Contenido

Introduccin ........................................................................................................... 2
1. Definicin de Red Privada Virtual (VPN) ....................................................... 3
1.1 Qu es una VPN? .................................................................................... 3
1.2 Como funciona una VPN ............................................................................ 4
1.3 Componentes de una VPN ......................................................................... 5
1.4 Ventajas de una VPN ................................................................................. 6
2. Arquitectura de una VPN ................................................................................ 6
2.1 VPN de acceso remoto .............................................................................. 6
2.2 VPN de sitio a sitio ..................................................................................... 7
3. Tipos de VPN ................................................................................................... 9
3.1 VPN de firewall ........................................................................................... 9
3.2 VPN de router y de concentrador ............................................................. 10
3.3 VPN de sistema operativo ........................................................................ 10
3.4 VPN de aplicacin .................................................................................... 10
3.5 VPN de proveedor de servicios ................................................................ 11
4. Topologas de VPN ....................................................................................... 11
4.1 Topologa radial ....................................................................................... 12
4.2 Topologa de malla completa o parcial ..................................................... 12
4.3 Topologa hbrida ..................................................................................... 13
4.4 Topologa de acceso remoto .................................................................... 13
5. Requerimientos de una VPN ........................................................................ 13
5.1 Autenticacin de usuarios ........................................................................ 13
5.2 Control de acceso .................................................................................... 14
5.3 Administracin de direcciones .................................................................. 14
5.4 Cifrado de datos ....................................................................................... 15
5.5 Administracin de claves .......................................................................... 15
5.6 Soporte a protocolos mltiples ................................................................. 16
5.7 Ancho de banda ....................................................................................... 16
Conclusin ........................................................................................................... 17

Introduccin

Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un
continente; contiene una coleccin de mquinas dedicadas a ejecutar programas
de usuario (aplicaciones).
En los ltimos aos las redes se han convertido en un factor crtico para cualquier
organizacin. Cada vez en mayor medida, las redes transmiten informacin vital,
por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad,
alcance geogrfico y efectividad en costos.
Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los
gastos de las empresas, eso ha significado una gran ventaja para las
organizaciones sobre todo las que cuentas con oficinas remotas a varios
kilmetros de distancia, pero tambin es cierto que estas redes remotas han
despertado la curiosidad de algunas personas que se dedican a atacar los
servidores y las redes para obtener informacin confidencial. Por tal motivo la
seguridad de las redes es de suma importancia, es por eso que escuchamos
hablar tanto de los famosos firewalls y las VPN.
Resulta confuso definir el trmino VPN. El problema radica en que cada fabricante
o proveedor de servicios VPN define a las VPN de diferentes maneras. No existen
estndares que definan los componentes de software o hardware de una
VPN o las tecnologas VPN, por lo que cada fabricante ofrece los servicios VPN
que ms se adaptan a sus propias plataformas de hardware y aplicaciones
de software. Como la tecnologa no est estandarizada, se ofrecen VPN en
toda clase de formas diferentes, como pueden ser firewalls, sistemas operativos,
etc. Respecto a la confusin para definir VPN un empresario de una
importante empresa de telecomunicaciones mencion: Las VPN tienden a
ser ahora lo que el mercado dice que son






1. Definicin de Red Privada Virtual (VPN)

1.1 Qu es una VPN?

Es una red privada que se extiende, mediante un proceso de encapsulacin y en
su caso de encriptacin, de los paquetes de datos a distintos puntos remotos
mediante el uso de unas infraestructuras pblicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en
la red pblica.
Una VPN combina dos conceptos: redes virtuales y redes privadas. En una
red virtual, los enlaces de la red son lgicos y no fsicos. La topologa de esta red
es independiente de la topologa fsica de la infraestructura utilizada para
soportarla. Un usuario de una red virtual no ser capaz de detectar la red fsica, el
slo podr ver la red virtual.
Desde la perspectiva del usuario, la VPN es una conexin punto a punto entre el
equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN).
La infraestructura exacta de la red pblica es irrelevante dado que
lgicamente parece como si los datos se enviaran a travs de un vnculo
privado dedicado.
Esto se puede apreciar en la figura 1.



