Red privada virtual - Virtual private network

Una red privada virtual ( VPN ) extiende una red privada a través de una red pública y permite a los usuarios enviar y recibir datos a través de redes públicas o compartidas como si sus dispositivos informáticos estuvieran conectados directamente a la red privada. Los beneficios de una VPN incluyen aumentos en la funcionalidad, seguridad y administración de la red privada. Proporciona acceso a recursos inaccesibles en la red pública y generalmente se usa para trabajadores a distancia . El cifrado es común, aunque no es una parte inherente de una conexión VPN.

Una VPN se crea mediante el establecimiento de una conexión virtual punto a punto mediante el uso de circuitos dedicados o con protocolos de tunelización en las redes existentes. Una VPN disponible en la Internet pública puede proporcionar algunos de los beneficios de una red de área amplia (WAN). Desde la perspectiva del usuario, se puede acceder de forma remota a los recursos disponibles dentro de la red privada.

Tipos

Árbol de clasificación de VPN basado primero en la topología y luego en la tecnología utilizada.

Descripción general de la conectividad VPN, que muestra las configuraciones de trabajo remoto y sitio a sitio de la intranet utilizadas en conjunto

Las redes privadas virtuales pueden clasificarse en varias categorías:

Acceso remoto

Una configuración de host a red es análoga a conectar una computadora a una red de área local. Este tipo proporciona acceso a una red empresarial, como una intranet . Esto puede emplearse para trabajadores a distancia que necesitan acceso a recursos privados, o para permitir que un trabajador móvil acceda a herramientas importantes sin exponerlos a la Internet pública.

Sitio a Sitio

Una configuración de sitio a sitio conecta dos redes. Esta configuración expande una red a través de oficinas geográficamente dispares, o un grupo de oficinas a la instalación de un centro de datos. El enlace de interconexión puede ejecutarse en una red intermedia diferente, como dos redes IPv6 conectadas a través de una red IPv4 .

Sitio a sitio basado en extranet

En el contexto de las configuraciones de sitio a sitio, los términos intranet y extranet se utilizan para describir dos casos de uso diferentes. Una VPN de sitio a sitio de intranet describe una configuración en la que los sitios conectados por la VPN pertenecen a la misma organización, mientras que una VPN de sitio a sitio de extranet une sitios que pertenecen a varias organizaciones.

Por lo general, las personas interactúan con VPN de acceso remoto, mientras que las empresas tienden a hacer uso de conexiones de sitio a sitio para escenarios de empresa a empresa , computación en la nube y sucursales . A pesar de esto, estas tecnologías no son mutuamente excluyentes y, en una red empresarial significativamente compleja, pueden combinarse para permitir el acceso remoto a los recursos ubicados en cualquier sitio determinado, como un sistema de pedidos que reside en un centro de datos.

Los sistemas VPN también pueden clasificarse según:

• el protocolo de tunelización utilizado para tunelizar el tráfico
• la ubicación del punto de terminación del túnel, por ejemplo, en el borde del cliente o en el borde del proveedor de red
• el tipo de topología de las conexiones, como de sitio a sitio o de red a red
• los niveles de seguridad proporcionados
• la capa OSI que presentan a la red de conexión, como los circuitos de Capa 2 o la conectividad de red de Capa 3
• el número de conexiones simultáneas

Mecanismos de seguridad

Las VPN no pueden hacer conexiones en línea completamente anónimas, pero generalmente pueden aumentar la privacidad y la seguridad. Para evitar la divulgación de información privada, las VPN normalmente solo permiten el acceso remoto autenticado mediante protocolos de tunelización y técnicas de cifrado .

El modelo de seguridad de VPN proporciona:

• confidencialidad tal que incluso si el tráfico de la red se rastrea a nivel de paquete (ver rastreador de red e inspección profunda de paquetes ), un atacante vería solo datos encriptados
• autenticación del remitente para evitar que usuarios no autorizados accedan a la VPN
• integridad del mensaje para detectar cualquier caso de manipulación de los mensajes transmitidos.

Las fases del ciclo de vida de un túnel IPSec en una red privada virtual.

