Inicio ¿Qué es una VPN?
Artículo
Cancelar

¿Qué es una VPN?

Introducción

Una red privada virtual (en inglés, Virtual Private Network, VPN) es una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que el ordenador en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada, con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

¿Qué significan las siglas VPN?

¿Qué es una VPN?

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo o bien que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios, pero al usuario le parece como si fuera un enlace privado: de allí la designación virtual private network.

¿Una VPN es una LAN física, LAN lógica, una WAN física o una WAN lógica?

¿Qué diferencia hay entre un proxie y una VPN?

En el artículo Seguridad activa de control de redes se explican sus similitudes y diferencias.

Preguntas:

  1. ¿Cuál es el principal uso de una VPN a nivel profesional?
  2. ¿Todo el mundo que teletrabaja requiere una VPN?
  3. ¿Es recomendable usar una VPN si estamos usando una red de un aeropuerto?
  4. ¿Se puede evitar la censura de páginas web que visitamos usando una VPN?
  5. ¿Se puede usar una VPN para acceder a contenido (de Netflix, por ejemplo) que solo esta disponible en otro país?
  6. ¿Cuál es la principal desventaja de usar una VPN?

Características básicas de la seguridad de una VPN

Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autentificación.

  • Autentificación y autorización: ¿quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
  • Integridad: de que los datos enviados no han sido alterados. Para ello se utilizan funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
  • Confidencialidad/Privacidad: dado que solamente puede ser interpretada por los destinatarios de la misma. Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
  • No repudio: es decir, un mensaje tiene que ir firmado, y quien lo firma no puede negar que envió el mensaje.
  • Control de acceso: se trata de asegurar que los participantes autentificados tienen acceso únicamente a los datos a los que están autorizados.
  • Auditoría y registro de actividades: se trata de asegurar el correcto funcionamiento y la capacidad de recuperación.
  • Calidad del servicio: se trata de asegurar un buen rendimiento, que no haya una degradación poco aceptable en la velocidad de transmisión.

¿Cómo se asegura en una VPN la integridad?

¿Cómo se asegura en una VPN la confidencialidad?

¿Cómo se asegura en una VPN el no repudio?

¿Qué ventajas/desventajas aporta una VPN?

Tipos de VPN

Básicamente existen 2 + 1 arquitecturas de conexión VPN:

  1. VPN de acceso remoto
  2. VPN punto a punto
  3. VPN over LAN

¿Qué tres tipos de VPN existen?

VPN de acceso remoto

Es quizás el modelo más usado actualmente, y consiste en usuarios que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas)…

VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling.

En el contexto de VPN ¿Qué dos tipos de topologias existen principalemente?

¿Qué diferencia hay entre VPN de acceso remoto y VPN punto a punto?

Tunneling

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidades de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH.

El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc.

VPN over LAN

Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo “acceso remoto” pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que solamente el personal de recursos humanos habilitado pueda acceder a la información.

Otro ejemplo es la conexión a redes Wi-Fi haciendo uso de túneles cifrados IPSec o SSL que además de pasar por los métodos de autenticación tradicionales (WEP, WPA, direcciones MAC, etc.) agregan las credenciales de seguridad del túnel VPN creado en la LAN interna o externa.

Protocolos para VPNs

Existen muchos protocolos para VPNs pero solo vamos a explicar tres:

  1. OpenVPN
  2. Wireguard
  3. IKEv2/IPSec

Preguntas sobre el vídeo:

  1. ¿Qué protocolos VPN existen en el mercado?
  2. ¿Cuál es el protocolo VPN más popular?
  3. De todas las opciones VPN del mercado (ExpressVPN, Surfshark, NordVPN, CyberGhost, ProtonVPN, Windscribe, IPVanish, Mullvad, Hide.me, TunnelBear, etc.) ¿que protocolos usa cada una de ellas?

OpenVPN

OpenVPN es el protocolo VPN más popular y utilizado, tanto a nivel doméstico como también profesional (en pequeñas y medianas empresas). OpenVPN es de código abierto y multiplataforma (está disponible para Windows, Linux, Mac, Android, iOS y Unix), se ha convertido en uno de los protocolos VPN más importantes que tenemos actualmente, además, es uno de los más seguros.

En general, OpenVPN es el protocolo que deberías utilizar. Se trata de la opción más completa; ofrece el equilibrio perfecto entre velocidad, seguridad y fiabilidad - la mayoría de servicios VPN lo usan por defecto.

WireGuard

Este protocolo de VPN es el más nuevo de todos, uno de los más seguros y más rápidos. WireGuard es un protocolo de código abierto y multiplataforma, es compatible con todos los sistemas operativos, además, es mucho más fácil de configurar que otras VPN como OpenVPN. Una de las principales características de WireGuard, es que está integrado en el Kernel de Linux, por lo que la velocidad estará garantizada. WireGuard utiliza siempre los mejores cifrados asimétricos y simétricos que existen, no hay opción a modificar este tipo de cifrado por unos menos seguros, tenemos seguridad por defecto.

¿Qué protocolo es más seguro: OpenVPN o Wireward?

A nivel de seguridad no hay ninguno por encima del otro.

IKEv2/IPSec

El protocolo IKEv2 (Internet Key Exchange V2) es un protocolo de intercambio de claves seguro, se utiliza habitualmente junto con el protocolo IPsec, por tanto, siempre lo veremos como IPsec IKEv2 en los diferentes sistemas operativos y servidores. Las principales características de IKEv2 son que es mucho más rápido que otros protocolos a la hora de conectarse, tiene soporte nativo en Windows 10, iOS y también en algunos Android como los smartphones de Samsung. IKEv2 es un protocolo muy recomendable para smartphones, porque la reconexión es realmente rápida cuando cambiamos de red.

Instalación de un cliente VPN

El objetivo final de la VPN es que el empleado (más bien, su ordenador) no note si está en la empresa o fuera de ella. En ambos casos recibe una configuración IP privada (direcciones 10.X.X.X, por ejemplo), por lo que no necesita cambiar nada en la configuración de sus aplicaciones (correo, intranet, etc.).

El responsable de conseguir esta transparencia es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. La gestión consiste en:

  • Autentificar al cliente VPN. No podemos dejar que entre cualquiera, por lo que se utiliza el típico usuario/contraseña, tarjetas inteligentes, etc.
  • Establecer un túnel a través de Internet. El driver de la VPN en el cliente le ofrece una dirección privada de la LAN de la empresa (la 10.0.1.45, por ejemplo), pero cualquier paquete que intente salir por esa tarjeta es encapsulado dentro de otro paquete. Este segundo paquete viaja por Internet desde la IP pública del empleado hasta la IP pública del servidor VPN en la empresa. Una vez allí, se extrae el paquete y se inyecta en la LAN. Para que alguien de la LAN envíe un paquete a la 10.0.1.45 el proceso es similar.
  • Proteger el túnel. Como estamos atravesando Internet, hay que encriptar las comunicaciones (sobre todo si somos una empresa). Los paquetes encapsulados irán cifrados.
  • Liberar el túnel. El cliente o el servidor pueden interrumpir la conexión cuando lo consideren necesario.

El software VPN en el cliente suele llevar una opción para que las conexiones a Internet se hagan directamente en la conexión del usuario, sin tener que pasar por el túnel y salir por la conexión a Internet de la empresa. Es decir, el túnel se usa solo para comunicaciones internas.

Bibliografía

Este artículo está licenciado bajo CC BY 4.0 por el autor.

Seguridad activa

Actividad resuelta de subredes