La Red Virtual Privada

   A pesar de que se sigue trabajando en que Internet sea cada vez más segura para los usuarios, lo cierto es que, como sistema ideado inicialmente para el intercambio de información entre diversos equipos informáticos, y no para ocultarla y/o protegerla, no es tarea fácil.
  Uno de los métodos para navegar con cierto grado de seguridad es el uso de una red virtual privada [“Virtual Private Network” (“VPN”), en inglés] para esta finalidad. Esta tecnología puede utilizarse de múltiples maneras, entre las que destacan el servidor de RVP y la extensión RVP para navegador de red.
  Se trata de una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que el ordenador en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada, con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
  La conexión RVP a través de Internet es técnicamente una unión red de área amplia ["Wide Area Network" ("WAN"), en inglés; red de ordenadores que une e interconecta varias redes de ámbito geográfico menor, aunque no todos sus miembros estén en una misma ubicación física] entre los sitios, pero al usuario le parece como si fuera un enlace privado.
  El protocolo estándar de facto es el IPSEC, pero también están PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados.
  Actualmente hay una línea de productos en crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y operación de estas soluciones:
  •   Soluciones de soporte físico: Casi siempre ofrecen mayor rendimiento y facilidad de configuración, aunque no tienen la flexibilidad de las versiones por soporte lógico. Dentro de esta familia tenemos a los productos de Fortinet, SonicWALL, SaiWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link, Mikrotik, etc.
  •   Las aplicaciones RVP por soporte lógico son las más configurables y son ideales cuando surgen problemas de interoperatividad en los modelos anteriores. Naturalmente, el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Aquí tenemos por ejemplo a las soluciones nativas de Windows, GNU/Linux y los Unix en general. Por ejemplo productos de código abierto como OpenSSH, OpenVPN y FreeS/Wan.
  En ambos casos se pueden utilizar soluciones de cortafuegos, obteniendo un nivel de seguridad alto por la protección que brinda, en detrimento del rendimiento.

TIPOS DE RVP


Las cuatro arquitecturas de conexión RVP más típicas son:
  •   RVP de acceso remoto: Consiste en usuarios que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura por línea conmutada (módems y líneas telefónicas)...
  •   RVP punto a punto: Se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor RVP, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel RVP. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados, normalmente, mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales.
  •   Tunneling: Consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de ordenadores; el establecimiento de dicho túnel se implementa incluyendo una  unidad de datos de protocolo [“Protocol Data Unit” (“PDU”), en inglés] determinada dentro de otra UDP con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la UDP encapsulada; de esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes; el túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando.
  •   VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas.

TIPOS DE CONEXIÓN

  Mediante RVP pueden realizarse los siguientes tipos de conexiones:
  •   Conexión de acceso remoto: Se realiza por un cliente o un usuario de un ordenador que se conecta a una red privada, los paquetes enviados a través de la conexión RVP son originados al cliente de acceso remoto, y este se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.
  •   Conexión RVP router a router: Se realiza mediante un router, que se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers, sino que el router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentifica ante el router que realiza la llamada y también sirve para la intranet.
  •   Conexión RVP cortafuegos a cortafuegos: Se realiza por uno de ellos, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario en Internet. El cortafuegos que realiza la llamada se autentifica ante el que responde y este a su vez se autentifica ante el llamador.
  •   RVP en un entorno móvil: Se establece cuando el punto de terminación de la RVP​ no está fijo a una única dirección IP, sino que se mueve entre varias redes como pueden ser las redes de datos de operadores móviles o distintos puntos de acceso de una red inalámbrica;​ las RVPs móviles se han utilizado en seguridad pública dando acceso a las fuerzas de orden público a aplicaciones críticas tales como bases de datos con datos de identificación de criminales, mientras que la conexión se mueve entre distintas subredes de una red móvil; también se utilizan en la gestión de equipos de técnico y en organizaciones sanitarias​ entre otras industrias. Cada vez más, las RVPs móviles están siendo adaptadas por profesionales que necesitan conexiones fiables; se utilizan para moverse entre redes sin perder la sesión de aplicación o perder la sesión segura en la RVP. En una RVP tradicional no se pueden soportar tales situaciones porque se produce la desconexión de la aplicación, tiempos de espera agotados (“time outs”, en inglés) o fallos, o incluso causar fallos en el dispositivo.

CARACTERÍSTICAS DE LA SEGURIDAD

  Para que una red privada virtual sea plenamente segura, se necesitan los siguientes medios que aseguren la autentificación:
  •   Autentificación y autorización: Usuario/equipo y qué nivel de acceso debe tener.
  •   Integridad: Se utilizan funciones de Hash para asegurarse de que los datos enviados no han sido alterados. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
  •   Confidencialidad/Privacidad: Dado que solamente puede ser interpretada por los destinatarios de la misma, se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
  •   No repudio: Un mensaje tiene que ir firmado, y quien lo firma no puede negar que envió el mensaje.
  •   Control de acceso: Se debe asegurar que los participantes autentificados tienen acceso únicamente a los datos a los que están autorizados.
  •   Auditoría y registro de actividades: Se intenta asegurar el correcto funcionamiento y la capacidad de recuperación.
  •   Calidad del servicio: Se debe asegurar un buen rendimiento, que no haya una degradación poco aceptable en la velocidad de transmisión.

  Aguardo que la presente entrada haya sido interesante para el lector. Si es así, espero que éste la comente y/o la comparta, por favor.


Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)