Los protocolos VPN seguros incluyen lo siguiente:

• La seguridad del protocolo de Internet ( IPsec ) fue desarrollada inicialmente por el Grupo de trabajo de ingeniería de Internet (IETF) para IPv6 , que se requería en todas las implementaciones de IPv6 que cumplen con los estándares antes de que RFC  6434 lo convirtiera solo en una recomendación. Este protocolo de seguridad basado en estándares también se usa ampliamente con IPv4 y el protocolo de túnel de capa 2 . Su diseño cumple con la mayoría de los objetivos de seguridad: disponibilidad, integridad y confidencialidad . IPsec utiliza encriptación, encapsulando un paquete IP dentro de un paquete IPsec. La desencapsulación ocurre al final del túnel, donde el paquete IP original se desencripta y reenvía a su destino previsto.
• Transport Layer Security ( SSL / TLS ) puede canalizar el tráfico de una red completa (como lo hace en el proyecto OpenVPN y el proyecto SoftEther VPN ) o asegurar una conexión individual. Varios proveedores proporcionan capacidades de VPN de acceso remoto a través de SSL. Una VPN SSL puede conectarse desde ubicaciones donde IPsec tiene problemas con la traducción de direcciones de red y las reglas de firewall.
• Seguridad de la capa de transporte de datagramas ( DTLS ): se utiliza en Cisco AnyConnect VPN y en OpenConnect VPN para resolver los problemas que tiene SSL / TLS con la tunelización sobre TCP (la tunelización de TCP sobre TCP puede provocar grandes retrasos y interrupciones de la conexión).
• El cifrado punto a punto de Microsoft ( MPPE ) funciona con el protocolo de túnel punto a punto y en varias implementaciones compatibles en otras plataformas.
• El protocolo de túnel de sockets seguros de Microsoft ( SSTP ) túneles el protocolo de punto a punto (PPP) o el tráfico del protocolo de túnel de capa 2 a través de un canal SSL / TLS (SSTP se introdujo en Windows Server 2008 y en Windows Vista Service Pack 1).
• Red privada virtual de múltiples rutas (MPVPN). Ragula Systems Development Company es propietaria de la marca registrada "MPVPN".
• Secure Shell (SSH) VPN: OpenSSH ofrece túneles VPN (distintos del reenvío de puertos ) para asegurar conexiones remotas a una red o enlaces entre redes. El servidor OpenSSH proporciona un número limitado de túneles simultáneos. La función VPN en sí no admite la autenticación personal.
• WireGuard es un protocolo. En 2020, se agregó el soporte WireGuard a los kernels de Linux y Android, lo que lo abrió a la adopción por parte de los proveedores de VPN. De forma predeterminada, WireGuard utiliza Curve25519 para el intercambio de claves y ChaCha20 para el cifrado, pero también incluye la capacidad de compartir previamente una clave simétrica entre el cliente y el servidor.
• IKEv2 es un acrónimo de Internet Key Exchange volume 2. Fue creado por Microsoft y Cisco y se utiliza junto con IPSec para el cifrado y la autenticación. Su uso principal es en dispositivos móviles, ya sea en redes 3G o 4G LTE, ya que es efectivo para reincorporarse cuando se pierde una conexión.

Autenticación

Los puntos finales de túnel deben autenticarse antes de que se puedan establecer túneles VPN seguros. Las VPN de acceso remoto creadas por el usuario pueden utilizar contraseñas , datos biométricos , autenticación de dos factores u otros métodos criptográficos . Los túneles de red a red suelen utilizar contraseñas o certificados digitales . Almacenan permanentemente la clave para permitir que el túnel se establezca automáticamente, sin la intervención del administrador.

Enrutamiento

Los protocolos de tunelización pueden operar en una topología de red punto a punto que teóricamente no se consideraría una VPN porque, por definición, se espera que una VPN admita conjuntos de nodos de red arbitrarios y cambiantes. Pero dado que la mayoría de las implementaciones de enrutadores admiten una interfaz de túnel definida por software, las VPN proporcionadas por el cliente a menudo son simplemente túneles definidos que ejecutan protocolos de enrutamiento convencionales.

Componentes básicos de VPN aprovisionados por el proveedor

Terminología de VPN de sitio a sitio.

Dependiendo de si una VPN aprovisionada por el proveedor (PPVPN) opera en la capa 2 o en la capa 3, los componentes básicos que se describen a continuación pueden ser solo L2, solo L3 o una combinación de ambos. La funcionalidad de conmutación de etiquetas multiprotocolo (MPLS) difumina la identidad L2-L3.

RFC  4026 generalizó los siguientes términos para cubrir las VPN L2 MPLS y las VPN L3 (BGP), pero se introdujeron en RFC  2547 .

Dispositivos del cliente (C)

Un dispositivo que está dentro de la red de un cliente y no está conectado directamente a la red del proveedor de servicios. Los dispositivos C no conocen la VPN.

Dispositivo perimetral del cliente (CE)

Un dispositivo en el borde de la red del cliente que proporciona acceso a PPVPN. A veces es solo un punto de demarcación entre la responsabilidad del proveedor y del cliente. Otros proveedores permiten a los clientes configurarlo.

