Redes VPN distribuidas geográficamente. protocolos vpn

💖 ¿Te gusta? Comparte el enlace con tus amigos.
0

Cómo crear una única red privada para todos los empleados móviles y sucursales remotas

¿Qué es una VPN?

Supongamos que tenemos dos oficinas en diferentes puntos de la ciudad, o en diferentes ciudades o países, y cada una de ellas está conectada a Internet. Para operar, digamos, 1C como un único sistema corporativo, necesitamos integrarlos en una única red local. (A pesar de que ofrecemos soluciones para 1C en forma de bases de datos distribuidas. A veces es más fácil crear una única red y conectarse directamente al servidor 1C como si el servidor estuviera ubicado en sus instalaciones)

Por supuesto, puedes comprar una línea personal entre dos ciudades, pero lo más probable es que esta solución te resulte extremadamente cara.
La solución que utiliza una red privada virtual (VPN - Virtual Private Network) nos invita a organizar esta línea dedicada creando un túnel cifrado a través de Internet. La principal ventaja de una VPN sobre las líneas de comunicación dedicadas es el ahorro de dinero para la empresa mientras el canal está completamente abierto. cerrado.
Desde el punto de vista del consumidor, VPN es una tecnología con la que puede organizar el acceso remoto seguro a través de canales abiertos de Internet a servidores, bases de datos y cualquier recurso de su red corporativa. Digamos que un contador de la ciudad A puede imprimir fácilmente una factura en la impresora de una secretaria de la ciudad B a la que acudió el cliente. Los empleados remotos que se conecten vía VPN desde sus portátiles también podrán trabajar en la red como si estuvieran en la red física de sus oficinas.

Muy a menudo, los clientes, ante los *frenos* de las cajas registradoras al utilizar Escritorio remoto, se ven en la necesidad de instalar una VPN. Esto le permitirá deshacerse del envío de datos de la caja registradora de ida y vuelta al servidor a través de COM virtual a través de Internet y permitirá la instalación de un cliente ligero en cualquier punto que se comunique directamente con la caja registradora, enviando solo los necesarios. información al servidor a través de un canal cerrado. Y transmitir la interfaz RDP directamente a Internet expone a su empresa a riesgos muy grandes.

Métodos de conexión

Los métodos más apropiados para organizar una VPN son los siguientes 2 métodos principales:

  • (Cliente - Red ) Acceso remoto de empleados individuales a la red corporativa de la organización a través de un módem o red pública.
  • (Red - Red) Unir dos o más oficinas en una única red virtual segura a través de Internet

La mayoría de los manuales, especialmente los de Windows, describen la conexión según el primer esquema. Al mismo tiempo, es necesario comprender que esta conexión No es un túnel, sino que sólo permite conectarnos a una red VPN. Para organizar estos túneles, sólo necesitamos 1 IP blanca y no según el número de oficinas remotas, como mucha gente cree erróneamente.

La figura muestra ambas opciones para conectarse a la oficina principal A.

Se ha establecido un canal entre las oficinas A y B para asegurar la integración de las oficinas en una única red. Esto asegura la transparencia de ambas oficinas para cualquier dispositivo ubicado en una de ellas, lo que resuelve muchos problemas. Por ejemplo, organizar la capacidad de un único número dentro de una centralita con teléfonos IP.

Todos los servicios de la oficina A están disponibles para los clientes móviles, y si la oficina B está ubicada en una única red virtual, sus servicios también están disponibles.

En este caso, el método de conexión de clientes móviles generalmente se implementa mediante el protocolo de túnel punto a punto PPTP (Protocolo de túnel punto a punto) y el segundo IPsec u OpenVPN.

PPTP

(Protocolo de túnel punto a punto bumagin-lohg) es un protocolo de túnel punto a punto, una creación de Microsoft, y es una extensión de PPP (Protocolo punto a punto), por lo tanto, utilizando su autenticación, compresión y Mecanismos de cifrado. El protocolo PPTP está integrado en el control remoto. acceso a windows XP. Con la elección estándar de este protocolo, Microsoft sugiere utilizar el método de cifrado MPPE (Microsoft Point-to-Point Encryption). Puede transferir datos sin cifrar en texto claro. La encapsulación de datos utilizando el protocolo PPTP se produce agregando un encabezado GRE (Encapsulación de enrutamiento genérico) y un encabezado IP a los datos procesados ​​por el protocolo PPP.

Debido a importantes preocupaciones de seguridad, no hay ninguna razón para elegir PPTP sobre otros protocolos aparte de la incompatibilidad del dispositivo con otros protocolos VPN. Si su dispositivo admite L2TP/IPsec u OpenVPN, entonces es mejor elegir uno de estos protocolos.

Cabe señalar que casi todos los dispositivos, incluidos los móviles, tienen un cliente integrado en el sistema operativo (Windows, iOS, Android) que le permite configurar una conexión instantáneamente.

