Cómo funcionan las redes privadas virtuales (VPN)

Anuncio
Cómo funcionan las redes privadas virtuales (VPN)
Contenidos
Introducción
Requisitos previos
Requisitos
Componentes utilizados
Convenciones
Antecedentes
¿Qué constituye una VPN?
Analogía: cada LAN es como una isla
Tecnologías de VPN
Productos VPN
Introducción
En este documento se estudian los elementos básicos de las VPN como los componentes, tecnología, tunelización y seguridad de VPN.
Requisitos previos
Requisitos
No hay requisitos específicos para este documento.
Componentes utilizados
Este documento no tiene restricciones específicas en cuanto a versiones específicas de software y hardware.
Convenciones
Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las
convenciones del documento.
Antecedentes
En los últimos veinte años, el mundo ha experimentado grandes cambios. Ahora, un gran número de empresas, en vez de ocuparse sencillamente
de cuestiones locales o regionales, tienen que pensar en mercados globales y en logística. Muchas disponen de instalaciones por todo el país o
incluso el mundo. Aunque todas las empresas necesitan lo mismo: una forma de mantener comunicaciones rápidas, seguras y fiables no importa
dónde se encuentren sus oficinas.
Hasta hace poco, una comunicación fiable significaba utilizar líneas alquiladas para mantener una red de área ancha (WAN). Las líneas
alquiladas, que pueden ser tanto una red digital con servicios integrados (ISDN, que se ejecuta a 144 Kbps) como una fibra portadora óptica 3
(OC3, que se ejecuta a155 Mbps), permiten que las empresas amplíen sus redes privadas más allá de su área geográfica inmediata. En cuestiones
relativas a fiabilidad, rendimiento y seguridad, una WAN tiene ventajas evidentes sobre una red pública como Internet, aunque su mantenimiento,
sobre todo cuando se utilizan líneas alquiladas, puede llegar a ser muy caro (a menudo su costo aumenta a medida que aumenta la distancia entre
oficinas). Asimismo, las líneas alquiladas no son una solución viable para organizaciones donde una parte de la fuerza de trabajo tiene una gran
movilidad (como es el caso del personal de marketing) y debe conectarse remotamente con frecuencia con la red de la empresas para acceder a
datos importantes.
Con el aumento de la popularidad de Internet, las empresas han puesto sus ojos en ella como forma de ampliar sus propias redes. Primero
llegaron las intranets, que son sitios diseñados para que sólo los utilicen los empleados de la empresa. Ahora, un gran número de empresas crean
sus propias redes privadas virtuales (VPN) para acomodar las necesidades de los empleados remotos y las oficinas distantes.
Una VPN típica puede tener una red de área local (LAN) principal en la sede central de la empresa, otras LAN en oficinas o instalaciones remotas
y usuarios individuales que se conectan desde el exterior.
Una VPN es una red privada que utiliza una red pública (por lo general Internet) para conectar sitios remotos o usuarios. En vez de utilizar una
conexión exclusiva del mundo real como una línea alquilada, una VPN utiliza conexiones "virtuales" enrutadas a través de Internet desde la red
privada de la empresa hasta el sitio remoto o el empleado.
¿Qué constituye una VPN?
Existen dos tipos comunes de VPN.
Acceso remoto: también conocida como red virtual de acceso telefónico privada (VPDN). Es una conexión de usuario a LAN utilizada por
una empresa que tiene empleados que necesitan conectarse a la red privada desde varias ubicaciones remotas. Normalmente, una empresa
que desee configurar una gran VPN de acceso remoto proporciona a sus usuarios algún tipo de cuenta de acceso telefónico a Internet
mediante un proveedor de servicios de Internet (ISP). Así, los trabajadores que están de viaje pueden marcar un número 1-800 para entrar
en Internet y usar su software cliente de VPN para acceder a la red de la empresa. Este tipo de VPN es muy útil, por ejemplo, para una gran
empresa con cientos de comerciales que necesite una VPN de acceso remoto. Las VPN de acceso remoto permiten establecer conexiones
seguras y cifradas entre la red privada de una empresa y usuarios remotos a través de un proveedor de servicios.
