Redes de Comunicaciones en PDF.
Subsecciones
Se entiende por VPN (Virtual Private Network) la construcción
de una red privada (intranet) sobre otra red, generalmente
pública como Internet, de manera que se utiliza la red inicial como
un enlace de nivel 2 para montar sobre él una red privada de nivel 3
(transportando protocolos de nivel 3 como IP, NetBEUI, IPX,
SNA...).
Para conseguir esta abstracción se basa en el concepto de túnel que
consiste en un enlace punto a punto virtual entre dos extremos
construido sobre una red compleja, de manera que los dos extremos se
comportan a nivel lógico como si estuvieran unidos directamente por
un enlace punto a punto.
Los paquetes se encapsulan en un extremo del túnel dentro de otros
paquetes para cruzar la red. En el otro extremo se desempaquetan los
datos que pueden haber viajado comprimidos y cifrados (para que la red
sea ``privada'').
Desde el punto de vista de la seguridad, los protocolos que se utilizan
para montar VPNs ofrecen:
- Autenticidad de los extremos. Cuando se utilizan
certificados, se garantiza que tanto el emisor como el receptor son
quienes dicen ser.
- Cifrado de datos. Permite que no puedan ser comprendidos
por extraños que los pudiera interceptar.
- Integridad de los datos. Asegura que los datos no puedan
ser alterados en algún punto del recorrido sin que el receptor lo
detecte.
- No repudio. Cuando un mensaje va firmado el emisor no
puede negar su emisión.
Se puede utilizar VPN sobre una red pública para realizar dos tipos
básicos de conexión:
- Acceso remoto. También llamada Remote Access
VPN, client-gateway o usuario-red. Permite unir virtualmente
un equipo remoto a una red.
- Interconexión de redes. También llamada Site
to Site VPN, Router to Router VPN, gateway-gateway o
red-red. Permite unir virtualmente dos redes para crear una única
red.
De manera similar, se puede utilizar VPN sobre una red privada para
acceder a una subred protegida y/u oculta de dos maneras básicas:
- Acceso privado. Permite controlar el acceso a la subred
oculta y cifrar el tráfico hacia dicha red.
- Interconexión de redes privadas. Permite unir dos
subredes protegidas y/u ocultas cifrando el tráfico entre ellas.
Para poder configurar cualquier VPN hace falta al menos un servidor de
VPN por cada red que forma parte de la VPN, y un cliente de VPN por
cada cliente de acceso remoto que se conecta a la misma. El servidor
VPN es el encargado de autenticar la conexión (o delegar dicha
función) y permitir la comunicación entre la red y el otro extremo
de la VPN.
Para la realización de VPNs se utiliza habitualmente dos controladores
virtuales de red llamados TAP y TUN. TAP (de
network tap) simula un
dispositivo de red de nivel 2 y opera con paquetes Ethernet. TUN (de
network TUNnel) simula un
dispsitivo de red de nivel 3 y opera con paquetes IP. TAP se utiliza
para crear el puente de red y TUN para encaminar los paquetes por dicho
puente.
En una conexión VPN de acceso remoto, el cliente, a través del
protocolo IPCP (IP Control Protocol) de PPP
(Point-to-Point Protocol) recibe del servidor VPN los
parámetros de la configuración IP de su conexión virtual,
incluyendo dirección IP, máscara de red y direcciones IP de los
servidores DNS y WINS de la intranet.
Después de crear el túnel, el cliente pasa a tener 2 interfaces de
red y 2 direcciones IP:
- La interfaz con la que conecta a la red principal (generalmente
Internet) y que utiliza para conectar con el servidor VPN.
- La interfaz virtual PPP con la configuración IP que le ha dado
el servidor de túneles y que establece una ubicación virtual dentro
de la red destino.
Además la tabla de rutas se modifica para que el tráfico hacia la
red privada se envíe por el túnel VPN y opcionalmente también el
tráfico hacia Internet -lo que permite usar los filtros y servidores
de la red privada, normalmente a cambio de reducir el rendimiento-.
De la misma manera el servidor VPN se encarga de recibir el tráfico
destinado al equipo remoto y reenviárselo.
Antes de las VPN para conseguir un acceso remoto a una red se utilizaban
sistemas RAS (Remote Access Service)47 mediante PoPs (Point of Presence)
de forma parecida al de las conexiones que ofrecían los proveedores
de Internet (ISPs) a través de módems telefónicos. De esta forma
un cliente llama mediante módem telefónico al servidor RAS de su
organización, se valida mediante un servidor RADIUS o TACACS y
establece la conexión. Opcionalmente el servidor RAS puede
configurarse para devolver la llamada, cargando el gasto de la misma a
la organización.
Las principales ventajas de la conexión VPN frente a la conexión
mediante RAS son:
- Para clientes de acceso remoto vía módem supone una
reducción del coste de las llamadas, ya que conecta a un proveedor
local de Internet y no a un servidor RAS de la organización remota.
- Reducción del coste de los equipos y líneas de entrada (RDSI)
que representa el RAS.
- Escalabilidad. Es mucho más fácil y barato de añadir
servidores VPN que líneas de acceso y equipos de RAS.
- Permite acceso a mayor velocidad que la de un módem telefónico
mediante el uso de cable-modems, xDSL u otras redes.
Otra diferencia es que al usar RAS se dispone únicamente de una sola
interfaz de red, la del cliente RAS o PPP.
La conexión de redes a través de Internet es una alternativa a las
líneas alquiladas que permite reducir costes, ya que suele ser más
barato conectar las dos redes a Internet que alquilar una línea para
unirlas, sobre todo si están muy alejadas. Sin embargo esta
alternativa tiene dos grandes inconvenientes, la falta de seguridad de
Internet y el rendimiento, que es mucho menor que el de una línea
dedicada. Para suplir el primero de ellos se utilizan las VPNs de
interconexión de redes que ofrece seguridad en el túnel entre
servidores VPN (no en las conexiones locales equipo-servidor).
Otras ventajas:
- Toda la configuración necesaria se realiza en los encaminadores
o servidores VPN, de manera transparente al usuario.
- Permite transportar otros protocolos diferentes a IP que no pueden
ser transportados sobre Internet si no es con túneles (IPX, Appletalk
, SNA, NetBEUI, etc).
- Se puede introducir compresión de datos para aprovechar mejor
los enlaces.
- Se puede utilizar el mismo rango -público o privado- de
direcciones IP en todas las redes.
Notas al pie
- ... Service)47
- Actualmente el
servicio de Windows que gestiona las VPNs se sigue llamando RRAS
(Routing and RAS).
2009-05
 2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.
|
Redes de Comunicaciones, LAN, WAN, ISO OSI, IP, Ethernet, IEEE 802.11, Wi-Fi, PDH, RDSI, Frame-Relay, xDSL, CATV, VPN, H.323, SIP, Multimedia
