Rede privada virtual
Tipu | serviciu d'internet, extension (en) , red superpuesta (es) y arquitectura de red (es) |
---|---|
Etiqueta de Stack Exchange | Stack Exchange |
Una rede privada virtual (RPV), n'inglés: virtual private network (VPN), ye una teunoloxía de rede d'ordenadores que dexa una estensión segura de la rede d'área llocal (LAN) sobre una rede pública o non controlada como Internet. Dexa que l'ordenador na rede unvie y reciba datos sobre redes compartíes o públiques como si fuera una rede privada con tola funcionalidad, seguridá y polítiques de xestión d'una rede privada.[1] Esto realízase estableciendo una conexón virtual puntu a puntu por aciu l'usu de conexones dedicaes, cifráu o la combinación de dambos métodos.
Exemplos comunes son la posibilidá de coneutar dos o más sucursales d'una empresa utilizando como vínculo Internet, dexar a los miembros del equipu de soporte téunicu la conexón dende la so casa al centru de cómputu, o qu'un usuariu pueda aportar al so equipu domésticu dende un sitiu remotu, como por casu un hotel. Tou ello utilizando la infraestructura d'Internet.
La conexón VPN al traviés d'Internet ye téunicamente una unión wide area network (WAN) ente los sitios pero al usuariu paez-y 039;' como si fuera un enllaz priváu— d'ellí la designación "virtual private network".[2]
Carauterístiques básiques de la seguridá
[editar | editar la fonte]Pa faelo posible de manera segura ye necesariu apurrir los medios pa garantizar l'autentificación.
- Autentificación y autorización: ¿quién ta del otru llau? Usuariu/equipu y qué nivel d'accesu tien de tener.
- Integridá: de que los datos unviaos nun fueron alteriaos. Pa ello utilicen funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
- Confidencialidad/Privacidá: yá que solamente puede ser interpretada polos destinatarios de la mesma. Faise usu d'algoritmos de cifráu como Data Encryption Standard (DES), Triple DES (3DEAS) y Advanced Encryption Standard (AES).
- Nun refugo: esto ye, un mensaxe tien que dir robláu, y quien lo robla nun puede negar qu'unvió'l mensaxe.
- Control d'accesu: tratar d'asegurar que los participantes autentificados tienen accesu namái a los datos a los que tán autorizaos.
- Auditoría y rexistru d'actividaes: tratar d'asegurar el correutu funcionamientu y la capacidá de recuperación.
- Calidá del serviciu: tratar d'asegurar un bon rendimientu, que nun haya una degradación pocu aceptable na velocidá de tresmisión.
Requisitos básicos
[editar | editar la fonte]- Identificación d'usuariu: les VPN tienen de verificar la identidá de los usuarios y evitar l'accesu d'aquellos que nun s'atopen autorizaos.
- Cifráu de datos: los datos que se van a tresmitir al traviés de la rede pública (Internet), tienen de cifrase, por que nun puedan ser lleíos si son interceptaos. Esta xera realizar con algoritmos de cifráu simétricu como DES, 3DEAS o AES (Advanced Encryption Standard, nes sos opciones AES128, AES192 o AES256) que namái pueden ser lleíos pol emisor y receptor.
- Alministración de claves: les VPN tienen d'actualizar les claves de cifráu pa los usuarios.
- Nuevu algoritmu de seguridá SEAL.
Tipos de VPN
[editar | editar la fonte]Básicamente esisten cuatro arquitectures de conexón VPN:
VPN d'accesu remotu
[editar | editar la fonte]Ye quiciabes el modelu más usáu anguaño, y consiste n'usuarios que se conecten cola empresa dende sitios remotos (oficines comerciales, cases, hoteles, aviones preparaos, etcétera) utilizando Internet como venceyu d'accesu. Una vegada autentificados tienen un nivel d'accesu bien similar al que tienen na rede llocal de la empresa. Munches empreses reemplazaron con esta teunoloxía la so infraestructura dial-up (módems y llinies telefóniques).