Sitio a sitio: una empresa pueden conectar varios sitios fijos a través de una red pública como Internet, utilizando un equipo exclusivo y un
cifrado a gran escala. Cada sitio necesita únicamente disponer de una conexión local a la misma red pública, lo que permite que la empresa
ahorre dinero en largas líneas alquiladas privadas. Las VPN de sitio a sitio pueden dividirse entre intranets y extranets. Una VPN de sitio a
sitio creada entre oficinas de la misma empresa es una VPN intranet, mientras que una VPN creada para conectar la empresa con su
empresa asociada o un cliente es una VPN extranet.
Una VPN bien diseñada puede aportar grandes beneficios a una empresa. Por ejemplo, puede:
Ampliar la conectividad geográfica
Reducir los costos de funcionamiento en comparación con las WAN tradicionales
Reducir el tiempo de tránsito y los gastos de viaje de los usuarios remotos
Mejorar la productividad
Simplificar la topología de red
Proporcionar oportunidades de trabajo en red global
Servir de apoyo al trabajador que está desplazándose
Proporcionar un retorno de inversión (ROI) más rápido que el de una WAN tradicional
¿Qué características necesita una VPN bien diseñada? Debe incluir lo siguiente:
Seguridad
Fiabilidad
Escalabilidad
Administración de la red
Administración de política
Analogía: cada LAN es como una isla
Imagínese que vive en un isla en medio de un gran océano. Está rodeado de miles de islas, algunas de ellas muy cercanas y otras lejanas. La
forma habitual de viajar es ir en ferry desde su isla a la isla que desee visitar. Viajar en ferry significa que prácticamente no se tiene privacidad.
Todo el mundo verá lo que haga.
Supongamos que cada isla representa una LAN privada y que el océano es Internet. El viaje en ferry es como conectarse a un servidor Web o a
otro dispositivo a través de Internet. No tiene control sobre los cables ni los routers que forman Internet, al igual que no controla las otras
personas que viajan en el ferry. Esto lo convierte en posible víctima de amenazas a la seguridad si intenta establecer una conexión entre dos redes
privadas utilizando un recurso público.
En su isla, las autoridades deciden construir un puente con otra isla para que las personas puedan viajar entre ambas de forma más segura, directa
y sencilla. Construir y mantener el puente es caro, aunque la isla con la que quiere conectarse esté muy cerca. No obstante, es tanta la necesidad
de disponer de un camino seguro y fiable, que las autoridades de la isla están dispuestas a aceptarlo. Por otra parte, en la isla también existe
interés por conectarse con otra isla que está situada mucho más lejos, pero el costo es demasiado elevado y no se puede mantener.
Esta situación es muy parecida a la de una empresa con una línea alquilada. Los puentes (líneas alquiladas) están separados del océano (Internet),
aunque pueden conectar las islas (LAN). Varias empresas han optado por esta solución debido a su necesidad de seguridad y fiabilidad para
establecer conexiones con las oficinas remotas; no obstante, si las oficinas están situadas lejos entre si, el precio puede ser excesivo, igual que
intentar construir un puente de gran distancia.
¿Cuál es el papel de una VPN en esta analogía? Podríamos dar a todos los habitantes de las islas su propio submarino pequeño con las siguientes
propiedades.
Que sea rápido.
Que sea fácil de llevar al lugar al que se va.
Que pueda ocultarse totalmente de otros barcos o submarinos.
Que sea de confianza.
Que una vez que se haya adquirido el primer submarino, sea fácil agregar submarinos adicionales a la flota.
