Resumen
Las redes VPN proporcionan principalmente dos ventajas:
Bajo coste de una VPN:
Una forma de reducir coste en las VPN es eliminando la necesidad de largas líneas de coste elevado. Con las VPN, una organización sólo necesita una conexión relativamente pequeña al proveedor del servicio.
Otra forma de reducir costes es disminuir la carga de teléfono para accesos remotos. Los clientes VPN sólo necesitan llamar al proveedor del servicio más cercano, que en la mayoría de los casos será una llamada local.
Escalabilidad de las VPNs: Las redes VPN evitan el problema que existía en el pasado al aumentar las redes de una determinada compañía, gracias a Internet. Internet simplemente deriva en accesos distribuidos geográficamente.
Las redes VPN contraen cuatro inconvenientes:
Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes públicas y tomar precauciones en su desarrollo.
Las redes VPN dependen de un área externa a la organización, Internet en particular, y por lo tanto depende de factores externos al control de la organización.
Las diferentes tecnologías de VPN podrían no trabajar bien juntas.
Las redes VPN necesitan diferentes protocolos que los de IP.
Se estima que una solución VN para una determinada empresa puede reducir sus costes entre un 30% y un 50% comparada con las conexiones punto a punto.
Hay dos aplicaciones principales para las redes VPN:
Teletrabajo: Es la solución ideal, por su efectividad y sus bajos costes, para aquellas organizaciones que necesiten que sus empleados accedan a la red corporativa, independientemente de su ubicación geográfica.
VPN Empresa: Solución de conectividad entre sucursales de la empresa o entre la empresa y sus socios, proveedores, etc. Gracias a su flexibilidad se adapta al tamaño y necesidades de la organización.
Categorías y Descriptores de Temas
D.3.3 [Lenguajes de programación]: Constructores de lenguaje y características – tipos abstractos de datos, el polimorfismo, las estructuras de control. Esto es solo un ejemplo, por favor, utilice la categoría correcta y los descriptores de materia para su presentación. El sistema de clasificación de Computo ACM: http://www.acm.org/class/1998/
Términos Generales
Hace unos años no era tan necesario conectarse a Internet por motivos de trabajo. Conforme ha ido pasado el tiempo las empresas han visto la necesidad de que las redes de área local superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros edificios, ciudades, comunidades autónomas e incluso países.
Desgraciadamente, en el otro lado de la balanza se encontraban las grandes inversiones que era necesario realizar tanto en hardware como en software y por supuesto, en servicios de telecomunicaciones que permitiera crear estas redes de servicio.
Afortunadamente con la aparición de Internet, las empresas, centros de formación, organizaciones de todo tipo e incluso usuarios particulares tienen la posibilidad de crear una Red privada virtual (VPN) que permita, mediante una moderada inversión económica y utilizando Internet, la conexión entre diferentes ubicaciones salvando la distancia entre ellas.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carácter privado, únicamente a personal autorizado, de una empresas, centros de formación, organizaciones, etc.; cuando un usuario se conecta vía Internet, la configuración de la red privada virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma como si estuviera tranquilamente sentado en su oficina.
Palabras clave
Red privada virtual, servicio de acceso remoto, Protocolo de internet seguro, protocolo de Internet, concentradores, criptografía, encriptación.
Introducción
Una Red Privada Virtual (VPN) consiste en dos máquinas (una en cada "extremo" de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point Protocol, también conocido como PPP, un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa (también remota, LAN o WAN) por un dispositivo PPTP.
Una Red Privada Virtual es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas. Es una red de datos de gran seguridad que permite la transmisión de información confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisión. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos.
Así,
Así, las VPN constituyen una estupenda combinación entre la seguridad y garantía que ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del acceso a través de Internet. Esta combinación hace de las Redes Privadas Virtuales o VPNs una infraestructura confiable y de bajo costo que satisface las necesidades de comunicación de cualquier organización.
Las VPNs permiten:
La administración y ampliación de la red corporativa al mejor costo-beneficio.
La facilidad y seguridad para los usuarios remotos de conectarse a las redes corporativas.