Figura 1

1.2 Como funciona una VPN



Figura 2

En la figura anterior (figura 2) se muestra como viajan los datos a travs de una
VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall
que hace la funcin de una pared para engaar a los intrusos a la red, despus los
datos llegan a nube de internet donde se genera un tnel dedicado nicamente
para nuestros datos para que estos con una velocidad garantizada, con un ancho
de banda tambin garantizado y lleguen a su vez al firewall remoto y terminen en
el servidor remoto.
Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios
mviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec,
Frame Relay, ATM como lo muestra la figura siguiente.


Figura 3



1.3 Componentes de una VPN

Los componentes bsicos de una VPN aparecen en la figura 4 y son:
Servidor VPN
Tnel
Conexin VPN
Red pblica de trnsito
Cliente VPN




Figura 4


Para emular un vnculo punto a punto en una VPN, los datos se
encapsulan o empaquetan con un encabezado que proporciona la informacin de
enrutamiento que permite a los datos recorrer la red pblica hasta alcanzar
su destino. Para emular un vnculo privado, los datos se cifran para
asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pblica no se pueden descifrar
si no se dispone de las claves de cifrado. La parte de la conexin en la
cual los datos privados son encapsulados es conocida como tnel. La parte de la
conexin en la que se encapsulan y cifran los datos privados se denomina
conexin VPN.










1.4 Ventajas de una VPN

Dentro de las ventajas ms significativas podremos mencionar la integridad,
confidencialidad y seguridad de los datos.
Reduccin de costos.
Sencilla de usar.
Sencilla instalacin del cliente en cualquier PC Windows.
Control de Acceso basado en polticas de la organizacin
Herramientas de diagnstico remoto.
Los algoritmos de compresin optimizan el trfico del cliente.
Evita el alto costo de las actualizaciones y mantenimiento a las PCs
remotas
2. Arquitectura de una VPN

Existen bsicamente dos tipos de arquitectura para una VPN. Estos son:
VPN de acceso remoto
VPN de sitio a sitio

La VPN de sitio a sitio tambin puede ser llamada VPN LAN a LAN o VPN POP a
POP. Las VPN de sitio a sitio se dividen a su vez en VPN extranet y VPN intranet.
Las VPN de acceso remoto se dividen en VPN Dial-up y VPN directas.
2.1 VPN de acceso remoto

Esta VPN proporciona acceso remoto a una intranet o extranet corporativa.
Una VPN de acceso remoto permite a los usuarios acceder a los recursos
de la compaa siempre que lo requieran. Con el cliente VPN instalado en
un dispositivo, el usuario es capaz de conectarse a la red corporativa, no
importa donde se encuentre.
Las VPN de acceso remoto ahorran costos a las empresas ya que los
usuarios slo necesitan establecer una conexin con un ISP local, pagndose
solamente la llamada local y olvidndose de realizar llamadas de larga
distancia. El cliente de acceso remoto inicia una conexin VPN a travs de
Internet con el servidor VPN de la compaa. Una vez que se ha establecido
el enlace, el usuario puede acceder a los recursos de la intranet privada de la
empresa.
De acuerdo a la tecnologa utilizada para establecer la conexin, las VPN
de acceso remoto se puede dividir en VPN dial-up y VPN directas.

VPN dial-up: En esta VPN, el usuario realiza una llamada local al
ISP utilizando un mdem. Aunque se trata de una conexin lenta es
todava muy comn. El uso de este tipo de VPN se da ms entre los
usuarios mviles, ya que no en todos los lugares a donde se viaja se
pueden tener disponibles conexiones de alta velocidad.

VPNN directa: En esta VPN, se utilizan las tecnologas de conexin
a Internet de alta velocidad, tales como DSL y mdem de cable las cuales
ya ofrecen muchos ISP. Este tipo de VPN se puede encontrar
principalmente entre los teletrabajadores. Actualmente se pueden
obtener conexiones a Internet desde el hogar utilizando estas
tecnologas.

