec pueden beneficiarse de este protocolo. También hay que tener en cuenta, que todos los dispositivos y los firewalls de cada red, deben tener las mismas políticas de seguridad configuradas. IPSec puede encriptar datos entre varios dispositivos diferentes, como por ejemplo, entre routers, de firewall a router, de un ordenador a router o servidor, etc.
Los servidores AAA, cuyas siglas significan autorización, autenticación y accounting (registro de logs), se utilizan para una mayor seguridad en el acceso dentro de una red VPN remota. Cuando se hace una petición para poder establecer una sesión desde un cliente externo, dicha petición es enviada al servidor AAA y hace las siguientes tareas:
- Pregunta quién eres (autenticación)
- Qué es lo que puedes hacer (autorización)
- Qué es lo que haces mientras estás conectado (accounting)
Este último punto es especialmente útil para hacer un seguimiento de clientes y poder realizar auditorias de seguridad, facturación y análisis de uso.
¿Qué se necesita?
Dependiendo del tipo de VPN, se tendrán que poner en su sitio, ciertos elementos para poder construir una VPN. Se podrían incluir:
- Un software de cliente para cada usuario remoto que se quiera conectar.
- Un hardware dedicado, como un concentrado VPN y/o un firewall.
- Un servidor VPN dedicado para dar servicios de marcado (dial-up), que es simplemente lo que hace un modem para acceder a la red.
- Un RAS o servidor de acceso usado por el proveedor de servicios para los usuarios remotos.
- La red VPN y el centro de gestión de políticas.
Al no haber un estándar ampliamente aceptado para implementar VPN, muchas compañías han desarrollado algunas soluciones por si mismas, con sus propios equipamientos y servicios. Si quieres saber más sobre algunas de estas implementaciones, te aconsejamos que consultes a algunos de los mejores fabricantes de equipos de este estilo, empezando por Cisco.