Los habitantes de las dos islas, aunque viajan por el océano junto con más tráfico, pueden ir y venir siempre que lo deseen con privacidad y
seguridad. Básicamente, éste es el funcionamiento de una VPN. Cada uno de los miembros remotos de su red puede comunicarse de forma segura
y fiable utilizando Internet para conectarse con la LAN privada. Una VPN puede crecer para acomodar a más usuarios y diferentes ubicaciones
con más facilidad que una línea alquilada. De hecho, su capacidad de escalabilidad es una de las principales ventajas de las VPN sobre las líneas
alquiladas normales. A diferencia de las líneas alquiladas en las que el costo aumenta en proporción a las distancias implicadas, las ubicaciones
geográficas de las oficinas tienen poca importancia a la hora de crear una VPN.
Tecnologías de VPN
Una VPN bien diseñada utiliza varios métodos para mantener la conexión y los datos seguros.
Confidencialidad de los datos: probablemente se trata del servicio más importante suministrado por cualquier implementación de VPN.
Dado que los datos privados viajan por una red pública, conservar su confidencialidad es de importancia vital y para ello se cifran. Cifrar es
el proceso de tomar todos los datos que un equipo envía a otro equipo y codificarlos de tal modo que sólo el equipo que los recibe pueda
descodificarlos.
La mayoría de las VPN utilizan los protocolos siguientes para suministrar cifrado.
IPSec: protocolo de seguridad del protocolo de Internet (IPSec) proporciona características de seguridad mejoradas como algoritmos
de cifrado más fuertes y una autenticación más amplia. IPSec tiene dos modos de cifrado: de túnel y de transporte. El modo de túnel
cifra la cabecera y la carga de cada paquete, mientras que el modo de transporte sólo cifra la carga. Sólo los sistemas compatibles con
IPSec pueden aprovechar este protocolo. Asimismo, todos los dispositivos deben utilizar una clave o certificado común y tener
configuradas políticas de seguridad similares.
Para los usuarios de VPN de acceso remoto, algún tipo de paquete de software de otros fabricantes permite la conexión y cifrado en
el equipo de los usuarios. IPSec admite el cifrado de 56 bits (DES único) o de 168 bits (DES triple).
PPTP/MPPE: PPTP fue creado por el foro PPTP, un consorcio en el que figuran US Robotics, Microsoft, 3COM, Ascend y ECI
Telematics. PPTP es compatible con las VPN de varios protocolos, con cifrado de 40 y 128 bits que utilizan un protocolo llamado
MPPE (Cifrado punto a punto de Microsoft). Por si mismo, PPTP no proporciona cifrado de datos.
L2TP/IPSec: por lo general, llamado L2TP sobre IPSec. Aporta la seguridad del protocolo IPSec sobre la tunelización del protocolo
de tunelización de la capa 2 (L2TP). L2TP es el producto de una asociación entre los miembros del foro PPTP, Cisco y el Grupo de
trabajo de ingeniería en Internet (IETF). Se utiliza principalmente en las VPN de acceso remoto con sistemas operativos Windows
2000, dado que Windows 2000 proporciona un cliente L2TP e IPSec nativo. Los proveedores de servicio de Internet también pueden
suministrar conexiones L2TP a usuarios de acceso telefónico y, a continuación, cifrar el tráfico con IPSec entre su punto de acceso y
el servidor de red de la oficina remota.
Integridad de datos: al igual que es importante que los datos estén cifrados en una red pública, también es importante verificar que éstos
no se hayan cambiado mientras estaban en tránsito. Por ejemplo, IPSec dispone de un mecanismo que le permite asegurarse de que la parte
cifrada del paquete o todo el encabezado y la parte de datos del paquete, no se haya alterado. Si se detecta una alteración, se abandona el
paquete. La integridad de los datos también puede implicar una autenticación del par remoto.
Autenticación del origen de los datos: es de gran importancia verificar la identidad del origen de los datos que se envían. Esto se debe a la
necesidad de protegerse contra los ataques basados en la simulación de la identidad del remitente.
