Una Red Privada Virtual (VPN, Virtual Private Network) es una red privada que utiliza la infraestructura de una red pública para poder transmitir información.
Una VPN combina dos conceptos: redes virtuales y redes privadas. En una red virtual, los enlaces de la red son lógicos y no físicos. La topología de esta red es independiente de la topología física de la infraestructura utilizada para soportarla. Un usuario de una red virtual no será capaz de detectar la red física, el sólo podrá ver la red virtual
Desde la perspectiva del usuario, la VPN es una conexión punto a punto entre el
equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La
infraestructura exacta de la red pública es irrelevante dado que lógicamente
parece como si los datos se enviaran a través de un vínculo privado dedicado.
Esto se puede apreciar en la figura 2.1
Las redes privadas son definidas como redes que pertenecen a una misma
entidad administrativa. Un ejemplo típico de esta clase de red es una intranet
corporativa, la cual puede ser utilizada sólo por los usuarios autorizados. De los
conceptos de red privada y red virtual es como nace el concepto de red privada
virtual.
Debido al hecho de ser una red privada que utiliza una red pública, la cuestión de
la seguridad en una VPN es muy importante, ya que la información que circula en
una red pública puede ser vista por cualquiera si no se toman las debidas
precauciones. Y en una red pública como Internet existen muchas personas
malintencionadas que siempre están dispuestas a robar información. Es por eso
que una VPN debe de poseer excelentes mecanismos de autenticación y de
encriptación de la información para que ésta viaje segura a través de una red
pública.
Historia del término VPN
Resulta confuso definir el término VPN. El problema radica en que cada fabricante
o proveedor de servicios VPN define a las VPN de diferentes maneras. No existen
estándares que definan los componentes de software o hardware de una VPN o
las tecnologías VPN, por lo que cada fabricante ofrece los servicios VPN que más
se adaptan a sus propias plataformas de hardware y aplicaciones de software.
Como la tecnología no está estandarizada, se ofrecen VPN en toda clase de
formas diferentes, como pueden ser firewalls, sistemas operativos, etc.2
Respecto
a la confusión para definir VPN un empresario de una importante empresa de
telecomunicaciones mencionó: “Las VPN tienden a ser ahora lo que el mercado
dice que son”
El tiempo también ha modificado el concepto de VPN. El término VPN comenzó a
aplicarse a las redes Frame Relay o ATM públicas, o a un servicio de acceso
remoto basado en la red pública de telefonía conmutada (PSTN). En el capítulo
anterior se explicó que las redes Frame Relay pueden implementarse de forma
pública o privada. Pues bien, a las redes públicas Frame Relay se les dio el
nombre de VPN, así como también a las redes públicas ATM. Estos servicios de
VPN eran proporcionados por un proveedor de servicios, el cual conectaba las
redes de diferentes organizaciones a su red ATM o Frame Relay
Otros proveedores utilizan el término en referencia a los servicios provistos sobre
sus redes de datos privadas (como es el caso de Telmex, Avantel y Alestra). Pero
las expectativas creadas por la utilización de Internet y de IP en general como
medio de transporte son tan altas que incluso algunos expertos han redefinido el
concepto de VPN como una red que soporta transporte de datos privados sobre
infraestructura IP pública. Y la infraestructura IP por excelencia es Internet, la red de datos más pública que existe. De esta forma, el término VPN se está aplicando
cada vez más a las redes privadas que transportan datos utilizando Internet.
Componentes de una VPN
Los componentes básicos de una VPN aparecen en la figura 2.2 y son:
• Servidor VPN
• Túnel
• Conexión VPN
• Red pública de tránsito
• Cliente VPN
Para emular un vínculo punto a punto en una VPN, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento
que permite a los datos recorrer la red pública hasta alcanzar su destino. Para
emular un vínculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pública no se pueden descifrar
si no se dispone de las claves de cifrado. La parte de la conexión en la cual los
datos privados son encapsulados es conocida como túnel. La parte de la conexión
en la que se encapsulan y cifran los datos privados se denomina conexión VPN.
Utilizar Internet para crear una VPN
El uso de Internet como una VPN permitió a los usuarios remotos acceder a la red
corporativa utilizando a un ISP. Puesto que ahora muchos ISP ofrecen acceso
ilimitado a Internet por un precio de $200 en promedio al mes para conexiones de
módem, el uso de Internet puede proporcionar muchos beneficios económicos
comparados con las tarifas de hacer llamadas de larga distancia.