VPN de acceso remoto


2.2 VPN de sitio a sitio

Las VPN de sitio a sitio son utilizadas para conectar sitios geogrficamente
separados de una corporacin. Como ya se explic anteriormente, en las
redes tradicionales las distintas oficinas de una corporacin son conectadas
utilizando tecnologas como T1, E1, ATM o Frame Relay.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet.
El envo de informacin se realiza a travs de una conexin VPN. De esta forma,
se puede crear una WAN utilizando una VPN. Una empresa puede hacer
que sus redes se conecten utilizando un ISP local y establezcan una
conexin de sitio a sitio a travs de Internet.
En base a los problemas comerciales que resuelven, las VPN de sitio a sitio
pueden subdividirse a su vez en VPN intranet y VPN extranet.
VPN intranet: Las VPN intranet se utilizan para la comunicacin
interna de una compaa, como aparece en la figura. Enlazan una
oficina central con todas sus sucursales. Se disfrutan de las mismas
normas que en cualquier red privada. Un enrutador realiza una conexin
VPN de sitio a sitio que conecta dos partes de una red privada. El servidor
VPN proporciona una conexin enrutada a la red a la que est conectado el
servidor VPN.


VPN intranet


VPN extranet: Estas VPN enlazan clientes, proveedores, socios o
comunidades de inters con una intranet corporativa, como se muestra
en la figura. Se puede implementar una VPN extranet mediante
acuerdo entre miembros de distintas organizaciones. Las empresas
disfrutan de las mismas normas que las de una red privada. Sin
embargo, las amenazas a la seguridad en una extranet son mayores
que en una intranet, por lo que una VPN extranet debe ser
cuidadosamente diseada con muchas plizas de control de acceso y
acuerdos de seguridad entre los miembros de la extranet.



VPN extranet

3. Tipos de VPN

Existen diferentes formas de que una organizacin puede implementar una VPN.
Cada fabricante o proveedor ofrece diferentes tipos de soluciones VPN.
Cada corporacin tendr que decidir la que ms le convenga. Los tipos
diferentes de VPN son:
VPN de firewall
VPN de router y de concentrador
VPN de sistema operativo
VPN de aplicacin
VPN de proveedor de servicios

3.1 VPN de firewall

Un firewall (llamado tambin cortafuegos o servidor de seguridad) es un
sistema de seguridad que implanta normas de control de acceso entre dos o ms
redes.
Se trata de un filtro que controla todas las comunicaciones que pasan de una red a
la otra y en funcin de lo que sean permite o deniega su paso. Para
permitir o denegar una comunicacin el firewall examina el tipo de
servicio al que corresponde, como pueden ser el web, el correo o el IRC.
Dependiendo del servicio el firewall decide si lo permite o no. Adems, el
firewall examina si la comunicacin es entrante o saliente y dependiendo de
su direccin puede permitirla o no. Un firewall puede ser un dispositivo software o
hardware.
3.2 VPN de router y de concentrador

Empresas como Cisco, Nortel y 3Com entre otros tambin ofrecen servicios VPN
integrados dentro de un router o un dispositivo llamado concentrador VPN. Tanto
el router como el concentrador VPN estn especialmente diseado para las
conexiones VPN sitio a sitio y acceso remoto. Cuenta con las tecnologas
VPN ms importantes y los mtodos de autenticacin y cifrado para proteger los
datos transmitidos.
Este dispositivo est especialmente diseado para las VPN, por lo que se trata de
la solucin VPN ms rpida. Resulta ser ms fcil agregarles tarjetas con el fin de
incrementar el rendimiento. Dependiendo de la implementacin, estas VPN
pueden configurarse para utilizar certificados, servicios de autenticacin
externos o claves de seguridad.

3.3 VPN de sistema operativo

Los sistemas operativos como Windows de Microsoft, Netware de Novell o
Linux en sus diferentes distribuciones (Red Hat, Debia) ofrecen servicios de VPN
ya integrados. La principal ventaja de esta solucin es que resulta ser econmica
ya que en un mismo sistema operativo se pueden contar con una gran
variedad de servicios (servidor Web, de nombres de dominio, acceso remoto,
VPN) y adems mejora los mtodos de autenticacin y la seguridad del sistema
operativo. Tiene la desventaja de que es vulnerable a los problemas de seguridad
del propio sistema operativo. Estas VPN se utilizan ms para el acceso remoto.

