Concepto
En el caso visto anteriormente de las VLANs tenemos la limitación de que todas las estaciones de trabajo deben estar dentro de la misma corporación. En el caso de que se quiera conectar una central con sus sucursales para formar una misma red se tendría que apelar a una forma de conexión entre ellas de manera exclusiva como la fibra óptica, con el respectivo costo de la instalación y mantenimiento de la misma; si bien la mencionada es una solución para el caso de la conexión central-sucursal no lo es para el caso de que un usuario remoto (un viajante por ejemplo) se quiera conectar a la red corporativa (Figura 8), en este caso tendría que contar el usuario con la posibilidad de acceder a un acceso dedicado lo cual es prácticamente imposible.
Figura 8
Con la aparición de Internet se soluciona parte del problema de la conexión tanto de la central-sucursal como la del usuario remoto que se quiere conectar a la red corporativa. Ahora bien, el problema que nos encontramos a este, ya que Internet esta creada bajo el concepto del “mejor esfuerzo”. Las VPN solucionan estas fallas creando dentro de una red o varias un túnel con técnicas de encriptación de los datos que simula un enlace punto a punto que sea inaccesible. En la figura 9 vemos como sería a nivel lógico la conexión de un cliente a la red corporativa del ejemplo de la figura 8.
Figura 9
Podemos decir entonces que una VPN es una red privada con la capacidad de la utilización de la infraestructura de Internet para el transporte de datos, implementando técnicas de seguridad para mantener la confidencialidad de los datos que circulen entre los usuarios.
Arquitectura de las VPN
Dentro de las posibles arquitecturas que encontramos dentro de las VPN se pueden mencionar las siguientes:
- Proporcionada por un servidor de Internet: El proveedor de Internet puede instalar en su oficina un dispositivo que se encargara de la creación del túnel para la organización.
- Basadas en firewalls: De la misma forma en que las VPN trabaja en los niveles mas bajos del modelo OSI, el firewall actuará de la misma forma.
- Basadas en Caja Negra: Básicamente es un dispositivo con software de encriptación. No provee seguridad en la organización pero si en los datos. Para suplir esta falencia se pueden utilizar un firewall en serie o paralelo al dispositivo de VPN.
- Basadas en Routers: Puede ser en este caso que el software de encriptación se añada al ruter ya existente o bien que se utilice una salida exclusiva de otro proveedor.
- Basadas en acceso remoto: El cliente tiene software por el cual se conecta al servidor de VPN de la corporación a través de un túnel encriptado.
- Basadas en Software: Por lo general se utiliza de un cliente a un servidor de VPN que esta instalado en alguna estación de trabajo. Es necesario tener procesos de administración de claves y un emisor de certificados.
Problemas de seguridad
Es indispensable en una VPN generar una transmisión de datos que sea segura, en el caso del protocolo TCP/IP en particular se creo para que se tenga un alto grado de confiabilidad en la transmisión de los datos pero no a nivel seguridad, los paquetes en Internet viajan sin encriptación alguna con lo cual no hay una privacidad (Sniffing) ni control de suplantación (Spoofing) de los datos que se transmiten por la misma.
Los problemas de seguridad que encontramos son los siguientes:
Escuchas clandestinas de datos (Sniffing).
Normalmente los dispositivos de una red solo toman los paquetes que le corresponden, el sniffing es una técnica por la cual una máquina de una red toma todos los paquetes que circulan por ella mas allá de que estén destinados o no para ella, accediendo de esa forma a toda la información que circule por la red.
Suplantación de datos (Spoofing).
En esta técnica una terminal emula a otra. El usuario fuerza a la computadora a tomar los certificados de otra. De esta forma esta capacitada para enviar mensajes a un dispositivo teniendo la posibilidad de acceder a una red a la cual no pertenezca y enviando mensajes que para las demás estaciones de trabajo parecen legítimos.
Captura de direcciones.
Los paquetes que se transmiten contienen información en los encabezados y en el cuerpo que pueden ser direcciones de servidores, DNS, proxys, estaciones de trabajo y de todos los dispositivos de red.
Hijacking.
La comunicación en VPN se realiza por una sesión. El hijacking consiste en tomar el control de la sesión y de esa forma ingresar en la VPN.
Para solucionar estos problemas de seguridad mencionados anteriormente podemos emplear técnicas de encriptación, autenticación y validación. Algunas de ellas pueden ser las siguientes:
Autenticación de usuario: Se deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados solamente. También es conveniente llevar registros de quienes entran en la VPN y los horarios en que lo hacen.
Administración de dirección: Se deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así.
Encriptación de datos: Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red para lo cual se usan técnicas de encriptación detalladas en este mismo trabajo. Entre las tareas en la encriptación de datos esta la de generar y renovar las llaves de encriptación para el cliente y para el servidor.
Soporte de protocolo múltiple: La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen Protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP) o un Protocolo de túnel de nivel 2 (L2TP) cumple con todos estos requerimientos básicos, y aprovecha la amplia disponibilidad de Internet a nivel mundial.