Antirreproducción: capacidad para detectar y rechazar los paquetes que se han reproducido y ayuda a evitar la simulación.
Tunelización de datos/Confidencialidad del flujo de tráfico: la tunelización es el proceso que consiste en encapsular un paquete
completo dentro de otro paquete y enviarlo por una red. La tunelización de datos es útil en los casos en los que se desea ocultar la identidad
del dispositivo de origen del tráfico. Por ejemplo, un único dispositivo que utiliza IPSec encapsula tráfico que pertenece a un determinado
número de hosts que tiene detrás y agrega su propio encabezado delante de los paquetes existentes. Al cifrar el paquete original y el
encabezado (y enrutar el paquete basándose en el encabezado de capa 3 adicional agregado en la parte superior), el dispositivo de
tunelización oculta de forma efectiva el verdadero origen del paquete. Sólo el par confiable puede determinar el verdadero origen, después
de despojar el encabezado adicional y descifrar el encabezado original. Tal como se indica en RFC 2401 , "...en determinadas
circunstancias, la revelación de las características externas de la comunicación también puede ser fuente de preocupación. La
confidencialidad del flujo de tráfico es el servicio que responde a esta cuestión mediante la ocultación de las direcciones de origen y de
destino, la longitud del mensaje y la frecuencia de la comunicación. En un contexto de IPSec, la utilización de ESP en modo de túnel, en
especial en una gateway de seguridad, puede proporcionar algún nivel de confidencialidad del flujo de tráfico".
Todos los protocolos de cifrado indicados aquí también utilizan la tunelización como medio de transferir los datos cifrados por la red
pública. Es importante darse cuenta de que, en sí misma, la tunelización no aporta seguridad a los datos. Simplemente, el paquete original
se encapsula en el interior de otro protocolo y, si no está cifrado, puede seguir siendo visible si se utiliza un dispositivo de captura de
paquetes. No obstante, la mencionamos aquí ya que es una parte integrante del funcionamiento de las VPN.
La tunelización necesita tres protocolos diferentes.
Protocolo pasajero: los datos originales (IPX, NetBeui, IP) que se transportan.
Protocolo de encapsulación: el protocolo (GRE, IPSec, L2F, PPTP, L2TP) que envuelve los datos originales.
Protocolo de la portadora: el protocolo que utiliza la red por la que viajan los datos.
El paquete original (protocolo pasajero) se encapsula en el interior del protocolo de encapsulación que, a su vez, se pone en el interior del
encabezado del protocolo de la portadora (por lo general IP) para transmitirlo en la red pública. Tenga en cuenta que a menudo el protocolo
de encapsulación se encarga del cifrado de los datos. Los protocolos como IPX y NetBeui, que normalmente no se transferirían por
Internet, pueden transmitirse de forma segura.
En el caso de las VPN de sitio a sitio, por lo general el protocolo de encapsulación es IPSec o GRE (encapsulación de enrutamiento
genérica). GRE incluye información sobre el tipo de paquete que está encapsulando y sobre la conexión entre el cliente y el servidor.
En el caso de las VPN de acceso remoto, normalmente la tunelización se realiza utilizando un protocolo de punto a punto (PPP). PPP, que
es parte de la pila TCP/IP, es la portadora de otros protocolos IP cuando el equipo host y un sistema remoto se comunican por la red. La
tunelización PPP utilizará PPTP, L2TP o el reenvío de la capa 2 (L2F) de Cisco.
AAA: autenticación, autorización y contabilidad se utilizan para obtener un acceso más seguro en un entorno VPN de acceso remoto. Sin
una autenticación de usuario, todos los que se sienten ante un portátil o un PC que tenga un software cliente de VPN podrán establecer una
conexión segura en una red remota. No obstante, con una autenticación de usuario, es preciso introducir un nombre de usuario y una
contraseña válidos antes de establecer conexión. Los nombres de usuario y las contraseñas se pueden almacenar en el mismo dispositivo de
terminación de VPN o en un servidor AAA externo, que puede proporcionar autenticación a numerosas bases de datos como Windows NT,
Novell, LDAP, etc.
