stringtranslate.com

Red privada virtual

La red privada virtual ( VPN ) es una arquitectura de red para extender virtualmente una red privada (es decir, cualquier red informática que no sea Internet pública ) a través de una o varias otras redes que no son confiables (ya que no están controladas por la entidad que pretende implementar la VPN) o que necesitan estar aisladas (lo que hace que la red inferior sea invisible o no se pueda utilizar directamente). [1]

Una VPN puede extender el acceso a una red privada a usuarios que no tienen acceso directo a ella, como una red de oficina que permite el acceso seguro desde fuera del sitio a través de Internet. [2] Esto se logra creando un enlace entre los dispositivos informáticos y las redes de computadoras mediante el uso de protocolos de tunelización de red .

Es posible hacer que una VPN sea segura para su uso en un medio de comunicación inseguro (como la Internet pública) eligiendo un protocolo de tunelización que implemente cifrado . Este tipo de implementación de VPN tiene el beneficio de costos reducidos y mayor flexibilidad, con respecto a las líneas de comunicación dedicadas, para trabajadores remotos . [3]

El término VPN también se utiliza para referirse a los servicios VPN que venden acceso a sus propias redes privadas para acceder a Internet conectando a sus clientes mediante protocolos de tunelización VPN.

Motivación

El objetivo de una red privada virtual es permitir que los hosts de una red intercambien mensajes de red a través de otra red para acceder a contenido privado, como si fueran parte de la misma red. Esto se hace de manera que el cruce de la red intermedia sea transparente para las aplicaciones de red. Los usuarios de un servicio de conectividad de red pueden considerar que dicha red intermedia no es confiable, ya que está controlada por un tercero, y podrían preferir una VPN implementada a través de protocolos que protejan la privacidad de su comunicación.

En el caso de una VPN proporcionada por un proveedor , el objetivo no es proteger contra redes no confiables, sino aislar partes de la infraestructura de red del propio proveedor en segmentos virtuales, de manera que el contenido de cada segmento sea privado con respecto a los demás. Esta situación hace que muchos otros protocolos de tunelización sean adecuados para crear PPVPN, incluso con características de seguridad débiles o nulas (como en VLAN ).

Funcionamiento general de VPN

La forma en que funciona una VPN depende de las tecnologías y los protocolos en los que se basa. Se utiliza un protocolo de tunelización para transferir los mensajes de red de un lado al otro. Su objetivo es tomar los mensajes de red de las aplicaciones (que operan en la capa 7 de OSI ) en un lado del túnel y reproducirlos en el otro lado, como si sustituyeran virtualmente a las capas inferiores de red o enlace. No es necesario modificar las aplicaciones para permitir que sus mensajes pasen a través de la VPN, porque la red o el enlace virtual se ponen a disposición del sistema operativo.

Las aplicaciones que implementan funciones de tunelización o proxy para sí mismas sin poner dichas funciones a disposición como una interfaz de red no deben considerarse implementaciones de VPN, pero pueden coincidir parcialmente con el mismo objetivo o uno similar del usuario final de intercambiar contenidos privados hacia una red remota (como navegar en la intranet a través de un proxy autenticado).

Configuraciones de topología VPN

Árbol de clasificación de VPN basado primero en la topología y luego en la tecnología utilizada
Descripción general de la conectividad VPN, que muestra las configuraciones de intranet de sitio a sitio y de trabajo remoto utilizadas en conjunto

Las configuraciones de redes privadas virtuales se pueden clasificar según el propósito de la extensión virtual, lo que hace que diferentes estrategias de tunelización sean apropiadas para diferentes topologías:

Acceso remoto
Una configuración de host a red es análoga a unir una o más computadoras a una red que no se puede conectar directamente. Este tipo de extensión proporciona a esa computadora acceso a la red de área local de un sitio remoto, o cualquier red empresarial más amplia, como una intranet . Cada computadora se encarga de activar su propio túnel hacia la red a la que desea unirse. La red unida solo conoce un único host remoto para cada túnel. Esto se puede utilizar para trabajadores remotos o para permitir que las personas accedan a sus recursos privados del hogar o la empresa sin exponerlos a Internet público. Los túneles de acceso remoto pueden ser a pedido o siempre activos. Las implementaciones adecuadas de esta configuración requieren que el host remoto inicie la comunicación hacia la red central a la que está accediendo, porque la ubicación del host remoto generalmente es desconocida para la red central hasta que el primero intenta llegar a ella.
De sitio a sitio
Una configuración de sitio a sitio conecta dos redes. Esta configuración expande una red a través de ubicaciones geográficamente dispares. La tunelización solo se realiza entre dos dispositivos (como enrutadores, cortafuegos, puertas de enlace VPN, servidores, etc.) ubicados en ambas ubicaciones de la red. Luego, estos dispositivos hacen que el túnel esté disponible para otros hosts de la red local que buscan comunicarse con cualquier host del otro lado. Esto es útil para mantener los sitios conectados entre sí de manera estable, como las redes de la oficina con su sede central o centro de datos. En este caso, cualquiera de los lados puede configurarse para iniciar la comunicación siempre que sepa cómo comunicarse con el otro en la red media. Si ambos se conocen entre sí y el protocolo VPN elegido no está ligado al diseño cliente-servidor, la comunicación puede ser iniciada por cualquiera de los dos tan pronto como vean que la VPN está inactiva o que algún host local está tratando de comunicarse con otro que se sabe que está ubicado en el otro lado.

En el contexto de las configuraciones de sitio a sitio, los términos intranet y extranet se utilizan para describir dos casos de uso diferentes. [4] Una VPN de sitio a sitio de intranet describe una configuración donde los sitios conectados por la VPN pertenecen a la misma organización, mientras que una VPN de sitio a sitio de extranet une sitios que pertenecen a múltiples organizaciones.

Por lo general, las personas interactúan con las VPN de acceso remoto, mientras que las empresas tienden a utilizar conexiones de sitio a sitio para entornos de negocio a negocio , computación en la nube y sucursales . Sin embargo, estas tecnologías no son mutuamente excluyentes y, en una red empresarial significativamente compleja, se pueden combinar para permitir el acceso remoto a recursos ubicados en cualquier sitio determinado, como un sistema de pedidos que reside en un centro de datos.

Además de la configuración de topología general, una VPN también puede caracterizarse por:

Existe una variedad de técnicas de VPN para adaptarse a las características anteriores, cada una de las cuales proporciona diferentes capacidades de tunelización de red y diferente cobertura o interpretación del modelo de seguridad.

Compatibilidad con VPN nativa y de terceros

Los proveedores y desarrolladores de sistemas operativos generalmente ofrecen soporte nativo para una selección de protocolos VPN que está sujeta a cambios a lo largo de los años, ya que se ha demostrado que algunos no son seguros con respecto a los requisitos y expectativas modernos, y han surgido otros.

Compatibilidad con VPN en sistemas operativos de consumo

Los sistemas operativos de computadoras de escritorio, teléfonos inteligentes y otros dispositivos de usuario final generalmente admiten la configuración de VPN de acceso remoto desde sus herramientas gráficas o de línea de comandos . [5] [6] [7] Sin embargo, debido a la variedad de protocolos VPN, a menudo no estándar, existen muchas aplicaciones de terceros que implementan protocolos adicionales que aún no son compatibles de forma nativa con el sistema operativo o que ya no lo son.

Por ejemplo, Android carecía de soporte nativo para IPsec IKEv2 hasta la versión 11, [8] y la gente necesitaba instalar aplicaciones de terceros para conectar ese tipo de VPN, mientras que Microsoft Windows , BlackBerry OS y otros sí lo tenían en el pasado.

Por el contrario, Windows no admite la configuración nativa de VPN de acceso remoto IPsec IKEv1 (comúnmente utilizada por las soluciones VPN de Cisco y Fritz!Box ), lo que hace obligatorio el uso de aplicaciones de terceros para las personas y empresas que dependen de dicho protocolo VPN.

Compatibilidad con VPN en dispositivos de red

Los dispositivos de red, como los cortafuegos, suelen incluir la función de puerta de enlace VPN para el acceso remoto o las configuraciones de sitio a sitio. Sus interfaces de administración suelen facilitar la configuración de redes privadas virtuales con una selección de protocolos compatibles que se han integrado para una fácil configuración inmediata.

En algunos casos, como en los sistemas operativos de código abierto dedicados a firewalls y dispositivos de red (como OpenWrt , IPFire , PfSense u OPNsense ), es posible agregar soporte para protocolos VPN adicionales instalando componentes de software faltantes o aplicaciones de terceros.

