Acceso de usuario remoto a través de Internet
Las VPNs pueden proporcionar acceso remoto a los usuarios de la empresa a través de Internet, y al mismo tiempo conservar la privacidad de la información.
En vez de tener que utilizar una línea alquilada o hacer llamadas de larga distancia a un servidor de acceso a red corporativo o externo (NAS), el usuario debe llamar a un número telefónico local NAS de ISP, posteriormente, el software de la VPN crea una red privada virtual entre el usuario que marca y el servidor corporativo de VPN a través de Internet.
Debemos contar con del lado de la VPN un servidor que puede ser de hardware o software, por el lado del cliente tenemos que contar con la pila de protocolos de VPN instalada.
Conexión de redes a través de Internet
Consiste en la creación de una conexión VPN o túnel a través de la red pública.
Existen dos métodos para utilizar las VPNs y permitir la conexión de las LAN corporativas a otras que pueden ser de sucursales remotas o bien a clientes remotos. Los métodos pueden ser conectando ambos extremos a la red pública o bien que uno de los extremos este esperando las peticiones de conexión.
Uso de líneas dedicadas para conectar una sucursal LAN corporativa
En este caso, tanto el router o el servidor de VPN de la sucursal como el de la central corporativa utilizan ISPs para conectarse a la red pública (Figura 10). El software de la VPN utiliza las conexiones creadas para la creación de una conexión VPN entre la sucursal y la central. El servidor de la central es quien confirma la conexión pedida por la sucursal y se crea la conexión lógica entre ambos servidores.
Figura 10
Uso de una línea para conectar una sucursal a una LAN corporativa.
En este caso, el router en la sucursal puede llamar al ISP local o por algún tipo de conexión con Internet. El software de la VPN instalado en el cliente utiliza la conexión al ISP local para la petición de la creación de la conexión VPN al servidor de la central. Al ser autorizada la conexión se crea lógicamente un túnel entre el servidor de la sucursal y el servidor de la central (Figura 11). En este caso en particular el servidor de la central esta esperando que lleguen las peticiones de conexión.
Figura 11
Conexión de computadoras a través de una Intranet
En algunas corporaciones, existen departamentos que debido a la información que manejan están físicamente desconectados de la red interna de la corporación con el fin de proteger estos datos, pero a su vez, causa problemas de accesibilidad para aquellos usuarios que necesiten dicha información.
Para lograr el acceso a estos datos se debe realizar una VPN ya que esta va a permitir que la LAN del departamento esté físicamente conectada a la red interna corporativa, y a su vez separada por un servidor de VPN. Al utilizar una VPN, el administrador de la red puede asegurar que sólo los usuarios autorizados de la red interna corporativa, pueden establecer una VPN con el servidor de VPN, y lograr acceso a los recursos protegidos del departamento. Además, todas las comunicaciones a través de la VPN pueden encriptarse para lograr una mayor privacidad de los datos.
Infraestructuras heterogéneas
Las VPN pueden configurarse sobre estructuras compartidas como ATM o basadas en paquetes.
Combina el nivel de aplicación de los servicios del protocolo TCP/IP sobre la capacidad de la red ATM. Los paquetes IP ya encriptados se convierten en celdas que son las que se envían al destino final.
Otra opción es la de grupo de trabajo de conmutación de etiquetas multiprotocolo del grupo de trabajo IETF. En este caso los conmutadores inteligentes son los que se encargan de reenviar dinámicamente el tráfico de IP paralelamente con el de ATM en la misma red ATM. Al paquete se le agrega un campo que indica cual es el destino final de paquete. La encriptación solo se realiza sobre los datos que contiene el paquete.
VPN por hardware (caja negra)
Son dispositivos que utilizan algoritmos de tecnología VPN. Algunos de ellos implementan encriptación como DES de 40 bits. Estos elementos con capaces de cumplir con la tarea de encriptación y desencriptación más rápidamente que los servidores de VPN.
Estos dispositivos se pueden colocar después del firewall o en caso contrario paralelo a este. En el primer caso los paquetes que pasen por el firewall llegan al servidor de VPN y de ahí a la red, en este trayecto pueden ser encriptados o no dependiendo de la configuración. En el segundo caso permite al servidor de VPNs crear múltiples túneles. El dispositivo d VPN solo se encarga del tráfico que es propio de la VPN y el resto para por el firewall.
VPN NAT
Algunas organizaciones utilizan la traducción de direcciones (NAT) a pesar de no ser exclusivamente VPN. Los dispositivos de VPN se ven afectados directamente por estos procesos de NAT. El proceso consiste en cambiar la dirección IP interna por una IP pública.
Salida: Todo el tráfico que viene de la VPN se dirige hacia el dispositivo de NAT para cambiar al usuario que lo solicite por una IP pública con la capacidad de ser enrutable. Luego el dispositivo NAT envía el paquete al dispositivo de VPN que se encarga de la encriptación del mismo. El paquete es enviado al router extremo y de ahí al destino final.
Entrada: Los paquetes entrantes deben dirigirse al dispositivo de VPN correspondientes, se realiza la carga de encriptación y se revisan los privilegios de autenticación como la autenticación del usuario. Luego el paquete se envía al dispositivo de traducción de direcciones para remitirlo al usuario correspondiente. El dispositivo envía el paquete hacia su destino.