¿Qué es el servicio vpn. ¿Qué es una VPN, para qué sirve y cómo usarla? Características fundamentales de una VPN

La mayoría de nosotros usamos Internet a diario, para fines personales o comerciales. Lo más probable es que no haya tenido problemas con varias amenazas. Sin embargo, Internet no es tan seguro como parece. Está bien, tienes WiFi, pero ¿qué pasa con una VPN? ¿Necesita tal protección?

Una VPN o red privada virtual es un grupo de redes o computadoras conectadas entre sí en Internet. Una VPN le permite asegurar su conexión asegurándose de que todos los datos que envía y recibe están encriptados de forma segura.

Entonces, ¿cómo puedes entender que necesitas conectar una VPN? Ya sea estudiante o empleado, si no quiere que nadie invada su negocio, use una VPN.

Hay varios tipos de VPN: Los tipos más comunes son PPTP VPN, Site-to-Site VPN, L2TP VPN, IPsec, SSL, MPLS VPN y Hybrid VPN. A continuación los consideraremos con más detalle.

1. VPN PPTP

PPTP VPN es un protocolo de tunelización punto a punto. Como sugiere el nombre, PPTP VPN crea un túnel y captura datos. Este es el tipo más común de VPN. Las VPN PPTP le permiten conectarse a una red VPN a través de una conexión a Internet existente. Este tipo de VPN es excelente tanto para uso comercial como doméstico. Se utiliza una contraseña para acceder a la red. PPTP es ideal para hogares y empresas porque no requiere hardware adicional y permite aplicaciones sencillas y de bajo costo. PPTP es muy compatible con Windows, Mac y Linux.

Si bien las VPN PPTP muestran muchos beneficios, no están exentos de inconvenientes. La principal es que el protocolo PPTP no utiliza cifrado. Además, la base de PPTP es el protocolo PPP, que tampoco proporciona un alto nivel de seguridad.

1. VPN de sitio a sitio

Site-to-site o Router-to-Router es el tipo de VPN más común en los negocios. Esto es especialmente cierto para las empresas con oficinas tanto en diferentes partes de un país como en varios países, lo que le permite conectar todas las computadoras en una sola red. También se les conoce como Intranet VPN (VPN sobre la red interna). También es posible otra opción. Las empresas que utilizan VPN de sitio a sitio se conectan a los servidores de otras empresas de la misma manera que una VPN de extranet. En términos simples, este tipo de VPN es una especie de puente que conecta redes en diferentes ubicaciones, brindando una conexión y conexión segura a Internet.

Al igual que PPTP, una VPN de sitio a sitio crea una red segura. Sin embargo, no hay una línea dedicada, por lo que diferentes computadoras de la empresa pueden conectarse a la red. A diferencia de PPTP, el cifrado lo realizan dispositivos especiales o aplicaciones en ambos extremos de la red.

1. VPN L2TP

L2TP significa Layer 2 Tunneling Protocol y fue desarrollado por Microsoft y Cisco. Una VPN basada en el protocolo L2TP se combina con otro protocolo para brindar una conexión más segura. El protocolo L2TP forma un túnel entre dos puntos de conexión L2TP y otro protocolo, como IPsec, cifra los datos.

L2TP actúa como PPTP. La principal similitud es la falta de cifrado y la base del protocolo PPP. La diferencia es la protección y seguridad de los datos. Las VPN basadas en L2TP brindan una conexión más segura y confiable.

1. IPsec

IPsec es la abreviatura de Seguridad de Protocolo de Internet. IPsec es un protocolo VPN utilizado para proporcionar seguridad en una red. El protocolo establece un túnel a un host remoto. Cada sesión se verifica, los paquetes de datos se cifran, por lo que el protocolo IPsec proporciona un alto nivel de seguridad en la conexión. Hay dos modos en los que opera este protocolo. Transporte y túnel. Ambos sirven para asegurar la transmisión de datos entre diferentes redes. En el modo de transporte, el mensaje en el paquete de datos está encriptado. En modo túnel, todo el paquete de datos está encriptado. La ventaja de usar IPsec es que se puede usar junto con otros protocolos para aumentar la seguridad de la red.

Y aunque IPsec es un protocolo útil y conveniente, la principal desventaja es el largo tiempo de instalación de las aplicaciones cliente.

1. SSL y TLS

SSL es un protocolo de sockets seguros, TLS es seguridad de la capa de transporte. Funcionan como un protocolo. Ambos se utilizan para crear una VPN. En este sentido, el navegador web actúa como un cliente, el usuario obtiene acceso a aplicaciones especiales en lugar de a toda la red. SSL y TSL se utilizan en las ventas en línea. SSL y TSL proporcionan una sesión segura desde el navegador al servidor con la aplicación. El navegador cambia fácilmente a SSL sin requerir ninguna acción adicional por parte del usuario. La gran mayoría de los navegadores modernos ya incluyen SSL y TSL. La conexión SSL contiene https en lugar de http en la dirección.

1. VPN MPLS

Los servicios VPN que admiten la conmutación de etiquetas multiprotocolo (MPLS) se utilizan mejor para las conexiones de sitio a sitio. Esto se debe a que MPLS es la opción más flexible con la mayor adaptabilidad. MPLS se basa en ciertos estándares que se utilizan para acelerar la distribución de paquetes de red a través de múltiples protocolos. Las VPN habilitadas para MPLS son sistemas que son VPN configuradas para funcionar con ISP donde dos o más sitios pueden unirse para formar una VPN usando el poder del mismo ISP. Sin embargo, la mayor desventaja de los servicios VPN habilitados para MPLS es el hecho de que dicha red es mucho más difícil de configurar que otras VPN. Es más difícil hacerle modificaciones. Como resultado, los servicios VPN habilitados para MPLS son más costosos para los usuarios.

1. VPN híbrida

La VPN híbrida combina MPLS e IPSec. Ambos tipos se utilizan por separado en diferentes nodos. Sin embargo, en ocasiones un nodo permite conectar ambos tipos de protocolos al mismo tiempo. Esto se hace para mejorar la confiabilidad de MPLS usando IPSec.

IPSec, como se mencionó anteriormente, requiere cierto hardware. Suele ser un enrutador o un dispositivo de seguridad multipropósito. Con su ayuda, los datos se cifran y forman un túnel VPN. MPLS se utilizan en el canal de transmisión de información con la ayuda de equipos de transmisión.

Para conectar estos dos tipos de VPN se instala un gateway donde se elimina IPSec y se realiza una conexión a MPLS manteniendo la seguridad de los datos.

Las empresas utilizan VPN híbridas porque MPLS muy a menudo no es adecuado para sus nodos. MPLS ofrece muchas ventajas sobre una conexión compartida, pero el costo es alto. Con una red híbrida, puede conectarse a un sitio central a través de un sitio remoto. Las VPN híbridas son las más caras, pero muy flexibles en términos de configuración.

conclusiones

En general, elegir el tipo correcto de VPN es bastante difícil. Para comprender qué tipo de VPN necesita, primero debe averiguar qué tipo de seguridad desea tener. También depende de si eres estudiante, propietario de una pequeña empresa o una gran empresa. Debe considerar si un sistema de seguridad simple será suficiente o si se requiere uno más complejo, como una VPN híbrida. Otro factor que hay que tener en cuenta es el coste. ¿Cuánto dinero está dispuesto a gastar para proporcionar una conexión segura a Internet? Una vez que responda estas preguntas, la elección se vuelve mucho más fácil. Y, por supuesto, siempre puedes ampliar tus conocimientos sobre este tema. ¡Buena suerte!

Conozcamos un poco VPN, descubramos las preguntas básicas y usemos estas tres letras a nuestro favor.

Vea cómo la información pasa entre mi computadora portátil y el teléfono inteligente que se encuentra a su lado, el llamado seguimiento de ruta. Y siempre hay un eslabón débil donde los datos pueden ser interceptados.

¿Para qué sirve una VPN?

