OpenVPN

OpenVPN
OpenVPN es una solucin de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente, resulta una muy buena opcin en tecnologas Wi-Fi (redes inalmbricas IEEE 802.11) y soporta una amplia configuracin, entre ellas balanceo de cargas. Est publicado bajo la licencia GPL, de software libre.

Introduccin
OpenVPN, es un producto de software creado por James Yonan en el ao 2001 y que ha estado mejorando desde entonces. Ofrece una combinacin de seguridad a nivel empresarial, seguridad, facilidad de uso y riqueza de caractersticas.[citarequerida] Es una solucin multiplataforma que ha simplificado la configuracin de VPN's frente a otras soluciones ms antiguas y difciles de configurar como IPsec y hacindola ms accesible para gente inexperta en este tipo de tecnologa. Por ejemplo: Supongamos que necesitamos comunicar diferentes sucursales de una organizacin. A continuacin veremos algunas soluciones que se han ofrecido como respuesta a este tipo de necesidades. En el pasado las comunicaciones se realizaban por correo, telfono o fax. Hoy en da hay factores que hacen necesaria la implementacin de soluciones ms sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo. Dichos factores son: La aceleracin de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rpido de informacin. Muchas organizaciones tienen varias sucursales en diferentes ubicaciones as como tambin tele trabajadores remotos desde sus casas, quienes necesitan intercambiar informacin sin ninguna demora, como si estuvieran fsicamente juntos. La necesidad de las redes de computacin de cumplir altos estndares de seguridad que aseguren la autenticidad, integridad y disponibilidad. Lneas dedicadas Las necesidades antes mencionadas se satisfacan en principio colocando lneas dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de simple acceso a Internet. Se necesitaban conexiones fsicas reales necesitando de un proveedor en cada sitio resultando en una solo lnea de comunicacin entre dos partes. Por ejemplo, para una red de 4 nodos en la cual se buscase comunicacin de todos con todos, habra que tender 6 lneas de comunicacin. Adems, para dar conectividad a trabajadores domsticos o viajeros se implementaban servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante conexiones de mdem o lneas ISDN2 donde la organizacin se comportaba como un proveedor de Internet (ISP).

OpenVPN

Acceso mediante Internet y VPNs Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologas. Surgi entonces la idea de utilizar a Internet como medio de comunicacin entre los diferentes sitios de la organizacin. Surge as la idea de las VPN's que son Virtuales y Privadas. Virtuales porque no son redes directas reales entre partes, sino solo conexiones virtuales provistas mediante software sobre la red Internet. Adems son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilizacin de modernos mecanismos de criptografa. Retomando el ejemplo anterior de una organizacin con cuatro sitios, ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis dedicadas de antes. Adems los que se conectan temporalmente, tambin lo hacen mediante una conexin a Internet, mucho ms barata y accesible desde muchos lugares, como por ejemplo de cibercafs.

Usos de las VPN's

Las VPN's se usan generalmente para: Conexin entre diversos puntos de una organizacin a travs de Internet Conexiones de trabajadores domsticos o de campo con IP's dinmicas Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacin en forma privada pero no se les debe dar acceso al resto de la red interna. Adems brinda una excelente fiabilidad en la comunicacin de usuarios mviles as como tambin al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada.

Implementacin de VPN
Supongamos que se tienen dos sitios de una organizacin conectados a Internet. En ambos se contar con un equipo de conexin a la red de redes que cumplir la funcin de ruteo hacia y desde Internet as como firewall para protegerse de accesos no autorizados. El software VPN debe estar instalado en ese firewall o algn dispositivo protegido por l. Uno de los sitios ser el servidor y ser el sitio que contiene la informacin y sistemas que queremos compartir, mientras que al otro lo llamaremos cliente. El servidor ser entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero an no es una VPN dado que falta implementar la privacidad, pues cualquier nodo intermedio de Internet puede leer la informacin que viaja sin proteccin. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas dueos de esas claves puedan acceder a los datos enviados por la VPN. Todos los datos enviados del punto A al B debern ser cifrados antes de ser enviados y descifrados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final. Uno de los factores que diferencian a una implementacin de VPN de otra, son los mecanismos

OpenVPN que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red.

