La comunicación entre sitios a través de Internet es vulnerable a ataques de “escuchas”. El uso de una red privada virtual garantiza que todo el tráfico existente entre diferentes puntos de comunicación remotos interconectados mediante una red pública sea privado.
Una red privada virtual consiste de un conjunto de sistemas o dispositivos interconectados a través de canales seguros, sobre una red pública, permitiendo el acceso remoto de los recursos y servicios de la red de forma transparente y segura como si los usuarios estuvieran conectados de forma local.
Ofrece una alternativa sobre el acceso remoto tradicional y líneas dedicadas ya que utiliza los canales de comunicación ya existentes de la red de redes (Internet) permitiendo conectar usuarios remotos mediante el uso de servidores de VPN habilitando el uso compartido de los recursos ya que diferentes usuarios y conexiones pueden establecerse en diferentes momentos y compartir la misma infraestructura.
Las redes privadas virtuales son implementadas en routers (generalmente como parte de una solución firewall), ya que un dispositivo de VPN opera a nivel de red, a través de conexiones seguras utilizando encapsulación, encriptado y autenticación; de esta manera transportan de forma segura paquetes IP mediante Internet estableciendo túneles en ambos puntos de conexión que negocian un esquema de encriptado y autenticación previo al transporte.
En este esquema de comunicación, un usuario remoto solicita un recurso autenticado de la red (privada) de la organización y crea una conexión lógica al servidor VPN. Éste autentifica al cliente y efectúa operaciones de encriptado y encapsulación sobre las transmisiones entre el cliente y los recursos de la red. La conexión al servidor VPN utiliza un protocolo de “tunneling” que permite a la empresa u organización extender su red mediante canales privados encriptados sobre Internet. De esta forma, las empresas pueden usar la red pública ya que los paquetes están protegidos antes de ser enviados por un canal no seguro como lo es Internet.
Como ya se vio anteriormente, un túnel es el canal por el cual viajan algunos paquetes en Internet. Estos paquetes están encriptados por lo que solo pueden ser interpretados por el usuario autenticado. Con la creación de múltiples túneles conectando un conjunto de redes (servidor a servidor) y sistemas finales (usuarios a servidor) distantes entre sí queda conformada una red con las prestaciones que ofrecería una red interconectada localmente sin el costo de interconexión que esta última implica.
Generalmente, los servidores VPN se encuentran situados detrás del firewall “perimetral” para proteger la red de la organización.
Redes Privadas Virtuales y Firewalls
Es común que un firewall implemente un servicio VPN, de esta forma, es posible conectar dos redes con protección perimetral mediante túneles de firewall a firewall, con lo cual se obtiene una red privada conformada por dos redes remotas.
Existen dos consideraciones en cuanto al acceso por parte de usuarios de una red a los recursos de la otra, dependiendo de la confianza o acuerdo existente: Las comunicaciones entre ambos firewalls, a través de una VPN pueden ser efectuadas con acceso controlado o acceso abierto.
En conexiones con acceso controlado, la VPN es utilizada solo para ofrecer privacidad entre ambos puntos, ya que no existe una completa relación de confianza entre ambas partes, por lo que la comprobación de autenticidad se lleva a cabo para cada comunicación y el acceso a los recursos de la red es restringido para ciertos servicios. En este caso se utiliza un firewall para controlar el acceso a la red interna.
En conexiones con acceso abierto, la VPN es configurada para que ambos firewalls tengan un acceso completo a los recursos de la otra red. No se requiere un control de autenticidad ya que se ha acordado previamente este permiso (es decir que no se realiza por no considerarse necesario). En este esquema, el firewall realiza la función de conectividad mediante VPN, por lo que el tráfico es privado, y si agregamos la confianza que resulta de que todos los sitios son administrados por la misma organización, bajo las mismas políticas de seguridad, se podrán permitir todos los servicios de red sobre esta VPN. De esta forma, las transmisiones están bajo la protección del firewall, por lo que el “perímetro” de seguridad de la red se extiende a los sistemas remotos conectados mediante la VPN; todos estos sistemas se encuentran virtualmente en la misma red privada con un perímetro de red virtual.
También es posible establecer una VPN entre un firewall y un sitio remoto simple para proveer acceso privado a usuarios móviles o conexiones hogareñas. De la misma forma que las conexiones anteriores, éstas pueden ser con acceso controlado o abierto. El primero es útil para clientes y socios que necesiten acceso a servicios o sistemas particulares. El segundo es útil para empleados o socios de la organización que necesiten tener acceso a recursos compartidos, como ser, archivos, impresoras, unidades de almacenamiento masivo, etc.; en ambos casos estos servicios o recursos están situados dentro del perímetro de seguridad de la red. Mediante VPNs todas estas operaciones pueden realizarse de forma segura.
Existen varias tecnologías para implementar Redes Privadas Virtuales, la principal es criptografía.
Existe una consideración muy importante para hacer posible el uso global de las VPNs, y es la necesidad de estandarización. Es deseable que cualquier sistema de conexión o firewall sea capaz de establecer una red privada virtual con cualquier otro en cualquier parte del mundo. Cuando la tecnología de VPN surgió, no existía un estándar para configurar este tipo de conexiones, y algunos proveedores crearon un mecanismo, llamado swIPe (software IP encription) pero no era el único, existían otras variantes pero no eran compatibles ya que se hacían portables para una arquitectura en particular.
Para que la conectividad provista por las VPN sea ampliamente aprovechada, los diferentes sitios deben poder ser capaces de comunicarse con mecanismos compatibles e independientes de la plataforma usada, aunque utilicen diferentes productos. La estandarización puede resolver estos problemas.
Actualmente, el estándar de la Arquitectura de Seguridad para el Protocolo de Internet (IPsec) ha propuesto un ambiente de protocolos de seguridad, que permitirá la interoperabilidad de aquellos proveedores que utilicen las recomendaciones de éste estándar.
Una VPN debe responder a consideraciones de cuatro tipos de tecnologías, de entre los cuales los más importantes actualmente son:
- Mecanismos de encriptado: IPsec, PPTP, T2L, PT2L
- Algoritmos de encriptado: RC2 y RC4, DES y 3DES, IDEA, CAST
- Mecanismos de negociación e intercambio de claves para encriptado: ISAKMP, SKIP
- Algoritmos utilizados para intercambiar claves para el encriptado: RSA, Diffie-Hellman
Todos estos mecanismos deben funcionar en forma coordinada para poder integrar una eficiente funcionalidad para una VPN.
Los firewalls para Internet son un requerimiento muy importante en el momento de considerar una conexión a una red pública. Si sumamos a esta solución la funcionalidad de una red privada virtual se pueden extender los horizontes de una red local ofreciendo ambos servicios en uno: conectividad privada.
Las VPNs no desplazan a los firewalls, son parte de ellos: un firewall es responsable de implementar la política de seguridad de la red privada de una organización como parte del perímetro de defensa; con el uso de redes privadas virtuales, los firewalls podrán aplicar estas políticas sobre conexiones de red privadas hacia sitios remotos.