Por ejemplo, si la
llamada de larga distancia cuesta $1 por minuto, una hora de acceso por día para
un usuario viajero resultaría en un costo de $60 por día o $1200 al mes si se
trabajan 20 días al mes. Por lo tanto, un costo de $200 pesos al mes por tener
acceso ilimitado a Internet claramente demuestra el ahorro considerable de dinero
que se obtiene con el uso de una VPN.
Cuando una VPN es utilizada como un mecanismo para reemplazar redes
privadas, también se pueden obtener bastantes beneficios económicos. La figura
2.3 muestra a dos sucursales conectadas con la oficina corporativa. En el inciso a)
se muestra una red privada típica mientras que en el inciso b) se muestra una
VPN que usa Internet como red pública.
En el inciso b) se muestra que cada LAN de la empresa se conecta a Internet a
través de un ISP local usando tres conexiones T1. La mayoría de los ISP tienen presencia en varias ciudades y cobrarán una tarifa de $10000 al mes por una
conexión T1. Tanto las sucursales como la oficina principal utilizan una conexión
T1 a Internet a través de un ISP con el fin de interconectar sus redes LAN a través
de Internet.
Desde una perspectiva económica, se puede comparar el costo de usar Internet
con el costo de mantener una red privada con dos conexiones T1 como aparece
en el inciso a). Si se supone que cada red LAN se encuentra a 500 millas (804.67
Km.) de la otra, se requerirá de 1000 millas (1609.34 km.) de conexión T1 para
interconectar los tres sitios.
Aunque el costo de los circuitos T1 puede variar por distintos factores, un costo de
$30 por milla (1.61 km.) proporciona una aproximación razonable. De esta forma,
interconectar tres sitios como aparece en el inciso a) con dos conexiones T1
costaría $30000, si existe una distancia de 500 millas entre sitios. Hay que notar
que este costo iguala al costo de interconectar tres sitios utilizando Internet como
aparece en el inciso b).
Sin embargo, si se asume ahora que cada uno de esos tres sitios se encuentran a
una distancia de 3500 millas (5632.70 Km.) entre ellos; a un costo mensual de $30
por milla, el costo de dos líneas T1 para interconectar tres sitios como en el inciso
a) se incrementaría en 3500*30, o $105,000. Ahora si se asume que cada sitio se
interconecta con los otros usando la VPN del inciso b), el costo de conectar cada
sitio seguiría siendo de $10000 al mes, puesto que cada sitio se conecta con el
ISP local. Por lo tanto, el costo de usar la VPN del inciso b) permanecería en
$30000, mientras que con la red privada del inciso a) el costo sería de $105,000.
Está claro que con la VPN se lograría un ahorro de $75000.
Arquitectura de una VPN
Existen básicamente dos tipos de arquitectura para una VPN. Estos son:
• VPN de acceso remoto
• VPN de sitio a sitio
La VPN de sitio a sitio también puede ser llamada VPN LAN a LAN o VPN POP a POP. Las VPN de sitio a sitio se dividen a su vez en VPN extranet y VPN intranet. Las VPN de acceso remoto se dividen en VPN Dial-up y VPN directas.
VPN de acceso remoto
Esta VPN proporciona acceso remoto a una intranet o extranet corporativa. Una VPN de acceso remoto permite a los usuarios acceder a los recursos de la compañía siempre que lo requieran. Con el cliente VPN instalado en un dispositivo, el usuario es capaz de conectarse a la red corporativa, no importa donde se encuentre. La figura 2.4 muestra una VPN de acceso remoto.
Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo necesitan establecer una conexión con un ISP local, pagándose solamente la llamada local y olvidándose de realizar llamadas de larga distancia. El cliente de acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de la compañía. Una vez que se ha establecido el enlace, el usuario puede acceder a los recursos de la intranet privada de la empresa.
De acuerdo a la tecnología utilizada para establecer la conexión, las VPN de acceso remoto se puede dividir en VPN dial-up y VPN directas.
VPN dial-up. En esta VPN, el usuario realiza una llamada local al ISP utilizando un módem. Aunque se trata de una conexión lenta es todavía muy común. El uso de este tipo de VPN se da más entre los usuarios móviles, ya que no en todos los lugares a donde se viaja se pueden tener disponibles conexiones de alta velocidad.