Protocolos
Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red. Implementaciones de capa 2 - Enlace El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems. Tericamente, las tecnologas implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayora de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexin con el otro lado del tnel. Algunos ejemplos de estas tecnologas: PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensin de PPP. Su principal desventaja es que solo puede establecer un tnel por vez entre pares. L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultneas. L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otros fabricantes, se ha convertido en estndar de la industria y combina las ventajas de PPTP y L2F y adems eliminando las desventajas. Dado que esta solucin no ofrece mecanismos de seguridad, para su uso deber ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI. L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solucin con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicacin para lograrlo. Implementaciones de capa 3 - Red IPsec es la tecnologa ms aceptada en este punto y fue desarrollada como un estndar de seguridad de Internet en capa 3. IPsec se pude utilizar para encapsular cualquier trfico de capa 3 pero no el trfico de capas inferiores, por lo que no se podr utilizar para protocolos no-IP como IPX o mensajes de broadcast. Su principal ventaja es que puede ser usado prcticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware. Existen dos mtodos principales usados por IPsec: Modo Tnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a travs del tnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor as como el resto de los metadatos de los paquetes. Modo Transporte. Solo la carga til (payload) de la seccin de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrn ver quien se est comunicando con quien. Implementaciones de capa 7 - Aplicacin Tambin es posible establecer tneles en la capa de aplicacin y de hecho son ampliamente utilizados hoy en da siendo algunas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organizacin a travs de un browser iniciando la conexin en un sitio web seguro (HTTPS-Secured website). Adems, existen otros productos como SSL-Explorer y otros que ofrecen una combinacin de gran flexibilidad, seguridad fuerte y facilidad de configuracin. La seguridad es lograda mediante cifrado del trfico usando mecanismos SSL/TLS, los cuales han probado ser muy seguros y estn siendo constantemente sometidos a mejoras y pruebas. Implementacin OpenVPN

OpenVPN OpenVPN es una solucin para VPN que implementa conexiones de capa 2 o 3, usa los estndares de la industria SSL/TLS para cifrar y combina todas las caractersticas mencionadas anteriormente en las otras soluciones VPN. Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones. Sin embargo, en sistemas basados en Linux se puede implementar sin problemas mediante software.

Seguridad en VPN
Para cifrar datos se usan Passwords o claves de cifrado. OpenVPN tiene dos modos considerados seguros, uno basado en claves estticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA. Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando el mecanismo conocido como clave simtrica y dicha clave debe ser instalada en todas las mquinas que tomarn parte en la conexin VPN. Si bien SSL/TLS + claves RSA es por lejos la opcin ms segura, las claves estticas cuentan con la ventaja de la simplicidad. Veremos a continuacin ese mtodo y otros que aportan mayor seguridad y facilidad de distribucin. Cifrado simtrico y claves pre-compartidas Cualquiera que posea la clave podr descifrar el trfico, por lo que si un atacante la obtuviese comprometera el trfico completo de la organizacin ya que tomara parte como un integrante ms de la VPN.

Es por ello que mecanismos como IPsec cambian las claves cada cierto perodo, asociando a las mismas ciertos perodos de validez, llamados tiempo de vida o lifetime. Una buena combinacin de tiempo de vida y longitud de la clave asegurarn que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo har), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y an no ha sido terminado. Cifrado asimtrico con SSL/TLS SSL/TLS usa una de las mejores tecnologas de cifrado para asegurar la identidad de los integrantes de la VPN. Cada integrante tiene dos claves, una pblica y otra privada. La pblica es distribuida y usada por cualquiera para cifrar los datos que sern enviados a la contraparte quien conoce la clave privada que es imprescindible para descifrar los datos. El par de clave pblica/privada es generado a partir de algoritmos matemticos que aseguran que solo con la clave privada es posible leer los datos originales. Si se

OpenVPN encontrase un modo de quebrar la seguridad que estos algoritmos proporcionan, todas las conexiones cuya integridad depende de ellos se veran potencialmente comprometidas.

Es de destacar que la clave privada debe permanecer secreta mientras que la clave pblica debe ser intercambiada para que nos puedan enviar mensajes. Seguridad SSL/TLS Las bibliotecas SSL/TLS son parte del sofware OpenSSL que viene instalado en cualquier sistema moderno e implementa mecanismos de cifrado y autenticacin basados en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque tambin podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN. Con un certificado firmado, el dueo del mismo es capaz de demostrar su identidad a todos aquellos que confen en la autoridad certificadora que lo emiti.

Ventajas y Desventajas de OpenVPN

Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec. Adems ofrece otras ventajas comparativas, como son: Posibilidad de implementar dos modos bsicos, en capa 2 o capa 3, con lo que se logran tneles capaces de enviar informacin en otros protocolos no-IP como IPX o broadcast (NETBIOS). Proteccin de los usuarios remotos. Una vez que OpenVPN ha establecido un tnel el firewall de la organizacin proteger el laptop remoto an cuando no es un equipo de la red local. Por otra parte, slo un puerto de red podr ser abierto hacia la red local por el remoto asegurando proteccin en ambos sentidos. Conexiones OpenVPN pueden ser realizadas a travs de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un tnel OpenVPN debera funcionar sin ningn problema. Soporte para proxy. Funciona a travs de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y adems como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones). Slo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten mltiples conexiones en el mismo puerto TCP o UDP. Las interfaces virtuales (tun0, tun1, etc.) permiten la implementacin de reglas de firewall muy especficas. Todos los conceptos de reglas, restricciones, reenvo y NAT10 pueden ser usados en tneles OpenVPN.

