1

VPN (Red Privada Virtual)

Red Privada Virtual (VPN) es una tecnología de red que permite una
extensión de una red local y privada que utiliza como medio de enlace una red
pública o no controlada como por ejemplo, Internet.

Esta tecnología es muy útil para establecer redes que se extienden sobre áreas
geográficas extensas, por ejemplo diferentes ciudades y a veces hasta países y
continentes, la idea de implementar una VPN haría reducir notablemente los
costos de comunicación, dado que las llamadas telefónicas (en caso de usar dial-
up) serian locales(al proveedor de Internet) o bien utilizar conexiones DSL, en
tanto que de otra manera habría que utilizar líneas dedicadas las cuales son muy
costosas o hacer tendidos de cables que serian mas costosos aún.
(http://www.juliovas.com)

Figura 1: Diagrama lógico de una VPN. (Fuente: PERULINUX S.A.C)

2.2.1.1. Ventajas de una VPN

Las ventajas mas relevantes que presentan las VPN podemos mencionar:

 Seguridad: provee encriptación y encapsulación de datos de manera

que hace que estos viajen codificados y a través de un túnel.

 Costos: ahorran grandes sumas de dinero en líneas dedicadas o enlaces

físicos.

 Mejor administración: cada usuario que se conecta puede tener un

número de IP fijo asignado por el administrador, lo que facilita algunas
tareas como por ejemplo mandar impresiones remotamente, aunque
 2
también es posible asignar las direcciones IP dinámicamente si así se
requiere.

 Facilidad: para los usuarios con poca experiencia para conectarse a

grandes redes corporativas transfiriendo sus datos de forma segura.

2.2.1.2. Inconvenientes de una VPN

Entre los inconvenientes podemos mencionar:

o Una mayor carga en el cliente VPN, puesto que debe realizar la tarea
adicional de encapsular los paquetes de datos una vez más, situación
que se agrava cuando además se realiza encriptación de los datos que
produce una mayor ralentización de la mayoría de conexiones.

o Una mayor complejidad en el tráfico de datos que puede producir

efectos no deseados al cambiar la numeración asignada al cliente VPN
y que puede requerir cambios en las configuraciones de aplicaciones o
programas (proxy, servidor de correo, permisos basados en nombre o
número IP).

2.2.1.3. Aportes de una VPN

 Confidencialidad: Los datos que circulan por el canal solo pueden ser
leídos por el emisor y el receptor. (Encriptación).

 Autenticidad: El emisor y el receptor son capaces de determinar en

forma inequívoca sus identidades de forma que no exista ninguna duda
sobre las mismas. (Mensajes con desafíos).

 Integridad: Debe quedar garantizada la integridad de los datos, entre

emisor y receptor. Los datos no pueden ser modificados por terceros.
(Firmas Digitales)

Pero para poder proporcionar lo antes mencionado tenemos

requerimientos básicos:

o Encriptación de datos: corresponde a una tecnología que permite

la transmisión segura de información, al codificar los datos
transmitidos usando una fórmula matemática que "desmenuza" los
datos.
 3
o Autenticación de servidor y cliente: las VPNs deben verificar la
identidad de los usuarios y restringir su acceso a aquellos que no se
encuentren autorizados.
o Tunneling (tunelado): La mayoría de las VPNs utilizan el
"Tunneling" para comunicarse a través de Internet. En esencia el

Tunneling es el proceso de colocación de cada paquete de

información que se envía dentro de otro paquete que hace de
"envoltorio".

2.2.1.4. Formas de Implementación

Cabe mencionar que las formas en que pueden implementar las VPNs
pueden ser basadas en HARDWARE, FIREWALLS o a través de
SOFTWARE, pero lo más importante es el protocolo que se utilice para la
implementación.

 Basadas en Hardware.- Las soluciones de hardware casi siempre

ofrecen mayor rendimiento y facilidad de configuración, aunque no
tienen la flexibilidad de las versiones por software. Dentro de esta familia
tenemos a los productos de Nortel, Cisco, Linksys, Netscreen, Symantec,
Nokia, US Robotics, D-link etc.

 Basadas en Cortafuegos.- En este caso, se obtiene un nivel de seguridad

alto por la protección que brinda el cortafuego, pero se pierde en
rendimiento. Muchas veces se ofrece hardware adicional para procesar la
carga VPN. Por ejemplo: Checkpoint NG, Cisco Pix.

