Professional Documents
Culture Documents
VPN
Introduccin
Cuando un trabajador a distancia o de una oficina remota utiliza servicios de banda ancha para
conectarse a la WAN corporativa a travs de Internet, se corren riesgos de seguridad. Para
tratar las cuestiones de seguridad, los servicios de banda ancha ofrecen funciones para utilizar
conexiones de red privada virtual (VPN, Virtual Private Network) a un servidor VPN, que por lo
general se encuentra ubicado en la empresa.
Una VPN es una conexin encriptada entre redes privadas a travs de una red pblica como
Internet. En lugar de utilizar una conexin de Capa 2 dedicada, como una lnea arrendada, las
VPN utilizan conexiones virtuales denominadas tneles VPN que se enrutan a travs de
Internet desde una red privada de la empresa al sitio remoto o host del empleado.
Los beneficios de las VPN incluyen los siguientes:
Ahorro de costos: las VPN permiten a las organizaciones utilizar Internet global para
conectar oficinas remotas y usuarios remotos al sitio corporativo principal, lo que
elimina enlaces WAN dedicados costosos y bancos de mdems.
Seguridad: las VPN proporcionan el mayor nivel de seguridad mediante el uso de
protocolos de encriptacin y autenticacin avanzados que protegen los datos contra el
acceso no autorizado.
Escalabilidad: como las VPN utilizan la infraestructura de Internet dentro de ISP y de
los dispositivos, es sencillo agregar nuevos usuarios. Las corporaciones pueden
agregar grandes cantidades de capacidad sin agregar una infraestructura importante.
Compatibilidad con la tecnologa de banda ancha: los proveedores de servicios de
banda ancha como DSL y cable soportan la tecnologa VPN, de manera que los
trabajadores mviles y los trabajadores a distancia pueden aprovechar el servicio de
Internet de alta velocidad que tienen en sus hogares para acceder a sus redes
corporativas. Las conexiones de banda ancha de alta velocidad de nivel empresarial
tambin pueden proporcionar una solucin rentable para conectar oficinas remotas.
Existen dos tipos de acceso VPN:
VPN de sitio a sitio: estas VPN conectan redes enteras entre s; por ejemplo, pueden
conectar la red de una sucursal con la red de la sede principal de la empresa, como se
muestra en la imagen. Cada sitio cuenta con un gateway de la VPN, como un router, un
firewall, un concentrador de VPN o un dispositivo de seguridad.
VPN de acceso remoto: las VPN de acceso remoto permiten a hosts individuales, como
trabajadores a distancia, usuarios mviles y consumidores de Extranet, tener acceso a
la red empresarial de manera segura a travs de Internet. Normalmente, cada host
tiene instalado el software cliente de VPN o utiliza un cliente basado en la Web.
Tunneling
El tunneling permite el uso de redes pblicas como Internet para transportar datos para
usuarios, siempre que los usuarios tengan acceso a una red privada. El tunneling encapsula un
paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. Esta
figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.
Para ilustrar el concepto de tunneling y las clases de protocolos de tunneling, veamos un
ejemplo de un envo de una tarjeta navidea por correo tradicional. La tarjeta navidea tiene un
mensaje adentro. La tarjeta es el protocolo pasajero. El emisor coloca la tarjeta dentro de un
sobre (protocolo de encapsulacin) y escribe las direcciones correctas. Luego, deposita el
sobre en el buzn de correo para que sea entregado. El sistema postal (protocolo portador)
busca y entrega el sobre en el buzn del receptor. Los dos extremos del sistema portador son
las "interfaces del tnel". El receptor quita la tarjeta navidea (extrae el protocolo pasajero) y
lee el mensaje.
Los protocolos usados para el tunneling son
Protocolo portador: protocolo por el cual viaja la informacin (Frame Relay, ATM,
MPLS).
Protocolo de encapsulacin: protocolo que envuelve los datos originales (GRE, IPSec,
L2F, PPTP, L2TP).
Protocolo pasajero: protocolo por el cual se transportan los datos originales (IPX,
AppleTalk, IPv4, IPv6).
VPN
Hash (integridad)
Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan que
personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin denominado
message digest, es un nmero generado a partir de una cadena de texto. El hash es menor
que el texto. Se genera mediante una frmula, de forma tal que es extremadamente improbable
que otro texto produzca el mismo valor de hash.
El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El
receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y
compara los dos hashes. Si son iguales, puede estar seguro de que la integridad del mensaje
no ha sido afectada.
VPN
VPN
Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos
de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de
transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede
ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de
capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos
que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que
hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su cdigo.