3.4 VPN de aplicacin


Este tipo de VPN es poco comn. Una VPN de aplicacin es un programa
que aade posibilidades VPN a un sistema operativo. Sin embargo, este programa
no queda integrado con el sistema operativo. La ventaja de este tipo de VPN es
que la aplicacin aade seguridad extra a la que podra ofrecer una VPN integrada
al sistema operativo. Un ejemplo de esta VPN es el programa ViPNet de Infotecs.
La desventaja es que estas VPN no soportan una gran cantidad de usuarios y son
mucho ms lentas que una VPN basada en hardware. Si se utilizan en
Internet, son vulnerables a las fallas de seguridad del sistema operativo que
contiene a la aplicacin.
3.5 VPN de proveedor de servicios

Este tipo de VPN es proporcionada por un proveedor de servicios. Al principio las
VPN de proveedor de servicios se basaban en tecnologas tales como X.25
y Frame Relay, posteriormente ATM y SMDS y finalmente se ofrecen redes
basadas en IP. El proveedor de servicios es la empresa propietaria de la
infraestructura tales como equipos y lneas de transmisin que ofrece lneas
dedicadas virtuales a sus clientes.
El cliente se conecta a la red del proveedor de servicios a travs de un dispositivo
de equipo terminal del cliente (CPE) como puede ser un router. El CPE se conecta
a travs de medios de transmisin al equipo del proveedor de servicios, que puede
ser X.25, Frame Relay, un conmutador ATM o un router IP. La lnea virtual que se
le proporciona al cliente mediante el proveedor de servicios se le llama
circuito virtual (VC).
4. Topologas de VPN

La topologa VPN que necesita una organizacin debe decidirse en funcin de los
problemas que va a resolver. Una misma topologa puede ofrecer distintas
soluciones en diferentes compaas u organizaciones. En una VPN podemos
encontrar las siguientes topologas:
Para las VPN de sitio a sitio:
Topologa radial
Topologa de malla completa o parcial
Topologa hbrida
Para las VPN de acceso remoto:
Topologa de acceso remoto

En las VPN basadas en ATM y Frame Relay, los enlaces que conectan las oficinas
centrales con sus sucursales son circuitos virtuales (VC), mientras que en las VPN
basadas en IP como Internet, estos enlaces son los tneles que se establecen a
travs de Internet.


4.1 Topologa radial

En una VPN de sitio a sitio, sta es la topologa ms comn. Aqu, las sucursales
remotas se conectan a un sitio central, como se puede ver en la figura.
Las sucursales podran intercambiar datos entre ellas, sin embargo, este tipo de
datos resulta ser muy insignificante. La mayor parte del intercambio de datos se da
con las oficinas centrales de la compaa. Los datos intercambiados entre
las sucursales siempre viajan a travs del sitio central.


Topologa radial


4.2 Topologa de malla completa o parcial

Esta topologa es implementada en corporaciones que no tienen una
estructura demasiado jerrquica. Aqu, las diversas LAN de la compaa pueden
realizar un intercambio constante de datos entre ellas. Dependiendo de sus
necesidades, una empresa puede utilizar una topologa de malla completa si
todas las LAN se comunican entre s o una topologa de malla parcial, si
slo algunas LAN mantienen intercambio de datos. En la gran mayora de
los casos se utiliza slo malla parcial.

Tipologa de malla completa Tipologa de malla parcial


4.3 Topologa hbrida

Las redes VPN grandes combinan la topologa radial con la topologa de
malla parcial. Como ejemplo, una empresa multinacional podra tener acceso
a redes implementadas en cada pas con una topologa radial, mientras que
la red principal internacional estara implementada con una tecnologa de malla
parcial.

4.4 Topologa de acceso remoto

Esta topologa consiste en un enlace punto a punto entre el usuario remoto
y la oficina central utilizando tramas tunneling PPP intercambiadas entre el
usuario remoto y el servidor VPN. El usuario y el servidor establecen conectividad
usando un protocolo de capa 3, siendo el ms comn IP, sobre el enlace PPP
entunelado e intercambian paquetes de datos sobre l.