De manera similar, es posible hacer que funcionen configuraciones VPN adicionales, incluso si el sistema operativo no facilita la configuración de esa configuración en particular, editando manualmente las configuraciones internas o modificando el código fuente abierto del propio sistema operativo. Por ejemplo, pfSense no admite configuraciones VPN de acceso remoto a través de su interfaz de usuario donde el sistema operativo se ejecuta en el host remoto, pero sí brinda soporte integral para configurarlo como la puerta de enlace VPN central de dicho escenario de configuración de acceso remoto.

De lo contrario, los dispositivos comerciales con funciones VPN basadas en plataformas de hardware y software patentadas suelen admitir un protocolo VPN uniforme en todos sus productos, pero no permiten personalizaciones fuera de los casos de uso que pretendían implementar. Este suele ser el caso de los dispositivos que dependen de la aceleración de hardware de las VPN para proporcionar un mayor rendimiento o admitir una mayor cantidad de usuarios conectados simultáneamente.

Mecanismos de seguridad

Siempre que se pretenda que una VPN extienda virtualmente una red privada a través de un medio de terceros no confiable, es deseable que los protocolos elegidos coincidan con el siguiente modelo de seguridad:

Las VPN no tienen como objetivo que los usuarios que se conectan no sean anónimos ni inidentificables desde la perspectiva del proveedor de la red del medio no confiable. Si la VPN utiliza protocolos que sí ofrecen las características de confidencialidad mencionadas anteriormente, su uso puede aumentar la privacidad del usuario al impedir que el propietario del medio no confiable pueda acceder a los datos privados intercambiados a través de la VPN.

Autenticación

Para evitar que usuarios no autorizados accedan a la VPN, la mayoría de los protocolos se pueden implementar de manera que también permitan la autenticación de las partes que se conectan. Esto garantiza la confidencialidad, la integridad y la disponibilidad de la red remota conectada.

Los puntos finales del túnel se pueden autenticar de varias maneras durante el inicio del acceso a la VPN. La autenticación puede ocurrir inmediatamente después del inicio de la VPN (por ejemplo, simplemente agregando la dirección IP del punto final a la lista blanca) o muy tarde, después de que los túneles ya estén activos (por ejemplo, con un portal cautivo web ).

Las VPN de acceso remoto, que normalmente son iniciadas por el usuario, pueden utilizar contraseñas , datos biométricos , autenticación de dos factores u otros métodos criptográficos . Las personas que inician este tipo de VPN desde ubicaciones de red arbitrarias desconocidas también se denominan "guerreros de la carretera". En tales casos, no es posible utilizar propiedades de red de origen (por ejemplo, direcciones IP) como factores de autenticación seguros y se necesitan métodos más sólidos.

Las VPN de sitio a sitio suelen utilizar contraseñas ( claves precompartidas ) o certificados digitales . Según el protocolo VPN, pueden almacenar la clave para permitir que el túnel VPN se establezca automáticamente, sin intervención del administrador.

Protocolos VPN a destacar

Las fases del ciclo de vida de un túnel IPSec en una red privada virtual

Una red privada virtual se basa en un protocolo de tunelización y puede combinarse con otros protocolos de red o aplicación para proporcionar capacidades adicionales y una cobertura de modelo de seguridad diferente.

Redes de entrega confiables

Las VPN confiables no utilizan túneles criptográficos, sino que confían en la seguridad de la red de un único proveedor para proteger el tráfico. [24]

Desde el punto de vista de la seguridad, una VPN debe confiar en la red de distribución subyacente o aplicar la seguridad con un mecanismo en la propia VPN. A menos que la red de distribución confiable funcione solo entre sitios físicamente seguros, tanto los modelos confiables como los seguros necesitan un mecanismo de autenticación para que los usuarios obtengan acceso a la VPN. [ cita requerida ]

VPN en entornos móviles

Las redes privadas virtuales móviles se utilizan en entornos en los que un punto final de la VPN no está fijado a una única dirección IP , sino que se desplaza por varias redes, como redes de datos de operadores celulares o entre múltiples puntos de acceso Wi-Fi sin interrumpir la sesión VPN segura ni perder sesiones de aplicaciones. [28] Las VPN móviles se utilizan ampliamente en la seguridad pública , donde brindan a los agentes de la ley acceso a aplicaciones como el despacho asistido por computadora y bases de datos criminales, [29] y en otras organizaciones con requisitos similares, como la gestión de servicios de campo y la atención médica. [30] [ necesita cita para verificar ]