 Basadas en Software.- Las aplicaciones VPN por software son las más
configurables y son ideales cuando surgen problemas de
interoperatividad en los modelos anteriores. Obviamente el rendimiento
es menor y la configuración más delicada, porque se suma el sistema
operativo y la seguridad del equipo en general. Aquí tenemos por
ejemplo a las soluciones nativas de Windows, Linux y los
Unix en general. Por ejemplo productos de código abierto (Open Source)
como OpenSSH, OpenVPN y FreeS/Wan.

En síntesis, los equipos dedicados son de fácil implementación y buen

rendimiento, solo que las desventajas que tienen son su alto costo y que
 4
poseen sistemas operativos propios y a veces también protocolos que son
Propietarios.

2.2.1.5. Tipos de VPN

 VPN de acceso remoto.- Éste es quizás el modelo más usado

actualmente y consiste en usuarios o proveedores que se conectan con
la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel,
aviones, etc.) utilizando Internet como vínculo de acceso.

Figura 2: Diagrama de VPN en Acceso Remoto. (Fuente: PERULINUX S.A.C)

 VPN punto a punto.- Este esquema se utiliza para conectar oficinas

remotas con la sede central de organización. Los servidores de las
sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet, típicamente mediante conexiones de
banda ancha.

Esto permite eliminar los costosos vínculos punto a punto

tradicional, sobre todo en las comunicaciones internacionales. Es
más común el punto anterior, también llamada tecnología de túnel o
tunneling.

Figura 3: Diagrama de VPN de Punto a Punto. (Fuente: PERULINUX S.A.C)

  VPN Interna.- Este esquema es el menos difundido pero uno de
los más poderosos para utilizar dentro de la empresa. Es una
variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de
conexión, emplea la misma red de área local (LAN) de la empresa.

Figura 4: Diagrama de VPN Interna. (Fuente: PERULINUX S.A.C)

2.2.2. P rotocolos

En informática un protocolo es un conjunto de reglas usadas por

computadoras para comunicarse unas con otras a través de una red. Un
protocolo es una convención o estándar que controla o permite la conexión,
comunicación, y transferencia de datos entre dos puntos finales. En su forma
más simple, un protocolo puede ser definido como las reglas que dominan la
sintaxis, semántica y sincronización de la comunicación. Los protocolos
pueden ser implementados por hardware, software, o una combinación de
ambos. A su más bajo nivel, un protocolo define el comportamiento de una
conexión de hardware. (Hayden M.1999)

2.2.2.1. Protocolos de VPN

Por mencionar algunos protocolos tenemos:

 DLSW: Data Link Switching(SNA over IP)

 IPX for Novell Netware over IP

 RE: Generic Routing

Encapsulation
  TMP: Ascend Tunnel Management
Protocol
 SSL/TLS : Secure Sockets Layer y Transport Layer
Security
 OpenSSL : Open Secure Sockets
Layer
 PSEC: Internet Protocol Security Tunnel
Mode
 PTP: Point to Point Tunneling
Protocol
 2TP: Layer To Tunneling
Protocol

Entre otros, pero solo haremos hincapié entre los más usados y con
mejor rendimiento como son: Ipsec, SSL, OpenSSL y PPTP,
aunque a este último se le conocen fallas de seguridad. Aún con las
referencias antes mencionadas, el protocolo que usaremos mas adelante
será OpenSSL.

2.2.2.2. Protocolo IPSec (IP Secure)

Protocolo de seguridad que opera sobre la capa de red que proporciona
un canal seguro para los datos. Ofrece integridad, autenticación,
control de acceso y confidencialidad para el envío de paquetes IP por
Internet.

2.2.2.3. Protocolo PPTP(Point-to-Point Tunneling Protocol)

PPTP es un protocolo de red que permite la realización de
transferencias desde clientes remotos a servidores localizados en redes
privadas. Para ello emplea tanto líneas telefónicas conmutadas como
Internet. PPTP es una extensión de PPP que soporta control de
flujos y túnel multiprotocolo sobre IP.