Los requisitos indispensables para esta interconectividad son:
Políticas de seguridad.
Requerimiento de aplicaciones en tiempo real.
Compartir datos, aplicaciones y recursos.
Servidor de acceso y autentificación.
Aplicación de autentificación.
Ventajas e inconvenientes de las VPN
¿Cuándo usar una VPN?
La principal ventaja de usar una VPN es que permite disfrutar de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada: bases de datos, documentos internos, etc. a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
Entre los inconvenientes podemos citar: una mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos una vez más, situación que se agrava cuando además se realiza encriptación de los datos que produce una mayor relentización de la mayoría de conexiones. También se produce una mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP)
Se recomienda usar el servicio de VPN en aquellos casos en que, teniendo una conexión a un proveedor de acceso a Internet, se quiera disponer de un servicio sólo autorizado a los ordenadores de la delegación o una salida a Internet que sea más conveniente usando las líneas de salida de la central/delegación. Por ejemplo: desde una conexión telefónica desde casa al proveedor YYYY que me asigna como dirección a mi ordenador 111.111.yyy.yyy quiero acceder a las bases de datos de la oficina que sólo permiten el acceso a ordenadores con direcciones 147.156.xxx.xxx
Hay que recordar que una vez establecida la conexión VPN, la dirección del ordenador cliente pasa a ser una dirección IP 147.156.xxx.xxx y con nombre xxxxx.central.es y a todos los efectos conectado a la red de la central, por lo que será necesario configurar adecuadamente los programas para acceder a dicha red, en particular, recordar configurar el proxy/cache para dicha red y el servidor de correo saliente como.
El uso de encriptación en la conexión VPN puede ser necesario en aquellos casos que la información que se vaya pasar por el túnel sea sensible y requiera privacidad. La conexión encriptada VPN requiere de bastantes recursos tanto en el servidor de túnel como en el ordenador cliente de VPN, aparte de requerir la instalación de software especial en el cliente. Hay que recordar que muchas aplicaciones y programas ya hacen dicha encriptación y el encriptar el túnel VPN no nos aporta seguridad adicional. Aplicaciones tales como el correo seguro leído por medio del interface web seguro https://correo.central.es o una conexión ssh a una maquina multiusuario son suficientemente seguras para no requerir la encriptación adicional, a parte que al encriptar entre el servidor de la aplicación y el cliente de la misma la conexión es absolutamente segura en todo su recorrido, mientras que en un conexión VPN segura la encriptación sólo tiene lugar entre el servidor de túnel y el cliente VPN y la conexión entre el servidor de túneles y el servidor de la aplicación se realiza sin encriptación.
En ocasiones puede ser interesante que la comunicación que viaja por el tunel establecido en la red pública vaya encriptada para permitir una mayor confidencialidad. La forma más avanzada más utilizada de encriptación es el IPSec
La comunicación segura con el protocolo IPSec usando Internet como transporte permite unir informáticamente organizaciones de forma permanente a un costo casi despreciable.
Tipos de VPN
Las formas en que pueden implementar las VPNs pueden ser basadas en HARDWARE o a través de SOFTWARE, pero lo mas importante es el protocolo que se utilice para la implementación.
Las VPNs basadas en HARDWARE utilizan básicamente equipos dedicados como por ejemplo los routers, son seguros y fáciles de usar, ofreciendo gran rendimiento ya que todos los procesos están dedicados al funcionamiento de la red a diferencia de un sistema operativo el cual utiliza muchos recursos del procesador para brindar otros servicios, en síntesis, los equipos dedicados son de fácil implementación y buen rendimiento, solo que las desventajas que tienen son su alto costo y que poseen sistemas operativos propios y a veces también protocolos que son PROPIETARIOS.
Existen diferentes tecnologías para armar VPNs:
-DLSW: Data Link Switching(SNA over IP)
-IPX for Novell Netware over IP
-GRE: Generic Routing Encapsulation
-ATMP: Ascend Tunnel Management Protocol
-IPSEC: Internet Protocol Security Tunnel Mode
-PPTP: Point to Point Tunneling Protocol
-L2TP: Layer To Tunneling Protocol
Entre los más usados y con mejor rendimiento estarían Ipsec y PPTP, aunque a este ultimo se le conocen fallas de seguridad.