5. Requerimientos de una VPN

Una VPN debe de contar con ciertos requerimientos que permitan que
valga la pena el uso de esta tecnologa. Sin estos requerimientos, las VPN
no podrn ofrecer la calidad necesaria que requieren las organizaciones para un
desempeo ptimo. Una solucin VPN debe ofrecer los siguientes requerimientos:
Autenticacin de usuarios
Control de acceso
Administracin de direcciones
Cifrado de datos
Administracin de claves
Soporte a protocolos mltiples
Ancho de banda

5.1 Autenticacin de usuarios

La autenticacin es uno de los requerimientos ms importantes en una VPN. Cada
entidad participante en una VPN debe de identificarse a s misma ante
otros y viceversa. La autenticacin es el proceso que permite a los diversos
integrantes de la VPN verificar las identidades de todos.
Existen muchos mecanismos de autenticacin pero el ms popular de todos ellos
es la Infraestructura de Claves Pblicas (PKI, Public Key Infraestructure), el
cual es un sistema basado en la autenticacin por medio de certificados.
Cada integrante de una VPN se autentica intercambiando los certificados de cada
uno, los cuales estn garantizados por una autoridad de certificacin (CA,
Certification Authority) en la que todos confan.

5.2 Control de acceso

El control de acceso en una red est definido como el conjunto de plizas
y tcnicas que rigen el acceso a los recursos privados de una red por
parte de usuarios autorizados. Una vez que un usuario ha sido autenticado, se
debe definir a qu recursos de la red puede tener acceso dicho usuario. Los
diferentes tipos de VPN, ya sea de firewalls, sistemas operativos, etc; son
responsables de gestionar el estado de la conexin del usuario. La VPN
debe administrar el inicio de una sesin, permitir el acceso a ciertos
recursos, continuar una sesin, impedir el acceso de recursos y terminar una
sesin.
El conjunto de reglas y acciones que definen el control de acceso se
denomina pliza de control de acceso. Un servidor RADIUS puede administrar el
control de acceso basndose en la pliza. Un ejemplo de una regla de
control de acceso sera que el servidor permitiera el acceso slo los usuarios de
acceso remoto que no han rebasado un determinado uso de horas de la red.

5.3 Administracin de direcciones

Un servidor VPN debe de asignar una direccin IP al cliente VPN y asegurarse de
que dicha direccin permanezca privada. Est claro que IP no es un
protocolo seguro y se puede ver esto en la inseguridad de Internet. Las
direcciones deben ser protegidas con fuertes mecanismos de seguridad, esto
es, deben usarse tcnicas que permitan la ocultacin de la direccin privada
dentro de una red pblica.
La tecnologa ms utilizada para ocultar la informacin es el tunneling. El tunneling
es una tcnica que encapsula los datos (incluyendo la direccin destino
privada) dentro de otro conjunto de datos. As, el contenido de los paquetes
encapsulados se vuelve invisible para una red pblica insegura como
Internet. Existen muchas tecnologas de tunneling, cada una de ellas con sus
ventajas y desventajas. Otra tecnologa alterna al tunneling es MPLS, donde
se hace uso de un sistema de etiquetas para transmitir informacin. MPLS
es una tecnologa que realizar grandes cambios a los mtodos tradicionales
de enrutamiento y de la forma de crear tneles.

