Redes Privadas Virtuales (VPN)

¿Cuándo es necesaria una Red Privada Virtual?

  • Cuando se expandan los procesos de su organización, y se requiera rapidez y flexibilidad en el intercambio de información entre todas sus sucursales.
  • Donde las tecnologías del tipo: Gestión de la relaciones (CRM) y de Planificación de recursos (ERP) son utilizadas para asegurar el trabajo productivo en equipo.
  • Cuando su organización tiene múltiples sucursales distribuidas en distintas ubicaciones, con personas que colaboran entre si desde las oficinas o desde sus hogares. Usted necesita habilitar un intercambio de información seguro y sin retrasos.
  • Si varias redes tienen que cumplir con altos estándares de seguridad para garantizar la integridad, la autenticidad y la estabilidad de los datos que transmiten.
  • Si se tiene que garantizar un acceso seguro y flexible para dispositivos móviles, ordenadores portátiles o para “smartphones” modernos.

La complejidad es enemiga de la seguridad

Debido a los factores anteriores, la idea es utilizar la Internet para comunicar a las sucursales entre si, y al mismo tiempo garantizar la seguridad y confidencialidad de los datos que son transferidos. Por lo tanto, se requiere de software de Red Privada Virtual (VPN – “Virtual Private Network“) para proporcionar una Red Virtual y segura entre los sitios.

Es como un cable de conexión real

Las Redes Privadas Virtuales establecen un cable de conexión física entre todas las sucursales. Similar a una red telefónica, una sola línea dedicada conecta nodos para establecer su comunicación.

¿Qué significa Virtual y por qué es Privada?

Virtual
Esto es porque realmente no hay una conexión directa a la red entre las partes que se comunican entre si, solamente se trata de una conexión virtual servida por software VPN, que normalmente se realiza sobre conexiones públicas a la Internet.

Privada
Porque solamente las personas que pertencen a la organización son conectadas por software VPN para acceder a los datos que puedan transferir.

Además una Red Privada Virtual puede ser vista como:

Un conjunto de conexiones lógicas, que mediante software especial asegura la privacidad entre los extremos que se conectan. Hoy en día, la Internet es el medio de red más utilizado, y OpenVPN proporciona la privacidad mediante métodos criptográficos modernos y de punta.

Son túneles que protegen sus datos

Por ejemplo, con una Red Privada Virtual, su personal ubicado en una oficina en El Salvador puede trabajar con el personal de la oficina ubicada en Costa Rica. Como si ambas oficinas estuvieran en el mismo lugar.

Todos los datos que sean eviados desde Costa Rica a El Salvador o desde El Salvador a Costa Rica son cifrados antes de la transmisión y son descifrados después de la transmisión.

El cifrado (ver criptografía) protege los datos transmitidos en la conexión, de la misma manera que las paredes protegen a un túnel de la montaña que la rodea. Esto explica por qué las Redes Privadas Virtuales a menudo son conocidas simplemente como túneles o túneles VPN, y la tecnología a menudo se llama túnel (“tunneling“), incluso si no hay mecánica cuántica o magia implicada.

Tunneling” porque los datos en la conexión VPN se encuentran protegidos de la Internet, tal como las paredes del túnel de una carretera o de una ferrovía protegen al tráfico del peso de la piedra, de la montaña arriba de ella.

El método exacto de cifrado (“encryption“) y cómo se proporcionan las llaves (“keys“) para todas las partes que intervienen, es un factor que distingue a las diferentes soluciones de VPN que hay en el mercado.

Sobre “los socios VPN”

Generalmente, una conexión VPN se construye entre dos routers con acceso a la Internet, donde los routers se equipan con software de Firewall y con software de VPN. El software se configura para conectarse a su respectivo “socio de VPN”, el Firewall se configura para permitir el acceso, y los datos intercambiados entre “los socios VPN” se transmiten de manera segura (gracias al cifrado). La llave de cifrado siempre debe ser proporcionada a todos “los socios VPN”, de esta manera los datos intercambiados sólo puedes ser leídos por “los socios VPN” autorizados.