Organizar redes dentro de redes y protegerlas. Entendamos que VPN es bueno. ¿Por qué? Porque tus datos estarán más seguros. Estamos construyendo red segura a través de Internet u otra red. Es como un carro blindado para transportar dinero por la calle de un banco a otro banco. Puede enviar dinero en un automóvil normal o en un vehículo blindado. En cualquier carretera, el dinero está más seguro en un vehículo blindado. En sentido figurado, VPN es un vehículo blindado para su información. Y el servidor VPN es una agencia que proporciona vehículos blindados. Hablando brevemente, VPN es bueno.

Para la seguridad de los datos:

Usar una red privada virtual (conexión VPN)
Con una conexión VPN, cuando se conecta a una red Wi-Fi pública, puede usar tecnologías de encriptación de manera efectiva para los datos que pasan a través de la red. Esto puede evitar que los ciberdelincuentes que monitorean su red intercepten sus datos.

¿Todavía no está convencido? Aquí, por ejemplo, está el título de una de las ofertas:

Prestación de servicios para la provisión de canales de comunicación utilizando tecnología VPN para organizar la transferencia de datos entre departamentos del Departamento del Ministerio del Interior de Rusia en Kazan

La policía se preocupa por su seguridad, las empresas y corporaciones estatales se preocupan por esto y exigen la existencia de este tipo de canales, pero ¿por qué estamos peor? Somos aún mejores, porque no gastaremos fondos presupuestarios, sino que configuraremos todo de forma rápida, sencilla y gratuita.

Entonces vamos. Protegemos cuentas, contraseñas usando VPN cuando usamos redes Wi-Fi abiertas. Este suele ser el eslabón más débil. Por supuesto, las agencias de inteligencia de todo el mundo, las bandas criminales pueden permitirse equipos que reemplazan e interceptan el tráfico no solo de las redes Wi-Fi, sino también de las redes de comunicación satelital y móvil. Este es otro nivel y está más allá del alcance de esta publicación.
La mejor opción es cuando tienes tu propio servidor VPN. De lo contrario, debe confiar en la honestidad de quienes le brindan estos servicios. Entonces, hay versiones VPN pagas y gratuitas. Pasemos por el segundo. Sí, se puede configurar un servidor VPN en una computadora doméstica, pero más sobre eso en una publicación separada.

Cómo configurar una VPN

Considerar VPN gratis para Android en el ejemplo de Opera VPN - Unlimited VPN.

Descargue un cliente VPN gratuito. La configuración es mínima y se reduce a habilitar VPN, seleccionar un país, el valor predeterminado es cercano y un bloque de prueba de red. También hay configuraciones para mantener la VPN activada.

Después de instalar la aplicación, el elemento VPN aparece en el menú de configuración de Android. Este interruptor abre la pantalla principal de Opera VPN (si solo tiene una forma de conectarse a VPN).

Para controlar la activación y desactivación de VPN, puede habilitar los íconos de aplicaciones en la configuración de Android.

Configuración->Notificaciones y barra de estado ->Notificaciones de aplicaciones-> Opera VPN

Esté preparado para el hecho de que algunas aplicaciones en modo de comunicación de túnel VPN le pedirán que confirme su estado. Así, la aplicación VKontakte, con la VPN activada, te pedirá tu número de teléfono, ya que considera que un atacante de Alemania u Holanda está intentando entrar en tu cuenta, a la que sueles acceder desde Moscú. Ingrese el número y continúe usando.

Esta es la forma más fácil de usar una VPN en su dispositivo Android. También puede configurar una red privada virtual basada en su enrutador y conectarse a la computadora de su hogar desde cualquier parte del mundo a través de un canal seguro, intercambiando libremente datos privados. Pero hablaré sobre este método más complicado, así como sobre la configuración de aplicaciones y servicios pagos, en otras publicaciones.

El número de conceptos oscuros y abreviaturas relacionadas con la aparición de tecnologías nuevas y la modificación de tecnologías antiguas está creciendo exponencialmente. VPN es uno de ellos. Esta publicación tiene como objetivo comprender esta oscura abreviatura y determinar el motivo de su frecuente mención en relación con las conexiones de red.

VPN, ¿qué es?

En principio, esta es una red regular ("N" en la abreviatura significa "Red"). Pero tiene sus propias sutilezas. En primer lugar, es virtual y, en segundo lugar, es privado. Es decir, "Virtual" y "Privado" (las dos primeras letras de la abreviatura).

abreviatura de VPN

Se llama virtual debido al hecho de que existe en un cierto nivel de abstracción del hardware. Esto significa que no le importa en qué canales se lleva a cabo la comunicación, qué dispositivos están conectados y otras condiciones. VPN utiliza todos los recursos disponibles para su funcionamiento.

Pero la característica principal de una VPN es que es privada. Aunque utiliza canales y protocolos de comunicación comunes, la mayoría de las veces Internet, el "tío de la calle" no puede ingresar, sino solo un participante confiable que tiene derecho a hacerlo.

Principio de operación

Para comprender cómo funciona una VPN, debe considerar el caso más simple de una conexión entre dos puntos (computadoras). En la parte desprotegida de la ruta (la mayoría de las veces Internet), se crea un túnel que los conecta. La dificultad no radica en organizar dicha conexión, sino en proteger los datos que son vulnerables en una sección desprotegida de la red. La información que pasa por un canal público puede ser robada o distorsionada por intrusos.

dispositivo VPN

Para evitar esto, se utilizan varios tipos de cifrado. Por lo tanto, la tarea principal de una conexión VPN es garantizar la uniformidad del cifrado y descifrado en sus nodos, así como la interfaz de los protocolos de red cuando se trata de diferentes sistemas de servidores.

Por qué necesitas una VPN

La principal razón para la creación de VPN fue el deseo, incluso la necesidad urgente de crear redes seguras a las que se pudiera acceder independientemente de la referencia geográfica. Acceso remoto de los empleados a la red de la empresa matriz desde un viaje de negocios, por ejemplo. Es más. Para las corporaciones multinacionales, no hay forma de estirar un cable entre sus oficinas en diferentes países o continentes. La tecnología VPN viene al rescate también en este caso. Un ejemplo más simple podría ser la organización de una VPN basada en la red de área local de una empresa para limitar los poderes de varios grupos, departamentos, talleres y similares.

Cómo crear una red VPN

Para crear una red VPN, existen una serie de aplicaciones, TeamViewer o Hamachi, por ejemplo. Aunque esto se puede hacer con las herramientas estándar de Windows, pero con menos eficiencia, seguridad y comodidad. Para hacer esto, debe ingresar a las "Conexiones de red" de la computadora a través del "Panel de control".

programa hamachi

En el menú "Archivo", seleccione el elemento "Nueva conexión", donde especifica que la conexión que se está creando es una VPN. A continuación, debe agregar o especificar un usuario al que se le permitirá el acceso. Luego indica que la conexión será a través de Internet y selecciona el protocolo TCP/IP como protocolo de conexión. En el último cuadro de diálogo, debe hacer clic en "Permitir acceso" y el servidor VPN de Windows está listo para funcionar.

vpn- Esta es una red privada virtual, esta abreviatura se traduce como Red Privada Virtual.

La conexión del usuario a Internet generalmente se produce con la ayuda de un tercero: un proveedor, un punto Wi-Fi, etc. Por lo general, su tráfico pasa a través de los servidores del proveedor o los puntos de Wi-Fi que utiliza sin problemas, lo que conlleva un alto riesgo de ser interceptado por alguien. Por lo tanto, corre un gran riesgo de que sus contraseñas, datos personales y otra información que transmita a Internet puedan ser interceptados y utilizados en su contra o con malos fines.

Cuando te conectas a Internet, toda la información pasa por el proveedor o por otro punto de acceso. El proveedor o propietario del punto de acceso tiene la capacidad de conocer y visualizar todo el historial de sus visitas a los sitios.

