A medida que un negocio crece, puede expandirse en múltiples localizaciones u oficinas alrededor del mundo. Para mantener la eficiencia, los empleados necesitan una forma rápida, segura y fiable para compartir información a través de las redes de computadoras. Del mismo modo, empleados que viajan necesitan una forma igualmente segura y fiable de conectarse a la red de su negocio desde ubicaciones remotas.
La tecnología que permite conseguir este cometido son las redes privadas virtuales (en inglés, VPN o Virtual Private Network) es una extensión de una red privada a través de una red pública o compartida como es Internet.
VPN no ha sido la primera tecnología capaz de crear conexiones remotas. Antaño, la forma más común de conectar ordenadores de múltiples delegaciones era usando una línea arrendada o leased line. Estas líneas proporcionaban a una compañía una forma de expandir su red privada más allá del área geográfica. Estas conexiones formaban una WAN o área de red extensa, siendo segura y fiable pero muy costosas, ya que estas redes eran cedidas para su uso exclusivo de una persona u organización.
Hoy en día Internet es mucho más accesible que antes y los proveedores de servicio siguen desarrollando servicios más rápidos y fiables con un costo final menor, descartando la necesidad de disponer líneas dedicadas para tal fin sin comprometer la seguridad.
TIPOS
VPN de acceso remoto: permite a usuarios individuales establecer conexiones seguras con una red de ordenadores remota. Un ejemplo podría ser una compañía que tiene cientos de comerciales repartidos por distintos puntos geográficos, todos con la necesidad de conectarse a la red interna de la empresa central.
Hay dos componentes que se requieren para una conexión VPN remota:
– el primero es el servidor de acceso a la red o NAS/RAS (del inglés, Network/Remote Access Server). A éste se conectarían los usuarios, previa validación de credenciales, para ello el NAS utilizaría su propio proceso de autenticación o un servidor de autenticación corriendo en la red por separado.
– el segundo componente es un cliente software de VPN. En otras palabras, los empleados que deseen conectarse a su red interna de forma remota, requerirán tener instalado un software en sus ordenadores que sea capaz de establecer y mantener una conexión a la VPN. La mayoría de sistemas operativos hoy en día disponen de este software ya integrado con los mismos, aunque ciertas VPN requieren de software específico para tal fin. Este software establece el túnel hacia el NAS, apuntando a su dirección de Internet siendo capaz también de procesar el cifrado requerido para hacer esa conexión segura.
Una VPN de acceso remoto es apropiada para empleados de forma individual, pero ¿qué pasa con las delegaciones que tienen decenas incluso cientos de empleados?
A continuación se describirá el otro tipo de VPN, usado para mantener los negocios conectados LAN-a-LAN.
VPN Sitio a sitio: permite a oficinas o delegaciones repartidas en múltiples localizaciones fijas establecer conexiones seguras con la central a través de una red pública como es Internet. Las VPN sitio a sitio extienden la red de la compañía, haciendo disponibles para los empleados los recursos informáticos de una a otra localización. Un ejemplo de uso sería una compañía en expansión con decenas de delegaciones alrededor del mundo.
Tunneling: Es la técnica que posibilita a un usuario acceder o proporcionar un servicio de red que el protocolo subyacente no soporta o es capaz de proveer directamente. Se usa en las VPN para proporcionar servicios que son inseguros de por sí como para ser ofrecidos usando solamente los servicios de red subyacentes.
Como tunneling implica el reempaquetado del tráfico en una forma diferente con encriptación como estándar, otro de los usos es la ocultación de la naturaleza del tráfico que fluye por los túneles.
En el tunneling las comunicaciones se cifran con un sistema de llave pública y privada que permite entenderse sólo a las dos máquinas que participan en el intercambio de datos. Al no poder descifrar los datos, cualquiera que intercepte desde una tercera máquina los paquetes, no podrá hacer nada con ellos, como podría ser el caso de un ataque Man-in-the-middle, en el que, por ejemplo, un tercero puede instalar un punto de acceso en la red víctima y hacer que los clientes se conecten a través del Gateway de este AP, no del original, por lo cual, el tráfico que circule en texto plano se podrá ver comprometido.
PROTOCOLOS
PPTP
Point-to-Point Tunneling Protocol es un método para implementar VPN. PPTP usa un canal de control sobre TCP y un túnel GRE que encapsula los paquetes PPP.PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS desde cualquier punto en Internet para tener la misma autenticación, encriptación y los mismos accesos de LAN como si llamaran directamente al servidor.
L2TP/IPsec
Layer-2 Tunneling Protocol (L2TP) facilita el tunneling de paquetes PPP a través de una red de tal manera que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel.
IPSec trata de remediar algunas carencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP).
Equipamiento usado en una VPN
Aunque una VPN puede ser configurada en un equipo genérico, como un servidor estándar, la mayoría de empresas usan un equipo dedicado y por tanto optimizado para tal fin.
Dentro del fabricante Mikrotik, cualquier router es capaz de crear una VPN, el dato a considerar aquí es el volumen de tráfico dedicado VPN que podrá procesar y de ahí las especificaciones particulares de cada dispositivo enrutador para tal volumen. Por otro lado y no menos importante, es la inclusión de hardware dedicado para el cifrado (IPSEC), disponible en gamas igual o superiores al RB1100AHX2 (powerpc), como la familia CCR (tilera).
Por tanto, un router profesional básico como el RB750r2 sería capaz de crear diversas VPN con un volumen de tráfico pequeño y al disponer de licencia RouterOS L4 podría crear hasta 200 sesiones VPN de cada tipo. De igual manera, un router profesional de gama media, como el RB2011iL-RM que también puede crear hasta 200 sesiones VPN de cada tipo.
Para una demanda de tráfico media-alta y contando con aceleración por hardware dedicada IPSEC como se ha comentado antes, el RB1100AHx2 es capaz de crear ilimitadas sesiones VPN, al disponer de licencia L6. Del mismo modo pero pudiendo mover más tráfico dedicado VPN, un router profesional de gama alta como el CCR1016-12G dispone también de licencia RouterOS L6.
Como se ha podido ver, Mikrotik ofrece una amplia gama de equipos sobradamente preparados para gestionar cualquier escenario que se nos presente.
Si te interesa saber más sobre los VPN y/o networking no te pierdas el Roadshow Globalpro: Mikrotik. El próximo 19 de enero en Valencia y 27 de enero en Palma de Mallorca. Donde se expondrán casos prácticos y escenarios de aplicación de esta tecnología.