Dispositivo de borde de proveedor (PE)

Un dispositivo, o conjunto de dispositivos, en el borde de la red del proveedor que se conecta a las redes del cliente a través de dispositivos CE y presenta la vista del proveedor del sitio del cliente. Los PE conocen las VPN que se conectan a través de ellos y mantienen el estado de la VPN.

Dispositivo proveedor (P)

Un dispositivo que opera dentro de la red central del proveedor y no interactúa directamente con ningún punto final del cliente. Podría, por ejemplo, proporcionar enrutamiento para muchos túneles operados por proveedores que pertenecen a PPVPN de diferentes clientes. Si bien el dispositivo P es una parte clave de la implementación de PPVPN, no es consciente de VPN y no mantiene el estado de VPN. Su función principal es permitir que el proveedor de servicios escale sus ofertas de PPVPN, por ejemplo, actuando como un punto de agregación para múltiples PE. Las conexiones P a P, en tal función, a menudo son enlaces ópticos de alta capacidad entre las principales ubicaciones de los proveedores.

Servicios PPVPN visibles para el usuario

Servicios OSI Layer 2

LAN virtual

Virtual LAN (VLAN) es una técnica de Capa 2 que permite la coexistencia de múltiples dominios de transmisión de red de área local (LAN) interconectados a través de troncales utilizando el protocolo de troncalización IEEE 802.1Q . Se han utilizado otros protocolos de enlace, pero se han vuelto obsoletos, incluido Inter-Switch Link (ISL), IEEE 802.10 (originalmente un protocolo de seguridad, pero se introdujo un subconjunto para el enlace) y ATM LAN Emulation (LANE).

Servicio de LAN privada virtual (VPLS)

Desarrolladas por el Instituto de Ingenieros Eléctricos y Electrónicos , las LAN virtuales (VLAN) permiten que varias LAN etiquetadas compartan un enlace troncal común. Con frecuencia, las VLAN comprenden solo instalaciones propiedad del cliente. Mientras que VPLS como se describe en la sección anterior (servicios OSI Layer 1) admite la emulación de topologías de punto a punto y de punto a multipunto, el método discutido aquí extiende las tecnologías de Capa 2 como 802.1d y 802.1q LAN trunking para ejecutar sobre transportes como Metro Ethernet .

Como se usa en este contexto, un VPLS es un PPVPN de capa 2, que emula la funcionalidad completa de una LAN tradicional. Desde el punto de vista del usuario, un VPLS permite interconectar varios segmentos de LAN a través de un núcleo de proveedor de conmutación de paquetes u óptico, un núcleo transparente para el usuario, lo que hace que los segmentos de LAN remotos se comporten como una sola LAN.

En un VPLS, la red del proveedor emula un puente de aprendizaje, que opcionalmente puede incluir el servicio VLAN.

Pseudo alambre (PW)

PW es similar a VPLS, pero puede proporcionar diferentes protocolos L2 en ambos extremos. Normalmente, su interfaz es un protocolo WAN como el modo de transferencia asincrónica o Frame Relay . Por el contrario, cuando se pretende proporcionar la apariencia de una LAN contigua entre dos o más ubicaciones, el servicio de LAN privada virtual o IPLS sería apropiado.

Túneles Ethernet sobre IP

EtherIP ( RFC  3378 ) es una especificación de protocolo de tunelización Ethernet sobre IP. EtherIP solo tiene un mecanismo de encapsulación de paquetes. No tiene protección de confidencialidad ni integridad de mensajes. EtherIP se introdujo en la pila de red FreeBSD y en el programa de servidor SoftEther VPN .

Servicio similar a LAN solo IP (IPLS)

Un subconjunto de VPLS, los dispositivos CE deben tener capacidades de Capa 3; el IPLS presenta paquetes en lugar de tramas. Puede ser compatible con IPv4 o IPv6.

Arquitecturas OSI Layer 3 PPVPN

Esta sección analiza las arquitecturas principales para PPVPN, una en la que el PE elimina la ambigüedad de las direcciones duplicadas en una sola instancia de enrutamiento, y la otra, el enrutador virtual, en el que el PE contiene una instancia de enrutador virtual por VPN. El primer enfoque y sus variantes han ganado la mayor atención.

Uno de los desafíos de las PPVPN implica que diferentes clientes utilicen el mismo espacio de direcciones, especialmente el espacio de direcciones privadas IPv4. El proveedor debe poder eliminar la ambigüedad de las direcciones superpuestas en los PPVPN de varios clientes.