Cuando establezca una conexión a un servidor VPN, se conectará a Internet directamente a través de él. Todo el tráfico que irá a este servidor estará protegido y nadie podrá interceptarlo.

La VPN transmite información en forma encriptada a través de un canal especialmente creado entre su computadora y el servidor VPN, y el servidor asume la identificación del usuario, le da su propia dirección IP, que es diferente a la suya, y libera su tráfico a Internet. Resulta que todos los que lo ven en Internet no conocen su dirección IP real y creen que está ubicado localmente en el mismo lugar que el servidor VPN.

¿Cómo se protegen los datos?

1. Se crea un túnel entre la computadora y el servidor. El túnel es privado, lo que impide que otros usuarios o dispositivos entren en él. Debido al hecho de que esta red establece una serie de requisitos para los dispositivos conectados a ella, esto ayuda a evitar conexiones no autorizadas. Este túnel es el componente principal de VPN.
2. El segundo aspecto importante de una VPN es el cifrado de todo el tráfico. Cuando se conectan a esta red, el servidor y la computadora determinan el tipo de encriptación y encriptan la transferencia de datos entre ellos.

¿Para qué sirve una VPN?

En la mayoría de los casos, dicha red se usa en empresas cuando es necesario conectar diferentes sucursales y organizar una red entre ellas, en la que se intercambiará información importante no pública de la empresa. Con la ayuda de una VPN, esto es fácil de organizar y al transferir datos entre sucursales ubicadas en diferentes ciudades o países, la información no estará disponible para otros usuarios o competidores, lo cual es muy importante para las empresas.

Las grandes corporaciones utilizan este tipo de conexión a Internet para que sus competidores, proveedores o hackers no puedan conocer la lista de sitios, claves, contraseñas, etc. Dado que ahora muchos trabajos de contabilidad se llevan a cabo utilizando servicios en línea en bancos y programas especiales de contabilidad a través de Internet, aumenta el riesgo de que estos datos importantes sean interceptados y, por lo tanto, la empresa puede recibir un gran golpe financiero. Por lo tanto, es necesario crear un túnel VPN a través del cual todos los empleados que trabajan en la empresa utilizarán Internet y no correrán el riesgo de fugas de datos corporativos importantes.

Además, dicha conexión se puede utilizar para conectarse al lugar de trabajo. Hay empleados que trabajan a distancia o están constantemente en viajes de negocios, etc. Cuando no estén en la oficina, deben tener pleno acceso a la información de su empresa. Para garantizar que al conectarse a su lugar de trabajo, en la oficina, nadie pueda interceptar información importante y usar una conexión VPN. Resulta que un empleado en un viaje de negocios crea una conexión segura con su lugar de trabajo y solo después de eso comienza a trabajar con archivos, documentos y servicios corporativos.

¿Por qué una persona común necesitaría una VPN? Usualmente usamos este tipo de conexión a Internet para eludir el bloqueo de ciertos sitios, o no queremos que nadie se entere de información importante cuando trabajamos en sitios o programas bancarios (números de tarjetas, contraseñas, inicios de sesión, etc.).

Usar una VPN en diferentes dispositivos

Anteriormente, la conexión de una computadora a un servidor a través de VPN se realizaba mediante un ajuste fino. Ahora todo se ha simplificado, para conectar una VPN en estos días es suficiente descargar un programa o aplicación que brinde dichos servicios y después de la instalación presione " Conectar». Estas aplicaciones se utilizan normalmente para fines personales y para proteger el tiempo en Internet.

Para conectarte a la red corporativa de la empresa en la que trabajas necesitarás contactar con el administrador del sistema para que te dé parámetros de conexión o incluso configure VPN él mismo.

para teléfonos inteligentes

Para los teléfonos con sistemas operativos Android e iOS, hay una gran cantidad de aplicaciones gratuitas y de pago para conectar los servicios de VPN. La diferencia entre estas aplicaciones es que las gratuitas pueden limitar la velocidad de tu conexión a Internet o molestarte con anuncios. Dichos servicios se utilizan únicamente con fines personales para el uso seguro de Internet desde sus dispositivos.

Para computadoras y portátiles

Los mismos programas de este tipo existen para computadoras con computadoras portátiles, pero en particular, todos son pagos y los que son gratuitos limitan severamente la velocidad. Por lo tanto, si decide crear una red segura en su computadora, tendrá que elegir entre aplicaciones pagas y gratuitas.

Algunas aplicaciones pagas:

• ExpressVPN es un servicio que, cuando compra una suscripción, proporciona una velocidad de conexión VPN ilimitada.
• NordonVPN: la versión paga tiene un programa antivirus incorporado que evitará que descargue malware.
• CyberGhost es una de las aplicaciones más seguras ya que utiliza una gran cantidad de protocolos de encriptación.

Algunas aplicaciones gratuitas:

• TunnelBear: la versión gratuita tiene 500 MB de tráfico por mes y la capacidad de conectarse a 20 países diferentes.
• Túnel privado: proporciona 200 Mb de tráfico de Internet por mes y acceso a la conexión de nueve países.
• Hotspot Shield: este servicio proporciona la mayor cantidad de megabytes de tráfico gratuitos por mes, entre otros.

para navegadores

La forma más fácil de conectar una VPN es a través de extensiones de navegador. ¿Por qué este método es la mejor opción para PC de escritorio? Esto se debe a que trabaja principalmente a través del navegador y son las extensiones de navegador las más populares y en su mayoría gratuitas. Además, al usar la extensión, no tiene que pasar todo el tráfico de su computadora a través de la red VPN. Solo el tráfico del navegador pasará a través de una conexión segura.

Este método no es adecuado solo para aquellos que desean trabajar con programas instalados en su computadora mediante una conexión VPN segura.

Algunas extensiones gratuitas que son adecuadas para Yandex Browser, Mozilla Firefox y Opera:

• ZenMate es una gran solución, le brinda tráfico ilimitado pero velocidad limitada. Apto tanto para navegadores como para dispositivos móviles.
• Frigate: adecuado para Yandex Browser, brinda la capacidad de trabajar con ciertos sitios a través de una conexión VPN, lo que le permitirá no perder velocidad cuando trabaje con páginas que no requieren una conexión segura (por ejemplo, YouTube, Google, etc.) .
• TorBrowser es un navegador independiente que no requiere descargar e instalar complementos, solo funciona en su propia conexión VPN. La desventaja de un navegador de este tipo es solo la velocidad de trabajo en Internet, es bastante baja, pero le permitirá corresponder cómodamente en las redes sociales. redes y utilizan motores de búsqueda.
• El navegador Opera proporciona una VPN integrada, que le permitirá no descargar extensiones innecesarias. Para activar esta función, debe ir a la configuración del navegador web y activarla. También hay que tener en cuenta que la velocidad de trabajo en Internet no será alta, pero sí suficiente para ver un vídeo en baja resolución en Youtube.

Conclusión

Después de leer este artículo, debe comprender que una VPN es algo útil en nuestro tiempo. Dado que ahora todo está monitorizado y visualizado, muchas personas pueden acceder fácilmente a su información en Internet, por lo que, para su seguridad, se recomienda utilizar conexiones seguras.

Le contamos sobre esta tecnología en términos generales, en el curso del ajuste hay muchos matices que necesita saber. Todo esto, por supuesto, no es necesario para un usuario genérico, una extensión regular en un navegador o teléfono inteligente es suficiente para usted.

Resulta que al usar una VPN proteges tus datos personales y no tienes que preocuparte de que alguien te rastree y robe algo, tampoco tienes que preocuparte por el anonimato, ya que una red segura te garantiza anonimato completo en cualquier sitio.