Configuración de una VPN bajo LINUX
Hay, básicamente1, dos formas de crear una conexión vpn a nuestra red. La primera se aplica a distribuciones antiguas y utiliza el cliente pptp-client, la segunda se aplica a distribuciones modernas y se basa en el uso de network manager.
Puede consultar en el siguiente cuadro que forma debe utilizar en función de su distribución.
Configuración mediante pptp-client
Dado que no podemos explicar cómo se hace la conexión en todas las distribuciones, vamos a explicar paso a paso la conexión en una distribución concreta, como ejemplo, y remitimos al usuario a la página web del desarrollador para unas instrucciones más adaptadas a su distribución en concreto.
A continuación se describe la forma de instalar el programa pptp-client, en la distribución Fedora Core 2. Si tiene una distribución distinta acceda a la página:
http://pptpclient.sourceforge.net y siga las instrucciones para su distribución y pase al apartado tres de este documento.
Este documento es una traducción adaptada a las circunstancias de la UCM, del documento que se puede encontrar en la url
http://pptpclient.sourceforge.net/howto-fedora-core-2.phtml
Instalación del programa pptpclient
2. Instalación del módulo mppe:
MPPE es el protocolo de encriptación de Microsoft utilizado por la vpn, definido en la RFC3078. descargar el paquete dkms rpm (mirror link) e instalarlo:
# rpm –install dkms-1.12-2.noarch.rpm
descargar el paquete kernel_ppp_mppe dkms rpm e instalarlo:
# rpm –install kernel_ppp_mppe-0.0.4-2dkms.noarch.rpm
Para probar que el módulo se carga correctamente.
# modprobe ppp-compress-18 && echo success
3. Instalación del programa pptpclient
Descargar el paquete ppp rpm (mirror link) and upgrade to it like this:
# rpm –install pptp-linux-1.5.0-1.i386.rpm
descargar el paquete del programa de configuración php-pcntl rpm (mirror link) e instalarlo:
# rpm –upgrade ppp-2.4.3-0.cvs_20040527.4.fc2.i386.rpm
Descargar el paquete del programa PPTP client pptp rpm (mirror link) e instalarlo:
# rpm –install php-pcntl-4.3.8-1.i386.rpm
Descargar el paquete del programa de configuración GTK+ php-gtk-pcntl rpm
(mirror link) e instalarlo:
# rpm –install php-gtk-pcntl-1.0.0-2.i386.rpm
Descargar el paquete del programa de configuración pptpconfig rpm (mirror link) e instalarlo:
# rpm –install pptpconfig-20040722-0.noarch.rpm
4. Configuración del programa pptpclient
Los datos que necesita para establecer la conexión son los siguientes:
a.nombre del servidor de vpn: tunel.ucm.es.
b.su login qué estara formado por la parte que está a la izquierda de la arroba de su dirección de correo seguido de pdi.ucm.es si es personal docente o pas.ucm.es si es personal laboral.
Por ejemplo si su dirección de e-mail es [email protected] y es personal docente su login será [email protected]
Si si dirección de e-mail es [email protected] y es presonal laboral su login será [email protected]
c.su contraseña (la habitual que usa para e-mail)
1 Ejecute pptpconfig como root, y aparecerá una ventana como esta:
2- En la pestaña servidor poner el nombre del servidor su login y su contraseña.
3- En la pestaña de encriptación seleccionar justo lo que aparece seleccionado en el gráfico de abajo.
4-Cliquear añadir el la conexión aparecerá en la ventana de la parte superior.
5-Cliquear sobre el nombre del tunel, y después el botón Start. Aparecerá una ventana con información acerca del estado de la conexión.
Si hemos finalizado la conexión con éxito nos aparecerá en la ventana pptpconfig pppd process exit status o (started) y habremos obtenido una dirección ip dinámica en la red 147.96.68.X
Si tecleamos el comando ifconfig -a nos aparecerá una interface de red
Llamada ppp1 o ppp0 con la dirección ip dinámica obtenida.