BGP / MPLS PPVPN

En el método definido por RFC  2547 , las extensiones BGP anuncian rutas en la familia de direcciones VPN IPv4, que tienen la forma de cadenas de 12 bytes, comenzando con un distintivo de ruta (RD) de 8 bytes y terminando con una dirección IPv4 de 4 bytes. . Los RD eliminan la ambigüedad de las direcciones duplicadas en el mismo PE.

Los PE comprenden la topología de cada VPN, que están interconectadas con túneles MPLS ya sea directamente o mediante enrutadores P. En la terminología MPLS, los enrutadores P son enrutadores de conmutación de etiquetas sin conocimiento de las VPN.

Enrutador virtual PPVPN

La arquitectura del enrutador virtual, a diferencia de las técnicas BGP / MPLS, no requiere ninguna modificación de los protocolos de enrutamiento existentes, como BGP. Al proporcionar dominios de enrutamiento lógicamente independientes, el cliente que opera una VPN es completamente responsable del espacio de direcciones. En los distintos túneles MPLS, los diferentes PPVPN se eliminan de la ambigüedad por su etiqueta, pero no necesitan distintivos de enrutamiento.

Túneles sin cifrar

Algunas redes virtuales utilizan protocolos de tunelización sin cifrado para proteger la privacidad de los datos. Si bien las VPN a menudo brindan seguridad, una red superpuesta sin cifrar no encaja perfectamente dentro de la categorización segura o confiable. Por ejemplo, un túnel configurado entre dos hosts con encapsulación de enrutamiento genérico (GRE) es una red privada virtual, pero no es segura ni confiable.

Los protocolos nativos de tunelización de texto plano incluyen el protocolo de tunelización de capa 2 (L2TP) cuando se configura sin IPsec y el protocolo de tunelización punto a punto (PPTP) o el cifrado punto a punto de Microsoft (MPPE).

Redes de entrega confiables

Las VPN de confianza no utilizan túneles criptográficos; en su lugar, confían en la seguridad de la red de un solo proveedor para proteger el tráfico.

• La conmutación de etiquetas multiprotocolo (MPLS) a menudo se superpone a las VPN, a menudo con control de calidad de servicio sobre una red de entrega confiable.
• L2TP, que es un reemplazo basado en estándares, y un compromiso que toma las buenas características de cada uno, para dos protocolos VPN patentados: Reenvío de capa 2 de Cisco (L2F) (obsoleto a partir de 2009) y Protocolo de túnel punto a punto de Microsoft (PPTP) .

Desde el punto de vista de la seguridad, las VPN confían en la red de entrega subyacente o deben reforzar la seguridad con mecanismos en la propia VPN. A menos que la red de entrega confiable se ejecute solo entre sitios físicamente seguros, tanto el modelo confiable como el seguro necesitan un mecanismo de autenticación para que los usuarios obtengan acceso a la VPN.

VPN en entornos móviles

Las redes privadas virtuales móviles se utilizan en entornos en los que un punto final de la VPN no está fijo a una única dirección IP , sino que se desplaza a través de varias redes, como redes de datos de operadores de telefonía celular o entre múltiples puntos de acceso Wi-Fi sin interrumpir la sesión VPN segura. o perder sesiones de aplicación. Las VPN móviles se utilizan ampliamente en la seguridad pública, donde brindan a los agentes del orden acceso a aplicaciones como el envío asistido por computadora y las bases de datos criminales, y en otras organizaciones con requisitos similares, como la administración de servicios de campo y la atención médica.

Limitaciones de la red

Una limitación de las VPN tradicionales es que son conexiones punto a punto y no suelen admitir dominios de difusión ; por lo tanto, las comunicaciones, el software y las redes, que se basan en la capa 2 y los paquetes de transmisión , como NetBIOS que se utilizan en las redes de Windows , pueden no ser totalmente compatibles como en una red de área local . Las variantes de VPN, como el servicio de LAN privada virtual (VPLS) y los protocolos de túnel de capa 2, están diseñadas para superar esta limitación.

Ver también

• Anonimizador
• Red privada virtual multipunto dinámica
• VPN Ethernet
• Privacidad en Internet
• VPN mediada
• Cifrado oportunista
• Túneles divididos
• Servidor Virtual Privado
• Servicio VPN

Referencias

Otras lecturas

• Kelly, Sean (agosto de 2001). "La necesidad es la madre de la invención de VPN" . Noticias de comunicación : 26-28. ISSN  0010-3632 . Archivado desde el original el 17 de diciembre de 2001.