VPN puntu a puntu
[editar | editar la fonte]Esti esquema utilizar pa coneutar oficines remotes cola sede central de la organización. El servidor VPN, que tien un venceyu permanente a Internet, acepta les conexones vía Internet provenientes de los sitios y establez el túnel VPN. Los servidores de les sucursales coneutar a Internet utilizando los servicios del so provisor local d'Internet, típicamente por aciu conexones de banda ancha. Esto dexa esaniciar los costosos venceyos puntu a puntu tradicionales (realizaos comúnmente por aciu conexones de cable físiques ente los nodos), sobremanera nes comunicaciones internacionales. Ye más común el siguiente puntu, tamién llamáu teunoloxía de túnel o tunneling.
Tunneling
[editar | editar la fonte]La téunica de tunneling consiste en encapsular un protocolu de rede sobre otru (protocolu de rede encapsulador) creando un túnel dientro d'una rede d'ordenadores. L'establecimientu de dichu túnel impleméntase incluyendo una PDU (unidaes de datos de protocolu) determinada dientro d'otra PDU coles mires de tresmitila dende un estremu al otru del túnel ensin que sía necesaria una interpretación entemedia de la PDU encapsulada. D'esta manera emponen los paquetes de datos sobre nodos entemedios que son incapaces de ver en claro'l conteníu de dichos paquetes. El túnel queda definíu polos puntos estremos y el protocolu de comunicación emplegáu, qu'ente otros, podría ser SSH.
L'usu d'esta téunica escuerre distintos oxetivos, dependiendo del problema que se tea tratando, como por casu la comunicación d'islles n'escenarios multicast, la redirección de tráficu, etc.
Unu de los exemplos más claros d'usu d'esta téunica consiste na redirección de tráficu n'escenarios IP Móvil. N'escenarios d'IP móvil, cuando un nodo-móvil nun s'atopa na so rede base, precisa que la so home-agent realice ciertes funciones nel so puestu, ente les que s'atopa la de prindar el tráficu empobináu al nodo-móvil y redirixilo escontra él. Esa redirección del tráficu realízase usando un mecanismu de tunneling, yá que ye necesariu que los paquetes caltengan la so estructura y conteníu orixinal (señes IP d'orixe y destín, puertos, etc.) cuando sían recibíos pol nodo-móvil. Remanar de manera remota.
VPN over LAN
[editar | editar la fonte]Esti esquema ye'l menos espublizáu pero unu de los más poderosos pa utilizar dientro de la empresa. Ye una variante del tipu "accesu remotu" pero, en cuenta de utilizar Internet como mediu de conexón, emplega la mesma rede d'área llocal (LAN) de la empresa. Sirve p'aisllar zones y servicios de la rede interna. Esta capacidá facer bien conveniente p'ameyorar les prestaciones de seguridá de les redes inalámbriques (WiFi).
Un exemplu clásicu ye un servidor con información sensible, como les nómines de sueldos, allugáu detrás d'un equipu VPN, que aprove autenticación adicional más l'agregáu del cifráu, faciendo posible que solamente'l personal de recursos humanos habilitáu pueda aportar a la información.
Otru exemplu ye la conexón a redes Wi-Fi faciendo usu de túneles cifraos IPSec o SSL qu'amás de pasar polos métodos de autenticación tradicionales (WEP, WPA, señes MAC, etc.) amiesten les credenciales de seguridá del túnel VPN creáu na LAN interna o esterna.
Implementaciones
[editar | editar la fonte]El protocolu estándar de facto ye l'IPSEC, pero tamién tán PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada unu coles sos ventayes y desventaxes tocantes a seguridá, facilidá, caltenimientu y tipos de veceros soportaos.
Anguaño hai una llinia de productos en crecedera rellacionada col protocolu SSL/TLS, qu'intenta faer más amigable la configuración y operación d'estes soluciones.
- Les soluciones de hardware casi siempres ufierten mayor rendimientu y facilidá de configuración, anque nun tienen la flexibilidá de les versiones por software. Dientro d'esta familia tenemos a los productos de Fortinet, SonicWALL, SaiWALL, WatchGuard, Nortel, Ciscu, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, U.S. Robotics, D-link, Mikrotik, etc.