Las VPN son de bajo coste y también son seguras

Las Redes Privadas Virtuales, además de ser soluciones rentables y ágiles, son respuestas bien orientadas para el mercado PYMEs y para las organizaciones en constante expansión.

En resumen, una Red Privada Virtual proporciona conexiones seguras entre la sucursales de una organización a través de una línea de bajo coste con lo es la Internet.

VPN es un conjunto de tecnologías que permite crear conexiones seguras (túneles) sobre líneas al Internet que por naturaleza no suelen ser seguras.

¿Para que se utilizan las VPN?

Cada vez más y más organizaciones ofrecen a sus clientes y a sus asociados en negocios o proyectos un acceso protegido a los datos relevantes entre su relación de negocios o trabajo, por ejemplo, ordenes de compra, datos en “stock”, investigaciones o reportes.

Por lo tanto, en las organizaciones modernas, podemos encontrar alguno de los tres escenarios típicos de soluciones VPN:

  • Una intranet comprendida por varias ubicaciones o lugares de una organización.
  • Un acceso mediante línea telefónica para el personal que trabaja en la oficina o en el hogar con direcciones IP que cambian dinámicamente, dispositivos móviles y protección centralizada.
  • Una extranet para sus clientes o para sus asociados en negocios o proyectos.

Cada escenario típico requiere consideraciones especiales de seguridad y configuración. Las personas externas que colaboran desde sus hogares, necesitan accesos diferentes a los que requieren los clientes o los asociados. De hecho, el acceso para los asociados y clientes debe ser severamente restringido.

Todo el intercambio de datos que sucede en las redes de ordenadores se encuentra basado en protocolos. Los protocolos son como rituales o lenguajes que deben ser usados entre “los socios” que se comunican en una red. Sin el uso adecuado del protocolo adecuado, la comunicación puede fallar.

Aunque hay algunos conceptos básicos de red que necesitan ser entendidos para comprender la funcionalidad de las VPN. Ya tenemos una mirada cercana a la forma de funcionar de las VPN, también conocemos como una VPN puede interconectar de forma segura a una organización en diversas maneras.

Propuesta de estándar para los túneles de datos

(GRE – “General Routing Encapsulation“). Propone un estándar de cómo hacer túneles de datos. Un encabezado de protocolo y un encabezado de entrega son agregados al paquete original, y su “payload” se encapsula en el nuevo paquete. Si no hay cifrado, entonces GRE no ofrece seguridad. La transparencia permite que administradores y “routers” vean dentro de los paquetes y pasen decisiones basados en el tipo de “payload” que se está enviando. De esta manera ciertas aplicaciones especiales pueden recibir tratamiento privelegiado por medio de la modulación del tráfico (“traffic shaping“) o métodos similares. A GRE se le asigna el protocolo de IP número 47.

Wikipedia.org dice: GRE es un protocolo de túneles de datos desarrollado por Cisco Systems que puede encapsular una amplia variedad de tipos de protocolos de la capa de red dentro de los túneles IP, creando una conexión virtual punto-a-punto en las distintas marcas de routers, en los puntos remotos sobre un Protocolo Internet (IP).

GRE - Según Wikipedia

GRE – Según Wikipedia

La seguridad en las Redes Privadas Virtuales

Ambos términos caminan de la mano. Sin seguridad una VPN deja de ser privada.

La seguridad informática, y por lo tanto la seguridad de VPN, se describe mejor por los tres objetivos que tiene que alcanzar. Son los siguientes:

  • Privacidad (confidencialidad):
    Los datos transferidos debe ser disponible sólo a quienes tienen autorización.
  • Fiabilidad (integridad):
    Los datos transferidos no deben cambiar entre el emisor y el receptor.
  • Disponibilidad:
    Los datos transferidos deben ser disponibles cuando sea necesario.