Recientemente, el mundo de las telecomunicaciones ha visto un mayor interés en las redes privadas virtuales (Virtual Private Network - VPN). Esto se debe a la necesidad de reducir el costo de mantenimiento de las redes corporativas debido a la conexión más económica de oficinas remotas y usuarios remotos a través de Internet. De hecho, al comparar el costo de los servicios para conectar varias redes a través de Internet, por ejemplo, con las redes Frame Relay, se puede notar una diferencia significativa en el costo. Sin embargo, cabe señalar que cuando las redes se conectan a través de Internet, surge de inmediato la cuestión de la seguridad de la transmisión de datos, por lo que se hizo necesario crear mecanismos para garantizar la confidencialidad e integridad de la información transmitida. Las redes construidas sobre la base de tales mecanismos se denominan VPN.

Además, muy a menudo una persona moderna, que desarrolla su negocio, tiene que viajar mucho. Pueden ser viajes a rincones remotos de nuestro país oa países extranjeros. No es raro que las personas necesiten acceder a su información almacenada en la computadora de su hogar o de la empresa. Este problema se puede resolver organizando el acceso remoto mediante un módem y una línea. El uso de una línea telefónica tiene sus propias características. Las desventajas de esta solución es que una llamada desde otro país cuesta mucho dinero. Hay otra solución llamada VPN. Las ventajas de la tecnología VPN es que la organización del acceso remoto no se realiza a través de una línea telefónica, sino a través de Internet, que es mucho más barato y mejor. En mi opinión, la tecnología. VPN tiene la perspectiva de ser ampliamente adoptado en todo el mundo.

1. El concepto y clasificación de las redes VPN, su construcción.

1.1 ¿Qué es VPN?

vpn(Ing. Virtual Private Network - red privada virtual) - una red lógica creada encima de otra red, como Internet. A pesar de que las comunicaciones se realizan a través de redes públicas utilizando protocolos inseguros, el cifrado crea canales de intercambio de información cerrados a los extraños. VPN le permite combinar, por ejemplo, varias oficinas de una organización en una sola red utilizando canales no controlados para la comunicación entre ellos.

En esencia, una VPN tiene muchas de las propiedades de una línea alquilada, pero se implementa dentro de una red pública, como . Con la técnica de tunelización, los paquetes de datos se transmiten a través de la red pública como si fueran una conexión punto a punto normal. Entre cada par de "datos emisor-receptor" se establece una especie de túnel, una conexión lógica segura que permite encapsular los datos de un protocolo en paquetes de otro. Los componentes principales del túnel son:

• iniciador;
• red enrutada;
• interruptor de túnel;
• uno o más terminadores de túnel.

Por sí mismo, el principio de operación de VPN no contradice las principales tecnologías y protocolos de red. Por ejemplo, al establecer una conexión de acceso telefónico, el cliente envía un flujo de paquetes PPP estándar al servidor. En el caso de organizar líneas arrendadas virtuales entre redes locales, sus enrutadores también intercambian paquetes PPP. Sin embargo, un punto fundamentalmente nuevo es el reenvío de paquetes a través de un túnel seguro organizado dentro de la red pública.

La tunelización le permite organizar la transmisión de paquetes de una protocolo en un entorno lógico que utiliza un protocolo diferente. Como resultado, se hace posible resolver los problemas de interacción entre varias redes heterogéneas, desde la necesidad de asegurar la integridad y confidencialidad de los datos transmitidos hasta la superación de inconsistencias en protocolos externos o esquemas de direccionamiento.

La infraestructura de red existente de una corporación se puede aprovisionar para el uso de VPN a través de software o hardware. La organización de una red privada virtual se puede comparar con tender un cable a través de una red global. Por lo general, se establece una conexión directa entre un usuario remoto y un dispositivo final de túnel mediante el protocolo PPP.

El método más común para crear túneles VPN es encapsular protocolos de red (IP, IPX, AppleTalk, etc.) en PPP y luego encapsular los paquetes resultantes en un protocolo de túnel. Por lo general, este último es IP o (con mucha menos frecuencia) ATM y Frame Relay. Este enfoque se denomina tunelización de capa 2, porque el "pasajero" aquí es el protocolo de capa 2.

Un enfoque alternativo: encapsular paquetes de protocolo de red directamente en un protocolo de tunelización (por ejemplo, VTP) se denomina tunelización de capa 3.

No importa qué protocolos se utilicen o qué objetivos perseguidos en la organización del túnel, la técnica básica permaneceprácticamente sin cambios. Por lo general, un protocolo se usa para establecer una conexión con un host remoto y el otro se usa para encapsular datos y sobrecarga para la transmisión a través de un túnel.

1.2 Clasificación de las redes VPN

Las soluciones VPN se pueden clasificar según varios parámetros principales:

1. Por tipo de medio utilizado:

• Redes VPN seguras. La variante más común de las redes privadas privadas. Con su ayuda, es posible crear una subred confiable y segura basada en una red poco confiable, generalmente Internet. Ejemplos de VPN seguras son: IPSec, OpenVPN y PPTP.
• Redes VPN de confianza. Se utilizan en los casos en que el medio de transmisión se puede considerar confiable y solo es necesario para resolver el problema de crear una subred virtual dentro de una red más grande. Los problemas de seguridad se vuelven irrelevantes. Ejemplos de tales soluciones VPN son: MPLS y L2TP. Es más correcto decir que estos protocolos transfieren la tarea de brindar seguridad a otros, por ejemplo, L2TP generalmente se usa en conjunto con IPSec.

2. Según el método de ejecución:

• Redes VPN en forma de software y hardware especiales. La implementación de la red VPN se lleva a cabo utilizando un conjunto especial de software y hardware. Esta implementación proporciona un alto rendimiento y, por regla general, un alto grado de seguridad.
• Redes VPN como solución de software. Usan una computadora personal con un software especial que proporciona funcionalidad VPN.
• Redes VPN con una solución integrada. La funcionalidad VPN es proporcionada por un complejo que también resuelve los problemas de filtrado del tráfico de la red, organizando un firewall y asegurando la calidad del servicio.

3. Con cita previa:

• VPN de intranet. Se utilizan para combinar varias sucursales distribuidas de una organización en una sola red segura, intercambiando datos a través de canales de comunicación abiertos.
• VPN de acceso remoto. Se utilizan para crear un canal seguro entre un segmento de la red corporativa (oficina central o sucursal) y un solo usuario que, mientras trabaja en casa, se conecta a los recursos corporativos desde una computadora doméstica o, durante un viaje de negocios, se conecta a los recursos corporativos. recursos usando una computadora portátil.
• Extranet VPN. Se utiliza para redes a las que se conectan usuarios "externos" (por ejemplo, clientes o clientes). El nivel de confianza en ellos es muy inferior al de los empleados de la empresa, por lo que es necesario establecer “fronteras” especiales de protección que impidan o restrinjan el acceso de estos últimos a información confidencial de especial valor.

4. Por tipo de protocolo:

• Existen implementaciones de redes privadas virtuales bajo TCP/IP, IPX y AppleTalk. Pero hoy en día existe una tendencia hacia una transición general al protocolo TCP/IP, y la gran mayoría de las soluciones VPN lo soportan.

5. Por nivel de protocolo de red:

• Por capa de protocolo de red, basado en un mapeo a las capas del modelo de referencia de red ISO/OSI.

1.3. Construyendo una VPN

Hay varias opciones para construir una VPN. Al elegir una solución, debe considerar los factores de rendimiento de los creadores de VPN. Por ejemplo, si un enrutador ya está funcionando al límite de su potencia, agregar túneles VPN y aplicar el cifrado/descifrado de información puede hacer que toda la red deje de funcionar debido al hecho de que este enrutador no podrá hacer frente al tráfico simple. , sin mencionar VPN. La experiencia muestra que es mejor usar hardware especializado para construir una VPN, pero si hay una limitación en los fondos, puede prestar atención a una solución puramente de software. Considere algunas opciones para construir una VPN.

