You are on page 1of 11

4. REDES PRIVADAS VIRTUALES 4.1.

INTRODUCCION

Hoy en da, la interconexin de distintos usuarios y entidades presentan una gran desafo silo que se busca es la optimizacin del intercambio de informacin y el acceso a los recursos compartidos. Hace poco, la nica opcin pasaba por la contratacin de una lnea de datos dedicada o a la utilizacin directa de una red de acceso pblico, asumiendo los riesgos de seguridad que esto conllevaba. Las lneas de datos dedicados estaban basadas en complejas redes privadas, conocidas como Intranets, y diseadas en base a distintos tipos de tecnologas como: ATM, Frame Relay,etc. Esta clase de arquitectura tiene asociada costos elevados, permaneciendo prcticamente inaccesible a pquelas y medianas empresas, tenindose que conformar con tecnologas inferiores. Hoy en da empresas y organizaciones necesitan acceder de forma remota a sus centros de produccin, gente que realiza gran parte de su trabajo desde sus hogares, proveedores que acceden a la informacin comercial actualizada desde sus equipos porttiles, directivos que se encuentran de viaje y necesitan seguir conectados a la oficina central de la empresa desde un hotel, oficina remota, espacio pblico, etc. Conforme al enorme crecimiento que esta haciendo auge el Internet, el aumento de la banda ancha y la continua digitalizacin de las redes de datos, se ha hecho posible la generacin de una gran variedad de servicios caracterizados por su bajo costo y buena calidad, que ofrecen distintas variantes de infraestructuras de

comunicaciones privadas. Uno de estos posibles servicios son las Redes Privadas Virtuales, en la cual resulta viable establecerlo.

4.2. DESCRIPCIN DE RED PRIVADA VIRTUAL Una Red Privada Virtual es un canal de datos privado que se implementa sobre una red de comunicaciones pblica, un ejemplo podra ser el internet. Consiste en dos mquinas (una en cada extremo de la conexin) y una ruta o tnel que se crea dinmicamente en una red pblica o privada. Para asegurar la privacidad de esta conexin los datos transmitidos entre ambos ordenadores son encriptados por el PPP (Point-to-Point Protocol), un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexin previa (tambin remota, LAN o WAN) por un dispositivo PPTP. Una Red Privada Virtual es una forma de compartir y transmitir informacin entre un crculo cerrado de usuarios que estn situados en diferentes localizaciones geogrficas. Es una red de datos de gran seguridad que permite la transmisin de informacin confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisin. Como norma habitual una VPN es el encargado de enlazar subredes remotas (o una subred remota y uno o varios usuarios remotos), creando para ello un tnel virtual a travs del cual sern encapsulados los paquetes antes de ser filtrados. Este encapsulado consistir en una nueva trama de red de capas superiores.

En la figura 4.2 se ejemplifica una Red Privada Virtual. En el cual se establece un enlace confidencial entre el usuario remoto y el servidor VPN. Cuando el usuario remoto quiera enviar informacin al otro extremo de la conexin (LAN) de forma privada, este crear un encapsulamiento virtual ( en funcin del tipo de VPN configurada) y despus le aadir la correspondiente cabecera del TCP/IP, con el objetivo de que pueda circular a travs de Internet. La diferencia entre un encapsulamiento IP normal y el otro que contenga un paquete VPN, es que la informacin transportada en el segundo est completamente cifrada, y por lo tanto, aunque el paquete sea capturado nunca se podr interpretar su contenido real. Una vez que la trama llegue al servidor VPN, esta misma mquina deber encargarse de descifrarlo y convertirlo en un paquete TCP/IP normal y enviarlo a su destino establecido por el usuario remoto. Cuando un VPN est establecida, aquellos participantes que se conecten se encontrarn virtualmente dentro del mismo segmento de red (LAN). 4.2.1 REQUERIMIENTOS DE UNA VPN Los requisitos genricos de las redes privadas virtuales se basan en ofrecer un conjunto de herramientas y protocolos de actuacin; con el objetivo de poder proveer, establecer y administrar el correcto funcionamiento de tneles VPN. Grupo de requerimientos son los siguientes:
 Autenticacin y comprobacin de la identidad de los usuarios, con al finalidad de permitir exclusivamente el acceso a la VPN a aquellos usuarios autorizados.  Administracin del rango de direcciones IP virtuales utilizadas por los participantes de la VPN.  Cifrado de los datos enviados a travs de la VPN. La informacin que circule virtualmente ilegible para aquellos usuarios no autorizados.  Gestin de clave pblica y privada, as como de los certificados digitales.