2.2.2.4. Protocolo SSL/TLS(Secure Sockets Layer y Transport Layer Security)

Es una familia de protocolos que proporciona servicios de seguridad a
una conexión TCP.
SSL está construida sobre TCP, lo que tiene dos
consecuencias:
 Funciona como un proceso de usuario, i.e., no requiere
alteraciones del sistema operativo
  Funciona encima de TCP, de forma que se basa en una
conexión (stream de datos) fiable y no tiene que ocuparse de
secuencias de paquetes ni de retransmisión o timeouts.

2.2.2.5. Requerimientos para el armado de una VPN

Para el correcto armado de una VPN, es necesario cumplir con una

serie de elementos y conceptos que a continuación se detallan:

o Contar con una conexión a Internet: ya sea por conexión IP

dedicada, ADSL o dial-up.
o Un Servidor VPN: que podría ser una PC hasta un servidor,
de acuerdo a las necesidades del caso, conectada a Internet
esperando por conexiones de usuarios VPN.
o Cliente VPN: este puede ser un usuario remoto o un enrutador de
otra
LAN, tal como se detalla en 2.2.1.5. (Tipos de VPN).

-------------------------------------------------------------------------------------

d) Red Privada Virtual (VPN)

a Red Privada Virtual (VPN), según Galarza (30), cuyo nombre
deriva del inglés Virtual Prívate Network, es una tecnología de red
que permite la extensión de una red local sobre una red pública o
no controlada, como por ejemplo Internet, mediante un proceso
de encapsulación y encriptación, en la cual los paquetes de datos
viajan a distintos puntos remotos por medio de un “túnel” definido
en una infraestructura pública de transporte. Como ejemplos se
encuentran conectar dos o más sucursales a la red corporativa de
una empresa dentro de un área geográfica amplia utilizando como
vínculo Internet, que también puede servir para permitir a los
miembros del equipo de soporte técnico la conexión desde su casa
al centro de cómputo, o que un usuario pueda acceder a su equipo
doméstico desde un sitio remoto como un hotel.

En el caso de acceso remoto la VPN permite al usuario acceder a

su red corporativa asignándole a su ordenador remoto las
direcciones y privilegios de la misma, aunque la conexión la haya
realizado por medio de un acceso a Internet público.
 Gráfico Nro. 6: Servidor VPN con firewall

Fuente: Microsoft
e) Requerimientos de una VPN Requerimientos básicos de la VPN (31):

autenticación de usuario

La solución deberá verificar la identidad de un usuario y restringir el acceso de la

VPN a usuarios autorizados. Además, las solución deberá proporcionar registros de

auditoría y contables para mostrar quién accedió a qué información y cuándo.

 Administración de dirección La solución deberá asignar una dirección al cliente en la

red privada y deberá asegurarse que las direcciones privadas se mantengan así.
Encriptación de datos

Los datos que viajan en una red pública no podrán ser leídos por clientes no
autorizados en la red. Administración de llaves

La solución deberá generar y renovar las llaves de encriptación para el cliente y para el
servidor.
 Soporte de protocolo múltiple
La solución deberá poder manejar protocolos comunes utilizados en las redes públicas.
Estos incluyen Protocolo de Internet (IP), Central de paquete de Internet (IPX).

f) Arquitecturas VPN

Existen dos tipos comunes de VPN (32), los cuales son:

Acceso remoto: también conocida como red virtual de acceso

telefónico privada (VPDN). Es una conexión de usuario a LAN
utilizada por una empresa que tiene empleados que necesitan
conectarse a la red privada desde varias ubicaciones remotas.
Normalmente, una empresa que desee configurar una gran VPN
de acceso remoto proporciona a sus usuarios algún tipo de cuenta
de acceso telefónico a Internet mediante un proveedor de
servicios de Internet (ISP). Así, los trabajadores que están de viaje
pueden marcar un número 1-800 para entrar en Internet y usar su
software cliente de VPN para acceder a la red de la empresa. Este
tipo de VPN es muy útil, por ejemplo, para una gran empresa con
cientos de comerciales que necesite una VPN de acceso remoto.
Las VPN de acceso remoto permiten establecer conexiones
seguras y cifradas entre la red privada de una empresa y usuarios
remotos a través de un proveedor de servicios.