• VPN basada en cortafuegos. La mayoría de los fabricantes de cortafuegos admiten túneles y cifrado de datos. Todos estos productos se basan en el hecho de que el tráfico que pasa por el firewall está encriptado. Se agrega un módulo de cifrado al propio software de firewall. La desventaja de este método es la dependencia del rendimiento del hardware en el que se ejecuta el cortafuegos. Cuando utilice cortafuegos basados ​​en PC, tenga en cuenta que dicha solución solo se puede utilizar para redes pequeñas con una pequeña cantidad de información transmitida.
• VPN basada en enrutador. Otra forma de construir una VPN es usar enrutadores para crear canales seguros. Dado que toda la información proveniente de la red local pasa por el enrutador, es recomendable asignar tareas de encriptación también a este enrutador.Un ejemplo de equipo para construir VPN en enrutadores es el equipo de Cisco Systems. A partir de la versión 11.3 del software IOS, enrutadores cisco Admite protocolos L2TP e IPSec. Además de cifrar simplemente el tráfico en tránsito, Cisco admite otras funciones de VPN, como la autenticación en el establecimiento del túnel y el intercambio de claves.Se puede usar un módulo de cifrado ESA opcional para mejorar el rendimiento del enrutador. Además, Cisco System ha lanzado un dispositivo VPN dedicado denominado Cisco 1720 VPN Access Router para su instalación en pequeñas y medianas empresas y grandes sucursales.
• VPN basada en software. El próximo enfoque para construir una VPN está puramente basado en software. Al implementar una solución de este tipo, se utiliza un software especializado que se ejecuta en una computadora dedicada y, en la mayoría de los casos, actúa como un servidor proxy. La computadora que ejecuta este software puede estar ubicada detrás de un firewall.
• Sistema operativo de red basado en VPN.Consideraremos soluciones basadas en el sistema operativo de red utilizando el ejemplo del sistema operativo Windows de Microsoft. Para crear una VPN, Microsoft utiliza el protocolo PPTP, que está integrado en el sistema de Windows. Esta solución es muy atractiva para las organizaciones que utilizan Windows como sistema operativo corporativo. Cabe señalar que el costo de dicha solución es mucho más bajo que el costo de otras soluciones. La VPN basada en Windows utiliza una base de usuarios almacenada en el controlador de dominio principal (PDC). Al conectarse a un servidor PPTP, el usuario se autentica mediante los protocolos PAP, CHAP o MS-CHAP. Los paquetes transmitidos se encapsulan en paquetes GRE/PPTP. Para cifrar paquetes, se utiliza un protocolo no estándar de Microsoft Point-to-Point Encryption con una clave de 40 o 128 bits obtenida en el momento del establecimiento de la conexión. Las desventajas de este sistema son la falta de controles de integridad de datos y la imposibilidad de cambiar las claves durante la conexión. Los aspectos positivos son la facilidad de integración con Windows y el bajo costo.
• VPN basada en hardware. La opción de construir una VPN en dispositivos especiales se puede utilizar en redes que requieren un alto rendimiento. Un ejemplo de tal solución es el producto IPro-VPN de Radguard. Este producto utiliza cifrado basado en hardware de la información transmitida, capaz de pasar un flujo de 100 Mbps. IPro-VPN es compatible con el protocolo IPSec y el mecanismo de gestión de claves ISAKMP/Oakley. Entre otras cosas, este dispositivo admite la traducción de direcciones de red y se puede complementar con una placa especial que agrega funciones de firewall.

2. Protocolos de redes VPN

Las redes VPN se construyen utilizando protocolos de tunelización de datos a través de la red pública de comunicaciones de Internet, con protocolos de tunelización que cifran los datos y los transmiten de un extremo a otro entre los usuarios. Como regla general, hoy en día se utilizan los siguientes protocolos para construir redes VPN:

• Capa de enlace
• capa de red
• capa de transporte.

2.1 Capa de enlace

En la capa de enlace de datos, se pueden utilizar los protocolos de tunelización de datos L2TP y PPTP, que utilizan autorización y autenticación.

PPTP.

Actualmente, el protocolo VPN más común es el Protocolo de tunelización punto a punto - PPTP. Fue desarrollado por 3Com y Microsoft para brindar acceso remoto seguro a las redes corporativas a través de Internet. PPTP utiliza estándares TCP/IP abiertos existentes y se basa en gran medida en el protocolo PPP punto a punto heredado. En la práctica, PPP sigue siendo el protocolo de comunicación de una sesión de conexión PPP. PPTP crea un túnel a través de la red hasta el servidor NT del destinatario y envía los paquetes PPP del usuario remoto a través de él. El servidor y la estación de trabajo utilizan una red privada virtual y no les importa cuán segura o accesible sea la red global entre ellos. La finalización de una sesión de conexión iniciada por el servidor, a diferencia de los servidores de acceso remoto especializados, permite a los administradores de la red local no permitir que los usuarios remotos atraviesen el sistema de seguridad de Windows Server.

Si bien PPTP se limita a los dispositivos que ejecutan Windows, brinda a las empresas la capacidad de interoperar con las infraestructuras de red existentes sin comprometer su propia seguridad. Por lo tanto, un usuario remoto puede conectarse a Internet utilizando un ISP local a través de una línea telefónica analógica o un canal ISDN y establecer una conexión con el servidor NT. Al mismo tiempo, la empresa no tiene que gastar grandes sumas en la organización y mantenimiento de un grupo de módems que proporciona servicios de acceso remoto.

El trabajo del RRTR se discute a continuación. PPTP encapsula paquetes IP para su transmisión a través de una red IP. Los clientes PPTP usan el puerto de destino para crear una conexión de control de túnel. Este proceso ocurre en la capa de transporte del modelo OSI. Una vez que se crea el túnel, la computadora cliente y el servidor comienzan a intercambiar paquetes de servicio. Además de la conexión de control PPTP que mantiene vivo el enlace, se crea una conexión para reenviar el túnel de datos. Los datos se encapsulan antes de que se envíen a través del túnel de una manera ligeramente diferente a la de la transmisión normal. Encapsular datos antes de enviarlos al túnel implica dos pasos:

1. Primero, se crea la parte de información de PPP. Los datos fluyen de arriba hacia abajo, desde la capa de aplicación OSI hasta la capa de enlace.
2. Luego, los datos recibidos se envían al modelo OSI y se encapsulan mediante protocolos de capa superior.

Así, durante el segundo paso, los datos llegan a la capa de transporte. Sin embargo, la información no puede ser enviada a su destino, ya que la capa de enlace OSI se encarga de esto. Por lo tanto, PPTP encripta el campo de carga útil del paquete y asume las funciones de la segunda capa normalmente asociadas con PPP, es decir, agrega un encabezado PPP y finaliza a un paquete PPTP. Esto completa la creación del marco de la capa de enlace.

A continuación, PPTP encapsula la trama PPP en un paquete de encapsulación de enrutamiento genérico (GRE) que pertenece a la capa de red. GRE encapsula protocolos de capa de red como IPX, AppleTalk, DECnet para permitir su transporte a través de redes IP. Sin embargo, GRE no tiene la capacidad de establecer sesiones y brindar protección de datos contra intrusos. Esto utiliza la capacidad de PPTP para crear una conexión de control de túnel. El uso de GRE como método de encapsulación limita el alcance de PPTP solo a redes IP.

Una vez encapsulada la trama PPP en una trama con encabezado GRE, se encapsula en una trama con encabezado IP. El encabezado IP contiene las direcciones del remitente y el destinatario del paquete. Finalmente, PPTP agrega un encabezado y un final PPP.

El sistema de envío envía datos a través del túnel. El sistema receptor elimina todos los encabezados de servicio, dejando solo los datos de PPP.

L2TP

En un futuro cercano, se espera un aumento en la cantidad de VPN implementadas basadas en el nuevo Protocolo de Túnel de Capa 2 - L2TP.