Cuando se recibe una solicitud de establecimiento de un túnel procedente de un cliente de acceso telefónico, el dispositivo VPN solicita el
nombre de usuario y la contraseña. La autenticación se podrá realizar localmente o enviarse al servidor AAA externo, el cual comprobará:
Identidad del usuario (autenticación)
Qué permisos tiene (autorización)
Qué tareas realiza realmente (contabilidad)
La información de contabilidad es especialmente importante a la hora de realizar un seguimiento del uso del cliente por motivos de
auditoría, facturación o creación de informes.
No repudiación: en determinadas transferencias de datos, en particular en las que están relacionadas con transacciones financieras, la no
repudiación es una característica altamente deseable. De esta manera, se evitan situaciones en las que un final niega haber participado en
una transacción. Al igual que un banco le pide que firme antes de cobrar un cheque, la no repudiación adjunta una firma digital al mensaje
enviado, evitando de esta manera la posibilidad de que el remitente rechace la participación en la transacción.
Se puede utilizar una serie de protocolos para crear una solución VPN. Todos estos protocolos proporcionan algún subconjunto de los servicios
enumerados en este documento. La elección de un protocolo depende del conjunto de servicios deseado. Por ejemplo, una empresa puede desear
que los datos se transfieran en texto claro, aunque le puede preocupar el mantenimiento de la integridad, mientras que otra empresa puede
considerar que el mantenimiento de la confidencialidad de los datos sea totalmente esencial. Por consiguiente, su elección de protocolos puede
ser diferente. Para obtener más información sobre los protocolos disponibles y sus puntos fuertes relativos, consulte Which VPN Solution is
Right for You? (¿Qué solución VPN es la adecuada para usted?)
Productos VPN
Según el tipo de VPN (de acceso remoto o de sitio a sitio) necesita implantar algunos componentes para crear la VPN. Estos pasos podrían
incluir:
Cliente de software de escritorio para cada usuario remoto
Hardware exclusivo como Cisco VPN Concentrator o un Cisco Firewall PIX Secure
Un servidor VPN exclusivo para los servicios de acceso telefónico
Un servidor de acceso a la red (NAS) utilizado por el proveedor de servicios para el acceso a la VPN de usuarios remotos
Un centro de administración de políticas y una red privada
Dado que no existe un estándar aceptado universalmente para implementar una VPN, varias empresas han desarrollado soluciones propias. Por
ejemplo, Cisco ofrece varias soluciones de VPN, entre las que figuran las siguientes:
Concentrador VPN: los concentradores VPN, que incorporan las técnicas de cifrado y autenticación más avanzadas, se han construido
específicamente para crear VPN de acceso remoto o de sitio a sitio y, en teoría, se instalan cuando un único dispositivo debe ocuparse de
un gran número de túneles VPN. Los concentradores VPN se han desarrollado específicamente para cuando se necesita un dispositivo VPN
único de acceso remoto creado para este propósito. Los concentradores proporcionan una alta disponibilidad, un alto rendimiento y
escalabilidad e incluyen componentes denominados módulos SEP (proceso de cifrado escalable) que permiten a los usuario aumentar
fácilmente la capacidad y la producción. Los concentradores se suministran en modelos adecuados tanto para pequeñas empresas con 100 o
menos usuarios de acceso remoto, como para grandes empresas que pueden llegar a tener hasta 10.000 usuarios remotos simultáneos.