 Soporte para mltiples protocolos por parte de los encapsulados generados por las VPNs. Est clase de tramas se adaptaran fcilmente a los protocolos de red ocultos sobre los que viajarn por las distintas redes pblicas, de tipo TCP/IP.

4.3 TIPOS DE VPN

Podemos clasificar las redes privadas virtuales en sistemas basados en hardware y sistemas basados en software. SISTEMAS BASADOS EN HARDWARE Los sistemas basados en hardware, son routers que encriptan. Esta clase de dispositivos son por lo general bastante seguros, adems sencillos de utilizar. Ofrecen un alto grado de rendimiento, ya que no malgastan ciclos de procesador haciendo funcionar un Sistemas Operativo. Es hardware dedicado, rpido y de fcil instalacin. La implementacin entre ruteadores provee la capacidad de asegurar un paquete en una parte de la red, esta seguridad se logra a travs del tunneling de paquetes. Hoy en da existen varios fabricantes que ofrecen diversas alternativas hardware de cara a la implementacin de redes privadas virtuales. Entre ellos podemos destacar Cisco, Juniper, Nokia, Stonesoft,etc. Las principales ventajas conseguidas con la implementacin sobre routers son:
 Capacidad de asegurar el flujo de paquete entre dos redes, a travs de una red pblica como Internet.  Capacidad de autentificar y autorizar a usuarios el acceso sobre redes privadas.

SISTEMAS BASADOS EN SOFTWARE Estos sistemas son ideales para las situaciones donde los dos puntos de conexin de la VPN no estn controlados por la misma organizacin. Son independientes de la arquitectura y sistema operativo utilizado. Este tipo de VPN ofrece el mtodo ms flexible en cuanto al manejo de trfico. Con este tipo, el trafico puede ser enviado a

travs de un tnel, en funcin de las direcciones o protocolos, en cambio en los PPN por hardware, todo el trfico era enrutado por el tnel. Podemos hacer un enrutamiento inteligente de una manera ms fcil. 4.4 VENTAJAS DE LAS VPNs Las ventajas que se obtienen del empleo de las redes privadas virtuales frente a otro tipo de alternativas son las siguientes:
 Seguridad y Confidencialidad: Debido a la utilizacin de distintos tipos de tcnicas, como por ejemplo la autenticacin y el cifrado, se consigue el establecimiento de un canal de comunicacin privado sobre una infraestructura de acceso pblico, el cual evita que la informacin transmitida a travs de l sea interceptada, alterada o interpretada por personas no autorizadas.  Reduccin de costos: Debido a que no se emplean lneas de datos dedicadas, se produce un importante ahorro de dinero relacionado con la instalacin y mantenimiento del enlace fsico.  Escalabilidad: Es posible ampliar el ancho de banda de los accesos sin que esto repercuta en el correcto funcionamiento de la red privada virtual, as como el nmero de participantes implicados.  Mantenimiento sencillo: El mantenimiento de la misma es prcticamente nulo, ya que la nica tarea que hayque realizar es la de gestionar las acreditaciones de los distintos usuarios que se van dando de alta o que van causando baja. El administrador debe mantenerse atento ante las posibles actualizaciones de software correspondiente a su VPN.  Compatibilidad con los enlaces inalmbricos: Al igual que ocurre con las lneas fsicas no dedicadas, la informacin que viaja a travs de las redes WiFi es susceptible de ser capturada por personas no autorizadas. De la misma manera que sucede para los enlaces fsicos, sobre una red inalmbrica tambin se puede establecer un tnel virtual sobre el que poder enviar los paquetes de datos de manera confidencial.

4.5 ELEMENTOS DE UNA VPN

A continuacin se van a presentar los diferentes participantes de las redes privadas virtuales. El tnel VPN ser el canal de comunicacin seguro a travs del cual, los dos extremos finales (oficinas remotas y usuarios remotos) podrn enviar informacin de manera confidencial. Para ello, dichos datos sern cifrados antes de ser introducidos por el tnel. Los servidores pertenecientes al grupo de recursos compartidos a los que deber de proteger, y estarn situados dentro de las subredes locales. Cuando el VPN est establecido, los distintos clientes que hayan sido acreditados para poder utilizar el enlace virtual, podrn accesar de forma privada a dichos recursos y servicios compartidos, sin que ningn elemento ajeno al sistema pueda interceptar e interpretar la informacin intercambiada. RED PRIVADA O SUBRED LOCAL Una red privada o subred local es un segmento de la red perteneciente a una determinada LAN (Local Area Network, Red de rea Local), va a presentar un acceso restringido a un conjunto concreto de individuos. (VER LA FIGURA 4.5)