L2TP apareció como resultado de la fusión de los protocolos PPTP y L2F (Layer 2 Forwarding). PPTP permite transmitir paquetes PPP a través del túnel y paquetes SLIP y PPP L2F. Para evitar confusiones y problemas de interoperabilidad en el mercado de las telecomunicaciones, el comité del Grupo de Trabajo de Ingeniería de Internet (IETF) recomendó que Cisco Systems combine PPTP y L2F. Por todas las cuentas, el protocolo L2TP ha incorporado las mejores características de PPTP y L2F. La principal ventaja de L2TP es que este protocolo te permite crear un túnel no solo en redes IP, sino también en redes como ATM, X.25 y Frame Relay. Desafortunadamente, la implementación de Windows 2000 de L2TP solo admite IP.

L2TP utiliza UDP como transporte y utiliza el mismo formato de mensaje tanto para la gestión de túneles como para el reenvío de datos. La implementación de L2TP de Microsoft utiliza paquetes UDP que contienen paquetes PPP cifrados como mensajes de control. La fiabilidad de la entrega está garantizada por el control de la secuencia de paquetes.

La funcionalidad de PPTP y L2TP es diferente. L2TP se puede usar no solo en redes IP, los mensajes de servicio para crear un túnel y enviar datos a través de él usan el mismo formato y protocolos. PPTP solo se puede usar en redes IP y necesita una conexión TCP separada para crear y usar el túnel. L2TP sobre IPSec ofrece más capas de seguridad que PPTP y puede garantizar una seguridad cercana al 100 % de los datos críticos para el negocio. Las características de L2TP lo convierten en un protocolo muy prometedor para construir redes virtuales.

Los protocolos L2TP y PPTP se diferencian de los protocolos de tunelización de capa 3 en varios aspectos:

1. Brindar a las empresas la capacidad de elegir cómo autenticar a los usuarios y verificar sus credenciales, en su propio "territorio" o con un proveedor de servicios de Internet. Mediante el procesamiento de paquetes PPP tunelizados, los servidores de la red corporativa obtienen toda la información que necesitan para identificar a los usuarios.
2. Compatibilidad con la conmutación de túneles: terminar un túnel e iniciar otro en uno de los muchos terminadores potenciales. La conmutación de túneles permite, por así decirlo, extender la conexión PPP al punto final requerido.
3. Permitir a los administradores de sistemas de redes corporativas implementar estrategias para asignar derechos de acceso a los usuarios directamente en el firewall y los servidores internos. Debido a que los terminadores de túnel reciben paquetes PPP que contienen información del usuario, pueden aplicar políticas de seguridad definidas por el administrador al tráfico de usuarios individuales. (La tunelización de capa 3 no permite distinguir entre los paquetes que provienen del proveedor, por lo que se deben aplicar filtros de política de seguridad en las estaciones de trabajo finales y los dispositivos de red). Además, si se utiliza un conmutador de túnel, es posible organizar un " continuación" del túnel el segundo nivel para traducción directa del tráfico de personasusuarios a los servidores internos correspondientes. Dichos servidores pueden tener la tarea de filtrado de paquetes adicional.

MPLS

También en la capa de enlace, la tecnología MPLS se puede utilizar para organizar túneles ( Del inglés Conmutación de etiquetas multiprotocolo - conmutación de etiquetas multiprotocolo - un mecanismo de transferencia de datos que emula varias propiedades de redes conmutadas por circuitos sobre redes conmutadas por paquetes). MPLS opera en una capa que podría ubicarse entre la capa de enlace de datos y la tercera capa de red del modelo OSI y, por lo tanto, se le conoce comúnmente como protocolo de capa de enlace de red. Fue diseñado para proporcionar un servicio de datos versátil tanto para clientes de redes de conmutación de circuitos como de conmutación de paquetes. Con MPLS, puede transportar una amplia variedad de tráfico, como paquetes IP, ATM, SONET y tramas Ethernet.

Las soluciones para organizar VPN a nivel de enlace de datos tienen un alcance bastante limitado, generalmente dentro del dominio del proveedor.

2.2 Capa de red

Capa de red (capa IP). Se utiliza el protocolo IPSec, que implementa el cifrado y la confidencialidad de los datos, así como la autenticación del suscriptor. El uso del protocolo IPSec le permite implementar un acceso completo equivalente a una conexión física a una red corporativa. Para establecer una VPN, cada participante debe configurar ciertos parámetros IPSec, p. cada cliente debe tener un software que implemente IPSec.

IPSec

Naturalmente, ninguna empresa querría transferir abiertamente Internet información financiera u otra información confidencial. Los canales VPN están protegidos por potentes algoritmos de cifrado integrados en los estándares del protocolo de seguridad IPsec. IPSec o Internet Protocol Security: el estándar elegido por la comunidad internacional, el IETF - Grupo de trabajo de ingeniería de Internet, crea la base de seguridad para el Protocolo de Internet (el protocolo IP / IPSec brinda protección a nivel de red y requiere soporte para el estándar IPSec solo de los dispositivos que se comunican entre sí en ambos, todos los demás dispositivos intermedios simplemente proporcionan tráfico de paquetes IP.

El método de interacción entre personas que utilizan la tecnología IPSec generalmente se define con el término "asociación segura" - Asociación de seguridad (SA). Una asociación segura opera sobre la base de un acuerdo celebrado por las partes que utilizan IPSec para proteger la información que se transmiten entre sí. Este acuerdo rige varios parámetros: direcciones IP del remitente y el destinatario, algoritmo criptográfico, orden de intercambio de claves, tamaños de clave, vida útil de la clave, algoritmo de autenticación.

IPSec es un conjunto de consenso de estándares abiertos que tiene un núcleo que se puede ampliar fácilmente con nuevas funciones y protocolos. El núcleo de IPSec consta de tres protocolos:

· UN o Cabecera de autenticación - cabecera de autenticación - garantiza la integridad y autenticidad de los datos. El objetivo principal del protocolo AH es permitir que el lado receptor se asegure de que:

• el paquete fue enviado por una parte con la que se ha establecido una asociación segura;
• el contenido del paquete no se distorsionó durante su transmisión por la red;
• el paquete no es un duplicado de un paquete ya recibido.

Las dos primeras funciones son obligatorias para el protocolo AH y la última es opcional a la hora de establecer una asociación. Para realizar estas funciones, el protocolo AH utiliza un encabezado especial. Su estructura se considera de la siguiente manera:

1. El siguiente campo de encabezado indica el código del protocolo de nivel superior, es decir, el protocolo cuyo mensaje se coloca en el campo de datos del paquete IP.
2. El campo de longitud de la carga útil contiene la longitud del encabezado AH.
3. El índice de parámetros de seguridad (SPI) se utiliza para asociar un paquete con su asociación segura prevista.
4. El campo Número de secuencia (SN) indica el número de secuencia del paquete y se usa para proteger contra la suplantación de identidad (cuando un tercero intenta reutilizar paquetes seguros interceptados enviados por un remitente verdaderamente autenticado).
5. El campo de datos de autenticación, que contiene el llamado Valor de verificación de integridad (ICV), se utiliza para autenticar y verificar la integridad del paquete. Este valor, también llamado resumen, se calcula usando una de las dos funciones MD5 o SAH-1 computacionalmente irreversibles requeridas por el protocolo AH, pero se puede usar cualquier otra función.

· ESP o carga útil de seguridad encapsulada- encapsulación de datos cifrados: cifra los datos transmitidos, proporcionando confidencialidad, también puede mantener la autenticación y la integridad de los datos;

El protocolo ESP resuelve dos grupos de problemas.

1. El primero incluye tareas similares a las del protocolo AH: se trata de la provisión de autenticación e integridad de datos basada en el resumen,
2. Al segundo: datos transmitidos cifrándolos para que no se vean sin autorización.

El encabezado se divide en dos partes separadas por un campo de datos.

1. La primera parte, denominada propiamente cabecera ESP, está formada por dos campos (SPI y SN), cuya finalidad es similar a la de los campos del mismo nombre en el protocolo AH, y se sitúa antes del campo de datos.
2. Los campos de servicio restantes del protocolo ESP, denominados tráiler ESP, se encuentran al final del paquete.