OpenVPN Alta flexibilidad y posibilidades de extensin mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque. Soporte transparente para IPs dinmicas. Se elimina la necesidad de usar direcciones IP estticas en ambos lados del tnel. Ningn problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas. Instalacin sencilla en cualquier plataforma. Tanto la instalacin como su uso son muy simples. Diseo modular. Se basa en un excelente diseo modular con un alto grado de simplicidad tanto en seguridad como red. Desventajas No tiene compatibilidad con IPsec que es el actual estndar para soluciones VPN. Carencia de masa crtica [citarequerida]. Todava son relativamente pocos los que saben cmo usar OpenVPN [citarequerida]. A da de hoy mayormente se puede conectar a otras computadoras o dispositivos con IOS y Android [citarequerida]. Sin embargo, esto est cambiando, dado que existen compaas desarrollando dispositivos con clientes OpenVPN integrados y haciendo llegar esta tecnologa a otros mbitos como la automatizacin industrial (ver ejemplo en Panasonic [1])

Comparacin entre OpenVPN e IPsec VPN

IPsec Estndar de la tecnologa VPN Plataformas de hardware (dispositivos, aparatos) No compatible con IPsec Solo en computadoras, pero en todos los sistemas operativos disponibles, ya comienzan a encontrarse dispositivos que cuentan con OpenVPN Probada y sigue en crecimiento Sin interfaces grficas profesionales, aunque ya existen algunos proyectos prometedores Tecnologa sencilla Interfaces de red y paquetes estandarizados Ejecuta en el espacio del usuario y puede ser chroot-ed Tecnologas de cifrado estandarizadas OpenVPN

Tecnologa conocida y probada Muchas interfaces grficas disponibles Modificacin compleja del stack IP Necesidad de modificaciones crticas al kernel Necesidad de permisos de administrador Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre si Configuracin compleja y tecnologa compleja Curva de aprendizaje muy pronunciada Necesidad de uso de mltiples puertos y protocolos en el firewall Problemas con direcciones dinmicas en ambas puntas

Facilidad, buena estructuracin, tecnologa modular y facilidad de configuracin Fcil de aprender e implementar (incluso para principiantes) Utiliza slo un puerto del firewall

Trabaja con servidores de nombres dinmicos como DynDNS o No-IP con reconexiones rpidas y transparentes SSL/TLS como estndar de criptografa Control de trfico (Traffic shaping) Velocidad (ms de 20 Mbps en mquinas de 1Ghz) Compatibilidad con firewall y proxies Ningn problema con NAT (ambos lados puede ser redes NATeadas) Posibilidades para road warriors

Problemas de seguridad de las tecnologas IPsec

OpenVPN

Bibliografa
OpenVPN: Building and Integrating Virtual Private Networks Markus Feilner ISBN 1-904811-85 Sito web de OpenVPN. http://openvpn.net/howto.html Sitio web de Ubuntu. http://www.ubuntu-es.org/node/5290 http://laurel.datsi.fi.upm.es/~rpons/openvpn_como/

En Linux: /usr/share/doc/openvpn man openvpn

Enlaces externos
Wikilibros Wikilibros alberga un libro o manual sobre OpenVPN. Sitio web oficial de OpenVPN [2]

Referencias
[1] http:/ / www. panasonic-electric-works. es/ pewes/ es/ html/ 29434. php [2] http:/ / openvpn. net/

Fuentes y contribuyentes del artculo

Fuentes y contribuyentes del artculo

OpenVPN Fuente: http://es.wikipedia.org/w/index.php?oldid=68597615 Contribuyentes: DRoBeR, Death Master, ElmerHomero, JMPerez, Jileon, Lbutrico, Macarrones, Machucho2007, Mister, PabloCastellano, Porao, Riveravaldez, Sanbec, Superzerocool, 51 ediciones annimas

Fuentes de imagen, Licencias y contribuyentes

Archivo:Ovpntech logo-s REVISED.png Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Ovpntech_logo-s_REVISED.png Licencia: Creative Commons Attribution-Sharealike 3.0 Contribuyentes: OpenVPN Technologies, Inc. Archivo:Lbutrico comunic 6 lineas.png Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Lbutrico_comunic_6_lineas.png Licencia: Public Domain Contribuyentes: Lburico Archivo:Lbutrico comunic 4 lineas.png Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Lbutrico_comunic_4_lineas.png Licencia: Public Domain Contribuyentes: Lburico Archivo:Lbutrico pre-sharedkey.png Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Lbutrico_pre-sharedkey.png Licencia: Public Domain Contribuyentes: Lburico Archivo:Lbutrico asimetric key.png Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Lbutrico_asimetric_key.png Licencia: Public Domain Contribuyentes: Lburico Archivo:Wikibooks-logo.svg Fuente: http://es.wikipedia.org/w/index.php?title=Archivo:Wikibooks-logo.svg Licencia: logo Contribuyentes: User:Bastique, User:Ramac et al.

Licencia
Creative Commons Attribution-Share Alike 3.0 //creativecommons.org/licenses/by-sa/3.0/