El rango de direcciones IP utilizado por este tipo de elementos suele ser de carcter privado (grupo de direcciones IP que cada persona puede utilizar libremente dentro de su red interna, pero que no le servirn para conectarse a Internet, debido a que no son pblicas, es decir, que no tiene dueo establecido). RED INSEGURA Una red insegura es un segmento de red donde cualquier persona podr conectarse e interceptar el trfico de fluye a travs de l, y en consecuencia, interpretar su contenido. (VER FIGURA)

El ejemplo clsico de una red totalmente insegura es la gran red de redes, el Internet. Cuando enviamos un correo electrnico, descargamos archivos o realizamos consultas en el buscador, esa informacin viaja en claro, es decir, es susceptible de ser capturada y analizada, logrndose obtener contraseas, cuentas bancarias, documentos, etc. TNEL VPN Un tnel VPN es un canal de comunicacin a travs del cual fluye la informacin de forma cifrada, confidencialmente, sin que cualquier otro elemento ajeno al origen y destino de la conexin pueda interpretar los datos que viajan a travs de l.

(VER FIGURA) Se presenta un tnel VPN que atraviesa una red insegura. Si un intruso captura algn paquete enviado a travs del l, no le servir de nada, ya que ste sera totalmente ilegible. La nica persona que pueda leerlo sera aquella que tuviera la clave privada necesaria para poder descifrarlo. SERVIDOR Un servidor es una mquina que ofrece algn tipo de servicio o recurso, alguna tarea en beneficio de otras aplicaciones llamadas clientes a una determinada red.

(VER FIGURA SERVIDOR) Existen diversos tipos de servidores, as como de servicios existentes.  Servidor de datos: Administra un conjunto de archivos y gestiona el acceso a los mismo. Proporciona acceso ala informacin almacenada, se puede realizar a travs de distintos protocolos de red como SSH (Secure Shell), Interfaz de usuario segura), FTP (File Transfer Protocol, Protocolo de transferencia de archivo), SCP (Secure Copy Protocol, Protocolo de copia segura).  Sevidor web:Es un programa que procesa cualquier aplicacin del lado del servidor realizando conexiones bidireccionales y/o unidireccionales, ofreciendo acceso a pginas y servicios web mediante los protocolos HTTP (Hypertext Transfer Protocol, Protocolo de Transferencia de Hipertexto) Hipertexto). o HTTPS (Hypertext Transfer Protocol Secure, Protocolo Seguro de Transferencia de

 Servidor de aplicaciones: Tiene la capacidad de ejecutar las distintas clases de aplicaciones en funcin de una determinada peticin o solicitud enviada por el usuario. ROUTER Un router es un dispositivo para la interconexin de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos. El router ser empleado como interfaz separador entre una o varias subredes locales e Internet (la red insegura) (VER FIGURA)

USUARIO REMOTO O ROAD WARRIOR Es un elemento mvil, que como cliente, tiene la posibilidad de conectarse a una oficina remota a travs de una VPN, con el objetivo de acceder a los recursos privados situados detrs del Gateway. (VER FIGURA)

Una vez que la VPN est establecida, el road warrior virtualmente estar dentro de la red remota (segmento exterior) podr disponer de los mismo recursos a los que tendra acceso.

GATEWAY U OFICINA REMOTA Es una mquina encargada de hacer la pasarela VPN entre uno o varios elementos (usuarios remotos, oficinas remotas, etc.) y la subred local ubicada detrs de uno de sus interfaces. La oficina remota tendr la llave de otorgar o no a los recursos compartidos que alberga, en funcin de una serie de permisos previamente establecidos (claves privadas, certificados digitales, nombres de usuarios, contraseas, polticas de seguridad, etc).Con la informacin obtenida de estas herramientas es posible justificar la implantacin de nuevas medidas de seguridad y la obtencin de mas recursos econmicos, as como priorizar las medidas a implantar en funcin de vulnerabilidades detectadas, seleccionando aquellas que resulten mas adecuadas teniendo en cuenta la relacin coste-beneficio. En la revisin de equipos y servidores se deberan analizar y evaluar los siguientes aspectos: y y y y y y y y Parches del sistema operativo. Seguridad del sistema de ficheros Cuentas de usuarios. Servicios y aplicaciones instaladas. Protocolos y servicios de red. Control de accesos a los recursos. Registro y auditoria de eventos. Configuracin de las herramientas de seguridad: antivirus, contrafuegos personales, gestores de copias de seguridad.