Los dos campos del tráiler, el siguiente encabezado y los datos de autenticación, son similares a los campos del encabezado AH. El campo Datos de autenticación se omite si se tomó la decisión de no utilizar las capacidades de integridad del protocolo ESP al establecer una asociación segura. Además de estos campos, el tráiler contiene dos campos adicionales: relleno y longitud del relleno.

Los protocolos AH y ESP pueden proteger los datos de dos modos:

1. en transporte: la transmisión se realiza con encabezados IP originales;
2. en un túnel: el paquete original se coloca en un nuevo paquete IP y la transmisión se realiza con nuevos encabezados.

El uso de uno u otro modo depende de los requisitos de protección de datos, así como del papel que juega en la red el nodo que termina el canal seguro. Así, un nodo puede ser un host (nodo final) o una puerta de enlace (nodo intermedio).

En consecuencia, existen tres esquemas para usar el protocolo IPSec:

1. anfitrión anfitrión;
2. puerta de enlace-puerta de enlace;
3. puerta de enlace del host.

Las capacidades de los protocolos AH y ESP se superponen parcialmente: el protocolo AH solo es responsable de garantizar la integridad y autenticación de los datos, el protocolo ESP puede cifrar datos y, además, realizar las funciones del protocolo AH (en forma truncada) . ESP puede admitir funciones de encriptación y autenticación/integridad en cualquier combinación, es decir, el grupo completo de funciones, o solo autenticación/integridad, o solo encriptación.

· IKE o Intercambio de claves de Internet - Intercambio de claves de Internet - resuelve la tarea auxiliar de proporcionar automáticamente puntos finales de canales seguros con las claves secretas necesarias para el funcionamiento de los protocolos de autenticación y cifrado de datos.

2.3 Capa de transporte

La capa de transporte utiliza el protocolo SSL/TLS o Secure Socket Layer/Transport Layer Security, que implementa el cifrado y la autenticación entre las capas de transporte del receptor y el transmisor. SSL/TLS se puede usar para proteger el tráfico TCP, no se puede usar para proteger el tráfico UDP. No es necesario implementar un software especial para que la VPN basada en SSL/TLS funcione, ya que todos los navegadores y clientes de correo electrónico están equipados con estos protocolos. Debido al hecho de que SSL/TLS se implementa en la capa de transporte, se establece una conexión segura de extremo a extremo.

El protocolo TLS se basa en el protocolo SSL de Netscape versión 3.0 y consta de dos partes: el protocolo de registro TLS y el protocolo de protocolo de enlace TLS. La diferencia entre SSL 3.0 y TLS 1.0 es menor.

SSL/TLS incluye tres fases principales:

1. Diálogo entre las partes, cuyo objetivo es elegir un algoritmo de cifrado;
2. Intercambio de claves basado en criptosistemas de clave pública o autenticación basada en certificados;
3. Transferencia de datos cifrados mediante algoritmos de cifrado simétrico.

2.4 Implementación de VPN: ¿IPSec o SSL/TLS?

A menudo, los jefes de los departamentos de TI se enfrentan a la pregunta: ¿cuál de los protocolos elegir para construir una red VPN corporativa? La respuesta no es obvia, ya que cada enfoque tiene ventajas y desventajas. Intentaremos realizar e identificar cuándo es necesario utilizar IPSec, y cuándo SSL/TLS. Como se puede observar del análisis de las características de estos protocolos, no son intercambiables y pueden funcionar tanto por separado como en paralelo, definiendo las características funcionales de cada una de las VPN implementadas.

La elección del protocolo para construir una red VPN corporativa se puede realizar de acuerdo con los siguientes criterios:

· Tipo de acceso requerido para usuarios de VPN.

1. Conexión permanente a la red corporativa totalmente funcional. La opción recomendada es IPSec.
2. Una conexión temporal, como un usuario móvil o un usuario que usa una computadora pública, para obtener acceso a ciertos servicios, como el correo electrónico o una base de datos. La opción recomendada es el protocolo SSL/TLS, que le permite organizar una VPN para cada servicio individual.

· Si el usuario es un empleado de la empresa.

1. Si el usuario es un empleado de la empresa, el dispositivo que utiliza para acceder a la red corporativa a través de IPSec VPN se puede configurar de alguna manera específica.
2. Si el usuario no es empleado de la empresa a cuya red corporativa se accede, se recomienda utilizar SSL/TLS. Esto restringirá el acceso de los invitados solo a ciertos servicios.

· Cuál es el nivel de seguridad de la red corporativa.

1. Alto. La opción recomendada es IPSec. De hecho, el nivel de seguridad que ofrece IPSec es mucho más alto que el nivel de seguridad que ofrece el protocolo SSL/TLS debido al uso de software configurable en el lado del usuario y una puerta de enlace de seguridad en el lado de la red corporativa.
2. Medio. La opción recomendada es el protocolo SSL/TLS que permite el acceso desde cualquier terminal.

· El nivel de seguridad de los datos transmitidos por el usuario.

1. Alto, por ejemplo, la gestión de la empresa. La opción recomendada es IPSec.
2. Medio, por ejemplo, socio. La opción recomendada es el protocolo SSL/TLS.

Dependiendo del servicio, de medio a alto. La opción recomendada es una combinación de IPSec (para servicios que requieren un alto nivel de seguridad) y SSL/TLS (para servicios que requieren un nivel medio de seguridad).

· Lo que es más importante, rápido despliegue de VPN o futura escalabilidad de la solución.

1. Implemente rápidamente una red VPN a un costo mínimo. La opción recomendada es el protocolo SSL/TLS. En este caso, no hay necesidad de implementar un software especial por parte del usuario, como en el caso de IPSec.
2. Escalabilidad de la red VPN: agregar acceso a varios servicios. La opción recomendada es el protocolo IPSec que permite el acceso a todos los servicios y recursos de la red corporativa.
3. Rápido despliegue y escalabilidad. La opción recomendada es una combinación de IPSec y SSL/TLS: use SSL/TLS en la primera fase para acceder a los servicios requeridos, seguido de la implementación de IPSec.

3. Métodos para implementar redes VPN

Una red privada virtual se basa en tres métodos de implementación:

· Túneles;

· Cifrado;

· Autenticación.

3.1 Tunelización

La tunelización garantiza la transferencia de datos entre dos puntos, los extremos del túnel, de tal manera que toda la infraestructura de red que se encuentra entre ellos queda oculta desde el origen y el destino de los datos.

El medio de transporte del túnel, como un transbordador, recoge los paquetes del protocolo de red utilizado en la entrada del túnel y los entrega sin cambios a la salida. Construir un túnel es suficiente para conectar dos nodos de red de modo que, desde el punto de vista del software que se ejecuta en ellos, parezcan estar conectados a la misma red (local). Sin embargo, no debemos olvidar que, de hecho, el "ferry" con datos pasa por muchos nodos intermedios (enrutadores) de una red pública abierta.

Este estado de cosas tiene dos problemas. La primera es que la información transmitida a través del túnel puede ser interceptada por intrusos. Si es confidencial (números de tarjetas bancarias, informes financieros, información personal), entonces la amenaza de su compromiso es bastante real, lo que ya es desagradable en sí mismo. Peor aún, los atacantes tienen la capacidad de modificar los datos transmitidos a través del túnel para que el destinatario no pueda verificar su autenticidad. Las consecuencias pueden ser las más deplorables. Dado lo anterior, llegamos a la conclusión de que el túnel en su forma pura solo es adecuado para algunos tipos de juegos de computadora en red y no puede pretender ser más serio. Ambos problemas se resuelven con medios modernos de protección de información criptográfica. Para evitar cambios no autorizados en el paquete de datos en su camino a través del túnel, se utiliza el método de firma digital electrónica (). La esencia del método es que cada paquete transmitido recibe un bloque de información adicional, que se genera de acuerdo con un algoritmo criptográfico asimétrico y es único para el contenido del paquete y la clave secreta del EDS del remitente. Este bloque de información es el EDS del paquete y permite realizar la autenticación de datos por parte del destinatario, quien conoce la clave pública del EDS del remitente. La protección de los datos transmitidos a través del túnel frente a la visualización no autorizada se logra mediante el uso de fuertes algoritmos de encriptación.