Por otra parte, una solución VPN debe ofrecer una autenticación segura (“authentication”) y no-repudio (“non-repudiation”).

Todos estos objetivos de una VPN se alcanzan mediante:

  • Hardware adecuado.
  • Software confiable.
  • Proveedores de servicios Internet.
  • Políticas de seguridad.

¿Qué define una política de seguridad?

  • Responsabilidades.
  • Procedimientos estándar.
  • Escenarios de gestión de desastres y de recuperación (preparados para lo peor).

¿Por qué es importante una política de seguridad?

Comprender el máximo de los daños y los costos de las peores catástrofes posibles, brinda de manera responsable, una idea de la gama de esfuerzos que deben ser invertidos en aspectos de seguridad en una organiación.

Las políticas de seguridad deben responder de forma clara preguntas tales como:

  • ¿Quién tiene la llave de la sala del servidor cuando la persona administradora está de vacaciones?
  • ¿Quién tiene permiso de traer su propia computadora portátil?
  • ¿Cómo se protegen los cables?
  • ¿Cómo se encuentra una LAN inalámbrica (WLAN) protegida?

La seguridad VPN se logra así misma mediante la protección del tráfico (con métodos de cifrado modernos y fuertes), técnicas seguras de autenticación y con “Firewalls” dentro y fuera de los túneles. Sólo encriptar el tráfico no es suficiente, ya que hay grandes diferencias en materia de seguridad dependiendo de los métodos que se utilicen.

Cifrado asimétrico con SSL/TLS

SSL/TLS utiliza una de las mejores tecnologías de cifrado, llamada cifrado asimétrico, con esto se garantiza la identidad del “socio VPN”. Ambos “socios de cifrado” son dueños de dos llaves (una pública y otra privada). La llave pública se entrega entre “los socios de la comunicación” los cuales cifran los datos con ella. Debido al algoritmo matemático utilizado para crear el par de llaves Pública/Privada, sólo la clave privada del destinatario podrá descifrar los datos cifrados por su llave pública.

Importante:
Las llaves privadas deben mantenerse en secreto y las llaves públicas debe ser intercambiadas.

En el ejemplo anterior, un mensaje de texto se cifra en El Salvador con la llave pública de Costa Rica. El mensaje cifrado (“código revuelto”) es enviado a Costa Rica, donde puede ser descifrado usando la llave privada de Costa Rica. Esto también funciona hacia al otro lado, para los datos que son transmitidos desde Costa Rica hacia El Salvador, quien cifra el mensaje con la llave pública de El Salvador en Costa Rica y sólo puede ser descifrada por la llave privada de El Salvador en El Salvador.

El proceso de autenticación también es similar

Por ejemplo, si desde Costa Rica se envía un gran número al azar hacia El Salvador, donde este número se cifra con la llave privada y seguidamente es enviado de vuelta. Entonces en Costa Rica, la llave pública de El Salvador decifra el número. Si los números enviados y decifrados calzan, entonces el remitente debe ser el que lleva la llave pública de El Salvador. A esto se llama una firma digital (“digital signature“).

Seguridad SSL/TSL

En resumen, la librería SSL/TLS puede ser utilizada para fines de:

  • Autenticación
  • Cifrado.

La librería SSL/TLS es parte del software OpenSSL, la cual se encuentra instalada en casi cualquier sistema operativo moderno. Si se encuentra disponible una autenticación basada en certificados y si se encuentra disponible el cifrado SSL/TLS, esta tecnología debe ser la primera elección para cualquier túnel de datos que usted necesite crear.

Recomendamos el libro “Beginning OpenVPN”

Los conceptos y escenarios anteriores fueron extraídos de la lectura, traducción y comprensión del libro “Beginning OpenVPN” de la Editorial Packt, simplemente genial.

También el material de referencia más utilizado para todas las soluciones de seguridad en las empresas modernas: Handbook of Information Security Management.

Más lecturas recomendadas:

Responder