Si da error de cache proxy arp, ir a la pestaña de miscellaneus y en options poner noarpproxy.
Solucionar problemas
Problemas con el firewall
Es caso de haber instalado el programa y no haber podido establecer la conexión. Verificar que no hay ningún firewall que esté bloqueando la conexión.
La conexión por Vpn utiliza el puerto tcp 1723. Para abrirlo podemos utilizar el siguiente comando:
Iptables –A OUTPUT –p tcp –dport 1723 –j ACCEPT
O podemos instertar en nuestro script de inicio de iptables
–A OUTPUT –p tcp –dport 1723 –j ACCEPT
Problemas con las rutas
En el caso de que nuestra distribución no gestione bien las rutas y a pesar de haber establecido bien la conexión no accedamos a los servidores de la UCM ejecutaremos el siguiente comando:
route add –host [ip de túnel.ucm.es] gw [ip del Gateway de la conexión utilizada para direccionar el
tunel] dev [dispositivo desde el que nos conectamos al túnel] por ejemplo para un equipo que se conecta a la vpn a través de la red inhalámbrica ucm de la Universidad Complutense elcomando sería.
route add -host 147.96.68.2 gw 147.96.112.1 dev eth2
3.5 Referencias y Citas
Las Notas al pie de página debe ser Times New Roman de 9-puntos, y justificando en todo el ancho de la columna.
Utilice el estándar de comunicaciones de la ACM para el formato de referencias – es decir, una lista numerada al final del artículo, ordenar alfabéticamente por el primer autor, y se hace referencia por los números entre corchetes [1]. Véanse los ejemplos de citas al final de este documento. Dentro de este archivo de plantilla, utilice el estilo llamado referencias para el texto de su cita.
Las referencias también se encuentran en 9 pt., Pero esa sección (véase la Sección 7) esta alineada a la derecha. Las referencias deberán publicar materiales accesibles al público. Sólo pueden citarse los informes técnicos interiores si ellos son fácilmente accesibles (es decir, puede dar la dirección para obtener el informe en el interior de su cita) y pueda obtenerse por cualquier lector La información propia no debe citarse. Los Comunicados privados deben reconocerse, no se hacen referencia (por ejemplo, "[Robertson, comunicación personal] ").
Referencias
Scott, Charly, Wolfe, Paul, Erwin, Mike: "Virtual Private Networks", 2° edición, O"Reilly & Associates, Enero 1999.
Universidad de Valencia: http://www.uv.es/ciuv/cas/vpn/
OpenBSD: http://www.openbsd.org/faq/faq13.html
Gutiérrez González, Ma. Nieves, Sancho Buzón, Ana Rosa, Casas Cuadrado, Amadeo: Estudio sobre las VPN (Redes Privadas Virtuales), http://www.infor.uva.es/~jvegas/docencia/ar/seminarios/VPN.pdf
Valencia, A., Townsley, W., Rubens, A., Pall, G., Zorn, G., Palter, B.: RFC 2661,1999.
http://www.monografias .com/
http://www.vpnlabs.org/
http://compnetworking.about.com/
http://www.pcworld.com/
http://www.homenethelp.com/
http://www.infoworld.com/
http://www.rad.com/networks/
http://www.nwfusion.com/
http://www.vpnlabs.org/all-vpn-categories.html
http://madridwireless.net/vpnd
http://www.xtech.com.ar/html/NuevasSoluciones.htm
http://adslnet.ws/vpn.htm
http://adslnet.ws/vpn_server.htm
http://www.canariasi.com/pg/vpn.html
http://www.canariasi.com/pg/vpntecnica.html
http://www.adpsoft.com/Linux/servicios.htm
http://congreso.hispalinux.es/actividades/ponencias/rodriguez/html/x28.html
http://www.gulp.org.mx/articulos/vpn.html
http://www.entarasys.com/la
http://www.cisco.com/warp/public/44/solutions/network/vpn
Autor:
Gerardo Valdez Balcazar
Universidad Pública del Alto
Carrera de Ingeniera de Sistemas
7º Semestre "B"