Sitio a sitio: una empresa pueden conectar varios sitios fijos a

través de una red pública como Internet, utilizando un equipo
exclusivo y un cifrado a gran escala. Cada sitio necesita
únicamente disponer de una conexión local a la misma red pública,
lo que permite que la empresa ahorre dinero en largas líneas
alquiladas privadas. Las VPN de sitio a sitio pueden dividirse entre
intranet y extranet. Una VPN de sitio a sitio creada entre oficinas
de la misma empresa es una VPN intranet, mientras que una VPN
creada para conectar la empresa con su empresa asociada o un
cliente es una VPN extranet.
g) Tecnología VPN
Tecnologías de VPN Una VPN bien diseñada utiliza varios
métodos para mantener la conexión y los datos seguros.

Confidencialidad de los datos: probablemente se trata del

servicio más importante suministrado por cualquier
implementación de VPN. Dado que los datos privados viajan por
una red pública, conservar su confidencialidad es de importancia
vital y para ello se cifran. Cifrar es el proceso de tomar todos los
datos que un equipo envía a otro equipo y codificarlos de tal modo
que sólo el equipo que los recibe pueda descodificarlos.

La mayoría de las VPN utilizan los protocolos siguientes para

suministrar cifrado (32).

IPSec: protocolo de seguridad del protocolo de Internet (IPSec)

proporciona características de seguridad mejoradas como
algoritmos de cifrado más fuertes y una autenticación más amplia.
IPSec tiene dos modos de cifrado: de túnel y de transporte. El
modo de túnel cifra la cabecera y la carga de cada paquete,
mientras que el modo de transporte sólo cifra la carga. Sólo los
sistemas compatibles con IPSec pueden aprovechar este
protocolo. Asimismo, todos los dispositivos deben utilizar una
clave o certificado común y tener configuradas políticas de
seguridad similares.

Para los usuarios de VPN de acceso remoto, algún tipo de

paquete de software de otros fabricantes permite la conexión y
cifrado en el equipo de los usuarios. IPSec admite el cifrado de 56
bits (DES único) o de 168 bits (DES triple).

PPTP/MPPE: PPTP fue creado por el foro PPTP, un consorcio en el

que figuran US Robotics, Microsoft, 3COM, Ascend y ECI
 Telematics. PPTP es compatible con las VPN de varios protocolos,
con cifrado de 40 y 128 bits que utilizan un protocolo llamado
MPPE (Cifrado punto a punto de Microsoft). Por sí mismo,
PPTP no proporciona cifrado de datos.

L2TP/IPSec: por lo general, llamado L2TP sobre IPSec. Aporta la

seguridad del protocolo IPSec sobre la tunelización del protocolo
de tunelización de la capa 2 (L2TP). L2TP es el producto de
una asociación entre los miembros del foro PPTP, Cisco y el Grupo
de trabajo de ingeniería en Internet (IETF). Se utiliza
principalmente en las VPN de acceso remoto con sistemas
operativos Windows 2000, dado que Windows 2000 proporciona
un cliente L2TP e IPSec nativo. Los proveedores de servicio de
Internet también pueden suministrar conexiones L2TP a usuarios
de acceso telefónico y, a continuación, cifrar el tráfico con IPSec
entre su punto de acceso y el servidor de red de la oficina remota.

h) Que es OpenVpn
OpenVPN es una de las soluciones de software para VPN más
populares y utilizadas. Su popularidad se basa en sus sólidas
características, facilidad de uso y amplio soporte. OpenVPN es un
software de código abierto, lo que significa que todo el mundo lo
puede usar gratuitamente y modificarlo si es necesario. OpenVPN
puede ser utilizada para varias necesidades de conectividad, pero
es especialmente popular para disfrutar de un acceso anónimo y
privado a Internet.

OpenVPN funciona bajo modo cliente y servidor. Esto significa que

existe un servidor OpenVPN que está conectado a Internet. El
cliente de OpenVPN se conecta al servidor, y así obtiene acceso
completo a Internet. Una vez conectado al servidor, el cliente
utiliza el servidor
 para terminar todo su tráfico de Internet. Esto significa que el cliente
es visto como el servidor, o lo que es lo mismo, el cliente adopta la
ubicación física y los contactos administrativos del servidor. Por lo
tanto, toda la privacidad del cliente OpenVPN está protegida (33).

SOFTWARE LIBRE

RED PRIVADA