- Les aplicaciones VPN por software son les más configurables y son ideales cuando surden problemes de interoperatividad nos modelos anteriores. Obviamente el rendimientu ye menor y la configuración más delicada, porque se suma'l sistema operativu y la seguridá del equipu polo xeneral. Equí tenemos por casu a les soluciones natives de Windows, GNU/Linux y los Unix polo xeneral. Por casu productos de códigu abiertu como OpenSSH, OpenVPN y FreeS/Wan.
En dambos casos pueden utilizase soluciones de firewall («cortafueos» o «barrera de fueu»), llogrando un nivel de seguridá alto pola proteición que brinda, en desterciu del rendimientu.
Ventayes
[editar | editar la fonte]- Integridá, confidencialidad y seguridá de datos.
- Les VPN amenorguen los costos y son sencielles d'usar.
- Facilita la comunicación ente dos usuarios en llugares distantes.
Tipos de conexón
[editar | editar la fonte]Conexón d'accesu remotu
[editar | editar la fonte]Una conexón d'accesu remotu ye realizada por un veceru o un usuariu d'un ordenador que se coneuta a una rede privada, los paquetes unviaos al traviés de la conexón VPN son aniciaos al veceru d'accesu remotu, y ésti se autentifica al servidor d'accesu remotu, y el servidor se autentifica ante'l veceru.
Conexón VPN router a router
[editar | editar la fonte]Una conexón VPN router a router ye realizada por un router, y esti de la mesma conéctase a una rede privada. Nesti tipu de conexón, los paquetes unviaos dende cualesquier router nun s'anicien nos routers. El router que realiza la llamada se autentifica ante'l router que respuende y esti de la mesma se autentifica ante'l router que realiza la llamada y tamién sirve pa la intranet.
Conexón VPN firewall a firewall
[editar | editar la fonte]Una conexón VPN firewall ye realizada por unu d'ellos, y ésti de la mesma conéctase a una rede privada. Nesti tipu de conexón, los paquetes son unviaos dende cualquier usuariu n'Internet. El firewall que realiza la llamada se autentifica ante'l que respuende y ésti de la mesma se autentifica ante'l llamante.
VPN en redolaes móviles
[editar | editar la fonte]La VPN móvil establezse cuando'l puntu de terminación de la VPN nun ta fixu a unes úniques señes IP, sinón que se mueve ente delles redes como pueden ser les redes de datos d'operadores móviles o distintos puntos d'accesu d'una rede Wifi.[3] Les VPNs móviles utilizáronse en seguridá pública dando accesu a les fuercies d'orde públicu a aplicaciones crítiques tales como bases de datos con datos d'identificación de criminales, ente que la conexón mover ente distintes subredes d'una rede móvil.[4] Tamién s'utilicen na xestión d'equipos de téunicu y n'organizaciones sanitaries[5] ente otres industries. Cada vez más, les VPNs móviles tán siendo afeches por profesionales que precisen conexones fiables.[6] Utilizar pa movese ente redes ensin perder la sesión d'aplicación o perder la sesión segura na VPN. Nuna VPN tradicional non pueden soportase tales situaciones porque se produz la desconexón de l'aplicación, time outs[3] o fallos, o inclusive causar fallos nel dispositivu.[5]
Ver tamién
[editar | editar la fonte]Referencies
[editar | editar la fonte]- ↑ Mason, Andrew G. Ciscu Secure Virtual Private Network. Ciscu Press, 2002, p. 7.
- ↑ Microsoft Technet. «Virtual Private Networking: An Overview».
- ↑ 3,0 3,1 Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com, 16 de xunetu de 2006
- ↑ Willett, Andy. "Solving the Computing Challenges of Mobile Officers", www.officer.com, May, 2006.
- ↑ 5,0 5,1 Cheng, Roger. "Lost Connections", The Wall Street Journal, 11 d'avientu de 2007
- ↑ Cheng, Roger. "Lost Connections", The Wall Street Journal, 11 de dicembre de 2007