Limitaciones de la red

Una limitación de las VPN tradicionales es que son conexiones punto a punto y no suelen admitir dominios de difusión ; por lo tanto, la comunicación, el software y la red, que se basan en la capa 2 y en paquetes de difusión , como NetBIOS utilizado en las redes de Windows , pueden no ser totalmente compatibles como en una red de área local . Las variantes de VPN, como el Servicio de LAN privada virtual (VPLS) y los protocolos de tunelización de capa 2, están diseñadas para superar esta limitación. [31]

Véase también

Referencias

  1. ^ "red privada virtual". Glosario del Centro de recursos de seguridad informática del NIST . Archivado desde el original el 2 de enero de 2023. Consultado el 2 de enero de 2023 .
  2. ^ "¿Qué es una VPN? - Red privada virtual". Cisco . Archivado desde el original el 31 de diciembre de 2021 . Consultado el 5 de septiembre de 2021 .
  3. ^ Mason, Andrew G. (2002). Red privada virtual segura de Cisco . Cisco Press. pág. 7. ISBN 9781587050336.
  4. ^ RFC 3809 - Requisitos genéricos para redes privadas virtuales aprovisionadas por el proveedor. sec. 1.1. doi : 10.17487/RFC3809 . RFC 3809.
  5. ^ "Conectarse a una VPN en Windows - Soporte técnico de Microsoft". support.microsoft.com . Consultado el 11 de julio de 2024 .
  6. ^ "Conectarse a una red privada virtual (VPN) en Android" . Consultado el 11 de julio de 2024 .
  7. ^ "Descripción general de la configuración de VPN para dispositivos Apple". Soporte técnico de Apple . Consultado el 11 de julio de 2024 .
  8. ^ "Biblioteca IPsec/IKEv2". Proyecto de código abierto Android . Consultado el 11 de julio de 2024 .
  9. ^ RFC  6434, "Requisitos del nodo IPv6", E. Jankiewicz, J. Loughney, T. Narten (diciembre de 2011)
  10. ^ "Guía de configuración de seguridad para VPN con IPsec, Cisco IOS Release 15S - VPN Acceleration Module [Support]". Cisco . Consultado el 9 de julio de 2024 .
  11. ^ "Descripción general de VPN para la implementación de dispositivos Apple". Soporte técnico de Apple . Consultado el 9 de julio de 2024 .
  12. ^ "Acerca de Always On VPN para el acceso remoto de Windows Server". learn.microsoft.com . 22 de mayo de 2023 . Consultado el 9 de julio de 2024 .
  13. ^ "1. La conectividad VPN más potente y definitiva". www.softether.org . Proyecto VPN de SoftEther. Archivado desde el original el 8 de octubre de 2022 . Consultado el 8 de octubre de 2022 .
  14. ^ "OpenConnect". Archivado desde el original el 29 de junio de 2022. Consultado el 8 de abril de 2013. OpenConnect es un cliente para la VPN SSL AnyConnect de Cisco [...] OpenConnect no cuenta con el respaldo oficial de Cisco Systems ni está asociado de ninguna manera con esta empresa. Simplemente, funciona con sus equipos.
  15. ^ "Por qué TCP sobre TCP es una mala idea". sites.inka.de . Archivado desde el original el 6 de marzo de 2015 . Consultado el 24 de octubre de 2018 .
  16. ^ "Estado de la marca registrada y recuperación de documentos". tarr.uspto.gov . Archivado desde el original el 21 de marzo de 2012 . Consultado el 8 de octubre de 2022 .
  17. ^ «ssh(1) – Páginas del manual de OpenBSD». man.openbsd.org . Archivado desde el original el 5 de julio de 2022 . Consultado el 4 de febrero de 2018 .
    • Barschel, Colin. «Unix Toolbox». cb.vu. Archivado desde el original el 28 de mayo de 2019. Consultado el 2 de agosto de 2009 .
    • «SSH_VPN – Wiki de ayuda de la comunidad». help.ubuntu.com . Archivado desde el original el 2 de julio de 2022 . Consultado el 28 de julio de 2009 .