3.2 Autenticación

La seguridad es la función principal de una VPN. Todos los datos de las computadoras cliente pasan a través de Internet al servidor VPN. Tal servidor puede estar ubicado a una gran distancia de la computadora del cliente, y los datos en el camino a la red de la organización pasan a través del equipo de muchos proveedores. ¿Cómo asegurarse de que los datos no han sido leídos o cambiados? Para ello, se utilizan varios métodos de autenticación y cifrado.

PPTP puede usar cualquiera de los protocolos usados ​​para PPP para autenticar a los usuarios.

• EAP o Protocolo de Autenticación Extensible;
• MSCHAP o Protocolo de autenticación por desafío mutuo de Microsoft (versiones 1 y 2);
• Protocolo de autenticación CHAP o Challenge Handshake;
• Protocolo de autenticación de contraseña SPAP o Shiva;
• PAP o Protocolo de Autenticación de Contraseña.

MSCHAP versión 2 y Transport Layer Security (EAP-TLS) se consideran los mejores porque proporcionan autenticación mutua, es decir, El servidor VPN y el cliente se identifican entre sí. En todos los demás protocolos, solo el servidor autentica a los clientes.

Aunque PPTP proporciona un grado suficiente de seguridad, L2TP sobre IPSec es aún más confiable. L2TP sobre IPSec proporciona autenticación a nivel de usuario y de computadora, así como autenticación y encriptación de datos.

La autenticación se lleva a cabo mediante una prueba abierta (contraseña de texto claro) o mediante un esquema de solicitud/respuesta (desafío/respuesta). Con texto directo, todo está claro. El cliente envía la contraseña al servidor. El servidor compara esto con el punto de referencia y niega el acceso o dice "bienvenido". La autenticación abierta es prácticamente inexistente.

El esquema de solicitud/respuesta es mucho más avanzado. En general, se ve así:

• el cliente envía una solicitud al servidor para la autenticación;
• el servidor devuelve una respuesta aleatoria (desafío);
• el cliente elimina un hash de su contraseña (un hash es el resultado de una función hash que convierte una matriz de datos de entrada de longitud arbitraria en una cadena de bits de salida de longitud fija), cifra la respuesta con ella y la envía al servidor;
• el servidor hace lo mismo, comparando el resultado con la respuesta del cliente;
• si la respuesta cifrada coincide, la autenticación se considera exitosa;

En el primer paso de autenticación de clientes y servidores VPN, L2TP sobre IPSec utiliza certificados locales obtenidos de una autoridad certificadora. El cliente y el servidor intercambian certificados y crean una conexión ESP SA (asociación de seguridad) segura. Una vez que L2TP (sobre IPSec) completa el proceso de autenticación de la computadora, se realiza la autenticación a nivel de usuario. Se puede utilizar cualquier protocolo para la autenticación, incluso PAP, que transmite el nombre de usuario y la contraseña en texto claro. Esto es bastante seguro ya que L2TP sobre IPSec encripta toda la sesión. Sin embargo, la autenticación del usuario con MSCHAP, que utiliza diferentes claves de cifrado para autenticar la computadora y el usuario, puede aumentar la seguridad.

3.3. Cifrado

El cifrado con PPTP garantiza que nadie pueda acceder a los datos mientras se envían por Internet. Actualmente se admiten dos métodos de cifrado:

• MPPE o Microsoft Point-to-Point Encryption solo es compatible con MSCHAP (versiones 1 y 2);
• EAP-TLS y puede elegir automáticamente la longitud de la clave de cifrado al negociar parámetros entre el cliente y el servidor.

MPPE admite claves de 40, 56 o 128 bits. Los sistemas operativos Windows más antiguos solo admiten el cifrado con una longitud de clave de 40 bits, por lo que en un entorno mixto de Windows, elija la longitud mínima de clave.

PPTP cambia el valor de la clave de cifrado después de cada paquete recibido. El protocolo MMPE fue diseñado para enlaces punto a punto donde los paquetes se transmiten secuencialmente y hay muy poca pérdida de datos. En esta situación, el valor de la clave para el siguiente paquete depende de los resultados del descifrado del paquete anterior. Cuando se construyen redes virtuales a través de redes públicas, estas condiciones no se pueden cumplir, ya que los paquetes de datos suelen llegar al destinatario en el orden incorrecto en el que se enviaron. Por lo tanto, PPTP usa números de secuencia de paquetes para cambiar la clave de cifrado. Esto permite que el descifrado se realice independientemente de los paquetes recibidos anteriormente.

Ambos protocolos están implementados tanto en Microsoft Windows como fuera de él (por ejemplo, en BSD), los algoritmos de operación de VPN pueden diferir significativamente.

Así, el paquete “tunelización + autenticación + cifrado” permite transferir datos entre dos puntos a través de una red pública, simulando el funcionamiento de una red privada (local). En otras palabras, las herramientas consideradas le permiten construir una red privada virtual.

Un buen efecto adicional de una conexión VPN es la capacidad (e incluso la necesidad) de utilizar el sistema de direccionamiento adoptado en la red local.

La implementación de una red privada virtual en la práctica es la siguiente. Se instala un servidor VPN en la red informática local de la oficina de la empresa. El usuario remoto (o enrutador, si hay dos oficinas conectadas) que utiliza el software del cliente VPN inicia el procedimiento de conexión con el servidor. Se produce la autenticación del usuario: la primera fase del establecimiento de una conexión VPN. En el caso de la confirmación de la autoridad, comienza la segunda fase: entre el cliente y el servidor, se negocian los detalles para garantizar la seguridad de la conexión. Después de eso, se organiza una conexión VPN, que garantiza el intercambio de información entre el cliente y el servidor en la forma en que cada paquete de datos pasa por los procedimientos de encriptación/desencriptación y verificación de integridad: autenticación de datos.

El principal problema de las redes VPN es la falta de estándares establecidos para la autenticación y el intercambio de información cifrada. Estos estándares aún están en desarrollo y, por lo tanto, los productos de diferentes fabricantes no pueden establecer conexiones VPN e intercambiar claves automáticamente. Este problema conlleva una ralentización en la difusión de las VPN, ya que es difícil obligar a diferentes empresas a utilizar los productos de un mismo fabricante y, por tanto, el proceso de combinación de redes de empresas asociadas en las denominadas redes extranet es complicado.

Las ventajas de la tecnología VPN son que la organización del acceso remoto no se realiza a través de una línea telefónica, sino a través de Internet, que es mucho más barato y mejor. La desventaja de la tecnología VPN es que las herramientas para crear VPN no son herramientas completas para detectar y bloquear ataques. Pueden evitar una serie de acciones no autorizadas, pero no todas las posibilidades que se pueden utilizar para penetrar en una red corporativa. Pero, a pesar de todo esto, la tecnología VPN tiene perspectivas de mayor desarrollo.

¿Qué podemos esperar en términos del desarrollo de tecnologías VPN en el futuro? Sin duda, se desarrollará y aprobará un estándar único para la construcción de tales redes. Lo más probable es que la base de este estándar sea el protocolo IPSec ya probado. A continuación, los fabricantes se centrarán en mejorar el rendimiento de sus productos y crear controles de VPN convenientes. Lo más probable es que el desarrollo de herramientas de creación de VPN vaya en la dirección de VPN basadas en enrutadores, ya que esta solución combina un rendimiento bastante alto, integración de VPN y enrutamiento en un solo dispositivo. Sin embargo, también se desarrollarán soluciones de bajo costo para organizaciones más pequeñas. En conclusión, hay que decir que, a pesar de que la tecnología VPN es todavía muy joven, tiene un gran futuro por delante.

¡Deje su comentario!