VPN directa. En esta VPN, se utilizan las tecnologías de conexión a Internet de alta velocidad, tales como DSL y módem de cable las cuales ya ofrecen muchos ISP. Este tipo de VPN se puede encontrar principalmente entre los teletrabajadores. Actualmente se pueden obtener conexiones a Internet desde el hogar utilizando estas tecnologías.
VPN de sitio a sitio
Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente separados de una corporación. Como ya se explicó anteriormente, en las redes tradicionales las distintas oficinas de una corporación son conectadas utilizando tecnologías como T1, E1, ATM o Frame Relay.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El envío de información se realiza a través de una conexión VPN. De esta forma, se puede crear una WAN utilizando una VPN. Una empresa puede hacer que sus redes se conecten utilizando un ISP local y establezcan una conexión de sitio a sitio a través de Internet.
Los costos de la comunicación se reducen enormemente porque el cliente sólo paga por el acceso a Internet. Las oficinas remotas se conectan a través de túneles creados sobre Internet. Con el uso de la infraestructura de Internet, una empresa puede desechar la difícil tarea de tener que estar administrando los dispositivos como los que se utilizan en las WAN tradicionales.
En base a lo problemas comerciales que resuelven, las VPN de sitio a sitio pueden subdividirse a su vez en VPN intranet y VPN extranet.
VPN intranet. Las VPN intranet se utilizan para la comunicación interna de una compañía, como aparece en la figura 2.5. Enlazan una oficina central con todas sus sucursales. Se disfrutan de las mismas normas que en cualquier red privada. Un enrutador realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada. El servidor VPN proporciona una conexión enrutada a la red a la que está conectado el servidor VPN.
Tipos de VPN
Existen diferentes formas de que una organización puede implementar una VPN. Cada fabricante o proveedor ofrece diferentes tipos de soluciones VPN. Cada corporación tendrá que decidir la que más le convenga. Los tipos diferentes de VPN son:
• VPN de firewall
• VPN de router y de concentrador
• VPN de sistema operativo
• VPN de aplicación
• VPN de proveedor de servicios
VPN de firewall
Un firewall (llamado también cortafuegos o servidor de seguridad) es un sistema de seguridad que implanta normas de control de acceso entre dos o más redes. [1] Se trata de un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Un firewall puede ser un dispositivo software o hardware.
Es muy común que se utilice un firewall para proporcionar servicios VPN. Empresas como Cisco Systems, Nortel Networks y 3Com ofrecen en muchos de sus dispositivos firewall soporte para VPN. Una VPN basada en firewall tiene la ventaja de que simplifica la arquitectura de la red al establecer un único punto de control de seguridad. Además, los ingenieros de redes sólo tienen que hacerse expertos en una tecnología, en lugar de tener que aprender a administrar un firewall y la VPN de forma separada.
Entre los inconvenientes se puede mencionar que tener la VPN en un firewall convierte al dispositivo en algo más complejo, por lo que se debe ser más cuidadoso en su configuración o de lo contrario cualquier intruso podría tener acceso no autorizado a la red. Otra desventaja ocurre debido a que tener firewall y VPN juntos, se ejerce presión al rendimiento del firewall. Esto ocurre principalmente si se tienen conectados cientos o incluso miles de usuarios.
VPN de router y de concentrador
Empresas como Cisco, Nortel y 3Com entre otros también ofrecen servicios VPN integrados dentro de un router o un dispositivo llamado concentrador VPN. Tanto el router como el concentrador VPN están especialmente diseñado para las conexiones VPN sitio a sitio y acceso remoto. Cuenta con las tecnologías VPN más importantes y los métodos de autenticación y cifrado para proteger los datos transmitidos.
Existen básicamente dos tipos de arquitectura para una VPN. Estos son:
• VPN de acceso remoto
• VPN de sitio a sitio
La VPN de sitio a sitio también puede ser llamada VPN LAN a LAN o VPN POP a POP. Las VPN de sitio a sitio se dividen a su vez en VPN extranet y VPN intranet. Las VPN de acceso remoto se dividen en VPN Dial-up y VPN directas.
VPN de acceso remoto
Esta VPN proporciona acceso remoto a una intranet o extranet corporativa. Una VPN de acceso remoto permite a los usuarios acceder a los recursos de la compañía siempre que lo requieran. Con el cliente VPN instalado en un dispositivo, el usuario es capaz de conectarse a la red corporativa, no importa donde se encuentre. La figura 2.4 muestra una VPN de acceso remoto.
Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo necesitan establecer una conexión con un ISP local, pagándose solamente la llamada local y olvidándose de realizar llamadas de larga distancia. El cliente de acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de la compañía. Una vez que se ha establecido el enlace, el usuario puede acceder a los recursos de la intranet privada de la empresa.
De acuerdo a la tecnología utilizada para establecer la conexión, las VPN de acceso remoto se puede dividir en VPN dial-up y VPN directas.
VPN dial-up. En esta VPN, el usuario realiza una llamada local al ISP utilizando un módem. Aunque se trata de una conexión lenta es todavía muy común. El uso de este tipo de VPN se da más entre los usuarios móviles, ya que no en todos los lugares a donde se viaja se pueden tener disponibles conexiones de alta velocidad.
VPN directa. En esta VPN, se utilizan las tecnologías de conexión a Internet de alta velocidad, tales como DSL y módem de cable las cuales ya ofrecen muchos ISP. Este tipo de VPN se puede encontrar principalmente entre los teletrabajadores. Actualmente se pueden obtener conexiones a Internet desde el hogar utilizando estas tecnologías.
VPN de sitio a sitio
Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente separados de una corporación. Como ya se explicó anteriormente, en las redes tradicionales las distintas oficinas de una corporación son conectadas utilizando tecnologías como T1, E1, ATM o Frame Relay.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El envío de información se realiza a través de una conexión VPN. De esta forma, se puede crear una WAN utilizando una VPN. Una empresa puede hacer que sus redes se conecten utilizando un ISP local y establezcan una conexión de sitio a sitio a través de Internet.
Los costos de la comunicación se reducen enormemente porque el cliente sólo paga por el acceso a Internet. Las oficinas remotas se conectan a través de túneles creados sobre Internet. Con el uso de la infraestructura de Internet, una empresa puede desechar la difícil tarea de tener que estar administrando los dispositivos como los que se utilizan en las WAN tradicionales.
En base a lo problemas comerciales que resuelven, las VPN de sitio a sitio pueden subdividirse a su vez en VPN intranet y VPN extranet.
VPN intranet. Las VPN intranet se utilizan para la comunicación interna de una compañía, como aparece en la figura 2.5. Enlazan una oficina central con todas sus sucursales. Se disfrutan de las mismas normas que en cualquier red privada. Un enrutador realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada. El servidor VPN proporciona una conexión enrutada a la red a la que está conectado el servidor VPN.
Tipos de VPN
Existen diferentes formas de que una organización puede implementar una VPN. Cada fabricante o proveedor ofrece diferentes tipos de soluciones VPN. Cada corporación tendrá que decidir la que más le convenga. Los tipos diferentes de VPN son:
• VPN de firewall
• VPN de router y de concentrador
• VPN de sistema operativo
• VPN de aplicación
• VPN de proveedor de servicios
VPN de firewall
Un firewall (llamado también cortafuegos o servidor de seguridad) es un sistema de seguridad que implanta normas de control de acceso entre dos o más redes. [1] Se trata de un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Un firewall puede ser un dispositivo software o hardware.
Es muy común que se utilice un firewall para proporcionar servicios VPN. Empresas como Cisco Systems, Nortel Networks y 3Com ofrecen en muchos de sus dispositivos firewall soporte para VPN. Una VPN basada en firewall tiene la ventaja de que simplifica la arquitectura de la red al establecer un único punto de control de seguridad. Además, los ingenieros de redes sólo tienen que hacerse expertos en una tecnología, en lugar de tener que aprender a administrar un firewall y la VPN de forma separada.
Entre los inconvenientes se puede mencionar que tener la VPN en un firewall convierte al dispositivo en algo más complejo, por lo que se debe ser más cuidadoso en su configuración o de lo contrario cualquier intruso podría tener acceso no autorizado a la red. Otra desventaja ocurre debido a que tener firewall y VPN juntos, se ejerce presión al rendimiento del firewall. Esto ocurre principalmente si se tienen conectados cientos o incluso miles de usuarios.
VPN de router y de concentrador
Empresas como Cisco, Nortel y 3Com entre otros también ofrecen servicios VPN integrados dentro de un router o un dispositivo llamado concentrador VPN. Tanto el router como el concentrador VPN están especialmente diseñado para las conexiones VPN sitio a sitio y acceso remoto. Cuenta con las tecnologías VPN más importantes y los métodos de autenticación y cifrado para proteger los datos transmitidos.
0 comentarios :
Publicar un comentario