  18. ^ Salter, Jim (30 de marzo de 2020). «WireGuard VPN llega a la versión 1.0.0 y al próximo núcleo de Linux». Ars Technica . Archivado desde el original el 31 de marzo de 2020 . Consultado el 30 de junio de 2020 .
  19. ^ "Diff - 99761f1eac33d14a4b1613ae4b7076f41cb2df94^! - kernel/common - Git en Google". android.googlesource.com . Archivado desde el original el 29 de junio de 2022 . Consultado el 30 de junio de 2020 .
  20. ^ Younglove, R. (diciembre de 2000). "Redes privadas virtuales: cómo funcionan". Revista de Ingeniería de Computación y Control . 11 (6): 260–262. doi :10.1049/cce:20000602. ISSN  0956-3385.[ enlace muerto ]
    • Benjamin Dowling y Kenneth G. Paterson (12 de junio de 2018). "Un análisis criptográfico del protocolo WireGuard". Conferencia internacional sobre criptografía aplicada y seguridad de redes . ISBN 978-3-319-93386-3.
  21. ^ Fuller, Johnray; Ha, John (2002). Red Hat Linux 9: Guía de seguridad de Red Hat Linux (PDF) . Estados Unidos: Red Hat, Inc. pp. 48–53. Archivado (PDF) del original el 14 de octubre de 2022 . Consultado el 8 de septiembre de 2022 .
    • Petersen, Richard (2004). "Capítulo 17: Seguridad del protocolo de Internet: IPsec, encapsulación de IP criptográfica para redes privadas virtuales". Red Hat - The Complete Reference Enterprise Linux & Fedora Edition. Estados Unidos: McGraw-Hill/Osborne . ISBN 0-07-223075-4Archivado desde el original el 17 de enero de 2023 . Consultado el 17 de enero de 2023 .
  22. ^ Titz, Olaf (20 de diciembre de 2011). «CIPE - Encapsulación de IP criptográfica». CIPE - Encapsulación de IP criptográfica . Archivado desde el original el 18 de mayo de 2022. Consultado el 8 de septiembre de 2022 .
  23. ^ Titz, Olaf (2 de abril de 2013). «CIPE: IP cifrada en túneles UDP». SourceForge . Archivado desde el original el 8 de septiembre de 2022. Consultado el 8 de septiembre de 2022 .
    • Wilson, Damion (19 de octubre de 2002). «CIPE-Win32 - Encapsulación de IP criptográfica para Windows NT/2000». SourceForge . Archivado desde el original el 8 de septiembre de 2022 . Consultado el 8 de septiembre de 2022 .
  24. ^ Cisco Systems, Inc. (2004). Manual de tecnologías de interconexión de redes. Serie de tecnología de redes (4.ª edición). Cisco Press. pág. 233. ISBN 9781587051197. Recuperado el 15 de febrero de 2013. [...] Las VPN que utilizan circuitos dedicados, como Frame Relay [...] a veces se denominan VPN confiables , porque los clientes confían en que las instalaciones de red operadas por los proveedores de servicios no se verán comprometidas.
  25. ^ Protocolo de tunelización de capa dos "L2TP" Archivado el 30 de junio de 2022 en Wayback Machine , RFC  2661, W. Townsley et al. , agosto de 1999
  26. ^ Redes privadas virtuales basadas en IP Archivado el 9 de julio de 2022 en Wayback Machine , RFC  2341, A. Valencia et al. , mayo de 1998
  27. ^ Protocolo de tunelización punto a punto (PPTP) Archivado el 2 de julio de 2022 en Wayback Machine , RFC  2637, K. Hamzeh et al. , julio de 1999
  28. ^ Phifer, Lisa. "Mobile VPN: Closing the Gap" Archivado el 6 de julio de 2020 en Wayback Machine , SearchMobileComputing.com , 16 de julio de 2006.
  29. ^ Willett, Andy. "Resolver los desafíos informáticos de los agentes móviles" Archivado el 12 de abril de 2020 en Wayback Machine , www.officer.com , mayo de 2006.
  30. ^ Cheng, Roger. "Conexiones perdidas" Archivado el 28 de marzo de 2018 en Wayback Machine . , The Wall Street Journal , 11 de diciembre de 2007.
  31. ^ Sowells, Julia (7 de agosto de 2017). «Red privada virtual (VPN): qué es una VPN y cómo funciona». Hackercombat . Archivado desde el original el 17 de junio de 2022. Consultado el 7 de noviembre de 2021 .

Lectura adicional