Router habilitado para VPN/Router optimizado para VPN: todos los routers que ejecutan Cisco IOS® son compatibles con las VPN
IPSec. El único requisito es que el router debe ejecutar una imagen de Cisco IOS con el conjunto de características adecuado. La solución
VPN de Cisco IOS es totalmente compatible con los requisitos de acceso remoto y de VPN intranet y extranet. Esto significa que los
routers Cisco pueden trabajar con la misma calidad cuando están conectados a un host remoto que ejecuta VPN Client y cuando están
conectados a otro dispositivo VPN como un router, un Firewall PIX o un concentrador VPN. Los routers habilitados para VPN son
adecuados para las VPN con requisitos de tunelización y cifrado moderados y proporcionan totalmente servicios VPN mediante
características de Cisco IOS. A continuación, indicamos algunos routers habilitados para VPN: series Cisco 1000, Cisco 1600, Cisco 2500,
Cisco 4000, Cisco 4500 y Cisco 4700.
Los routers optimizados para VPN de Cisco proporcionan escalabilidad, enrutamiento, seguridad y Calidad de Servicio (QoS), se basan en
el software Cisco IOS y hay un dispositivo adecuado para cada situación, desde un acceso para oficinas pequeñas u oficinas residenciales
(SOHO) mediante una agregación VPN al sitio central hasta las necesidades de una empresa a gran escala. Los routers optimizados para
VPN han sido diseñados para cumplir unos elevados requisitos de cifrado y tunelización y, a menudo, utilizan hardware adicional como
tarjetas de cifrado para conseguir un alto nivel de desempeño. A continuación, indicamos algunos ejemplos de routers optimizados para
VPN: series Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 y Cisco7500.
Cisco Firewall PIX Secure: el Firewall PIX (Private Internet Exchange, Intercambio de Internet privado) combina en un solo paquete una
traducción de dirección de red dinámica, con un servidor proxy, un filtro de paquetes, un firewall y características de VPN. En vez de
utilizar el software Cisco IOS, este dispositivo dispone de un sistema operativo altamente ajustado que cede la capacidad de gestionar una
serie de protocolos a cambio de conseguir un gran desempeño y solidez centrándose en IP. Al igual que ocurre con los routers de Cisco,
todos los modelos de Firewall PIX son compatibles con VPN IPSec. Sólo deben cumplirse los requisitos de obtención de licencias para
habilitar la características de VPN.
Clientes de VPN de Cisco: Cisco ofrece clientes de VPN tanto de hardware como de software. Cisco VPN Client (software) se entrega
conjuntamente con el concentrador Cisco VPN serie 3000 sin gastos adicionales. Este cliente de software se puede instalar en la máquina
host y utilizar para conectarse con seguridad al concentrador del sitio central (o a cualquier otro dispositivo VPN como un router o un
firewall). El cliente de hardware VPN 3002 representa una alternativa a la instalación del software VPN Client en todas las máquinas y
proporciona capacidad de conexión VPN en una serie de dispositivos.
La elección de los dispositivos que debe utilizar para crear la solución VPN es, en última instancia, una cuestión de diseño que depende de una
serie de factores como el rendimiento deseado y el número de usuarios. Por ejemplo, en un sitio remoto con una serie de usuarios que se
encuentran tras PIX 501, puede configurar el PIX existente como el punto extremo de la VPN IPSec, siempre y cuando acepte el rendimiento
3DES de 501 de alrededor de 3 Mbps y el límite de un máximo de 5 puntos remotos de VPN. Por otra parte, en un sitio central que actúe como
punto final de VPN de un gran número de túneles VPN, sería una buena idea elegir un router optimizado para VPN o un concentrador VPN.
Ahora, la elección dependerá del tipo (LAN a LAN o acceso remoto) y el número de túneles VPN que se configuren. La amplia gama de
dispositivos Cisco compatibles con VPN aporta a los diseñadores de redes una amplia flexibilidad y una solución fuerte que responde a todas las
necesidades de diseño.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 23 Junio 2008
http://www.cisco.com/cisco/web/support/LA/7/74/74718_how_vpn_works.html
Descargar