5.4 Cifrado de datos

Cifrar o encriptar los datos es una tarea esencial de una VPN. Aunque se puedan
encapsular los datos dentro de un tnel, estos todava pueden ser ledos si no se
implementan fuertes mecanismos de cifrado de la informacin. El cifrado es
un conjunto de tcnicas que intentan hacer inaccesible la informacin a personas
no autorizadas. El texto sin cifrar se le denomina texto nativo, mientras que
el texto cifrado se le denomina texto cifrado. Antes de enviar la informacin,
el servidor VPN cifra la informacin convirtindolo en texto cifrado. El
receptor de la informacin descifra la informacin y la convierte en texto nativo.
Al principio los algoritmos de encriptacin se mantenan en secreto. Sin embargo,
cuando el algoritmo era roto, toda la informacin protegida con dicho algoritmo se
volva vulnerable. Por consiguiente, actualmente los algoritmos se hacen pblicos.
Existen muchos tipos de algoritmos de cifrado muy fuertes utilizados en las
VPN entre los que podemos encontrar 3DES, Diffie-Hellman, MD5, RSA y SHA-1.
Puesto que el algoritmo de cifrado es conocido por todos, es necesario
implementar tcnicas para poder mantener los datos seguros. Esto se logra
mediante el uso de claves. Una clave es un cdigo secreto que el
algoritmo de encriptacin utiliza para crear una nica versin de texto
cifrado. Mientras la longitud en bits de esta clave sea ms grande, ms
difcil ser descifrar una informacin.
5.5 Administracin de claves

En una VPN, es importante la administracin de claves. Para asegurar la
integridad de una clave pblica, sta es publicada junto con un certificado.
Un certificado es una estructura de datos firmada digitalmente por una
organizacin conocida como autoridad de certificacin (CA) en la cual todos
confan. Una CA firma su certificado con su clave privada. Un usuario que utiliza
la clave pblica de la CA podr comprobar que el certificado le pertenece a dicha
CA y por lo tanto, la clave pblica es vlida y confiable.
En una VPN pequea no es muy necesario establecer una infraestructura
de administracin de claves. Sin embargo, las grandes compaas obtendrn
muchos beneficios si hacen crean una Infraestructura de Claves Pblicas (PKI)
para poder crear y distribuir certificados. Una corporacin puede crear su propia
CA o confiar en una CA de terceros. Una PKI es muy til en aquellas
organizaciones que requieren de mucha seguridad y acceso limitado a sus
usuarios.

5.6 Soporte a protocolos mltiples

Para que una solucin VPN sea viable, es necesario tambin que sta
pueda ofrecer soporte a mltiples protocolos. Esto incluye el soporte a protocolos
de red que no sean IP como pueden ser AppleTalk, IPX y NetBEUI. PPTP soporta
varios protocolos de red. IPSec slo puede ser utilizado en redes basadas
en IP, pero siempre es posible encapsular los protocolos no compatibles dentro
de un paquete IP, de modo que puedan ser transportados. En cuanto a L2TP, este
protocolo VPN no slo puede ser implementado en redes IP, sino tambin
en ATM y Frame Relay.

5.7 Ancho de banda

El ancho de banda es tambin un requerimiento importante en una VPN.
En el mundo de las redes existe un concepto que define la forma de
administrar el ancho de banda con el fin de que el trfico de una red fluya
de forma eficiente. Dicho concepto es la Calidad de Servicio (QoS, Quality of
Service). La QoS es una caracterstica muy importante de una VPN. Una solucin
VPN no estar completa si no proporciona formas para el control y administracin
del ancho de banda.
La calidad del servicio tambin se refiere al nmero de conexiones simultneas (la
cantidad de tneles que pueden ser establecidos entre un sitio remoto y el
sitio central) que puede soportar una VPN y la forma cono sta afecta al
rendimiento de la VPN.
Es preciso tambin asegurarse que una VPN puede cifrar y descifrar los paquetes
transmitidos a una velocidad adecuada, ya que algunos algoritmos de cifrado son
lentos y si no se tiene un buen procesador el rendimiento se ver
afectado. Es importante mencionar que el valor nominal de velocidad de los
dispositivos de redes (por ejemplo 100 Mbps) nunca se cumple en la
realidad y que eso habr que tomarse en cuenta a la hora de implementar una
VPN.

Conclusin

Las VPN representan una gran solucin para las empresas en cuanto a seguridad,
confidencialidad e integridad de los datos y prcticamente se ha vuelto un tema
importante en las organizaciones, debido a que reduce significativamente el costo
de la transferencia de datos de un lugar a otro, el nico inconveniente que
pudieran tener las VPN es que primero se deben establecer correctamente las
polticas de seguridad y de acceso porque si esto no est bien definido pueden
existir consecuencias serias