L2TP

(Layer Two Tunneling Protocol) es un protocolo más avanzado, nacido de la combinación de los protocolos PPTP (de Microsoft) y L2F (de Cisco), incorporando todo lo mejor de estos dos protocolos. Proporciona una conexión más segura que la primera opción. El cifrado se realiza mediante el protocolo IPSec (seguridad IP). L2TP también está integrado en el cliente de acceso remoto de Windows XP; además, cuando detección automática tipo de conexión, el cliente primero intenta conectarse al servidor utilizando este protocolo, ya que es más preferible en términos de seguridad.

Al mismo tiempo, el protocolo IPsec tiene el problema de coordinar los parámetros necesarios. Dado que muchos fabricantes configuran sus parámetros de forma predeterminada sin posibilidad de configuración, el hardware que utilice este protocolo será incompatible.

OpenVPN

Una solución VPN abierta avanzada creada mediante tecnologías OpenVPN, que ahora es el estándar de facto en tecnologías VPN. La solución utiliza protocolos de cifrado SSL/TLS. OpenVPN utiliza la biblioteca OpenSSL para proporcionar cifrado. OpenSSL admite una gran cantidad de algoritmos criptográficos diferentes, como 3DES, AES, RC5, Blowfish. Al igual que con IPSec, CheapVPN incluye extrema alto nivel cifrado: algoritmo AES con una longitud de clave de 256 bits.
OpenVPN es la única solución que le permite evitar a los proveedores que recortan o cobran tarifas por abrir protocolos adicionales además de WEB. Esto permite organizar canales que, en principio, imposible de rastrear Y tenemos tales soluciones

Ahora tienes una idea de qué es una VPN y cómo funciona. Si eres directivo piénsalo, quizás esto sea exactamente lo que estabas buscando

Un ejemplo de configuración de un servidor OpenVPN en la plataforma pfSense

Creando un servidor

  • Interfaz: PÁLIDO (interfaz de red servidor conectado a Internet)
  • Protocolo: UDP
  • Puerto local: 1194
  • Descripción: pfSenseOVPN(cualquier nombre conveniente)
  • Red de Túneles: 10.0.1.0/24
  • Redirigir puerta de enlace: Encender(Desactive esta opción si no desea que todo el tráfico de Internet del cliente se redirija a través del servidor VPN).
  • Red local: Déjalo en blanco(Si desea que los clientes VPN remotos puedan acceder a la red local detrás del servidor pfSense, especifique aquí el espacio de direcciones de esa red. Digamos 192.168.1.0/24)
  • Conexiones simultáneas: 2 (Si compró una licencia adicional de OpenVPN Remote Access Server, ingrese el número correspondiente a la cantidad de licencias compradas)
  • Comunicaciones entre clientes: Encender(Si no desea que los clientes VPN se vean entre sí, desactive esta opción)
  • Servidor DNS 1 (2, etc.): especifique los servidores DNS del host pfSense.(puedes conocer sus direcciones en el apartado Sistema > Configuración general > Servidores DNS)

A continuación, creamos clientes y para simplificar los procedimientos de configuración de los programas cliente, pfSense proporciona una herramienta adicional: “Utilidad de exportación de clientes OpenVPN”. Esta herramienta prepara automáticamente paquetes y archivos de instalación para los clientes, evitando ajustes manuales Cliente OpenVPN.

Las conexiones VPN entre oficinas cubren requisitos de seguridad empresarial como:

  • Posibilidad de acceso centralizado a la información desde oficinas, así como desde la oficina principal
  • Corporativo unificado sistema de información
  • Bases de datos empresariales con un único punto de entrada
  • Correo electrónico empresarial con inicio de sesión único
  • Confidencialidad de la información transferida entre oficinas

Si tienes alguna dificultad para configurar o aún no te has decidido por la tecnología VPN, ¡llámanos!

Las redes VPN se construyen utilizando protocolos para canalizar datos a través de la Internet pública, con protocolos de túnel que proporcionan cifrado de datos y transmisión de extremo a extremo entre usuarios. Como regla general, hoy en día se utilizan los siguientes niveles de protocolos para construir redes VPN:

  • Capa de enlace de datos
  • capa de red
  • Capa de transporte.

1.1 Capa de enlace

En la capa de enlace de datos, se pueden utilizar los protocolos de túnel de datos L2TP y PPTP, que utilizan autorización y autenticación.

Protocolo VPN: protocolo de túnel punto a punto o protocolo de túnel punto a punto: PPTP. Fue desarrollado por 3Com y Microsoft para proporcionar acceso remoto seguro a redes corporativas a través de Internet. PPTP utiliza estándares TCP/IP abiertos existentes y depende en gran medida del protocolo punto a punto PPP heredado.

En la práctica, PPP sigue siendo el protocolo de comunicación de la sesión de conexión PPTP. PPTP crea un túnel a través de la red hasta el servidor destinatario y transmite paquetes PPP desde el usuario remoto a través de él.

El servidor y la estación de trabajo utilizan una red privada virtual y no prestan atención a qué tan segura o accesible es la red global entre ellos. La terminación de una sesión de conexión iniciada por el servidor, a diferencia de los servidores de acceso remoto especializados, permite a los administradores red local no permitir que los usuarios remotos abandonen el sistema seguridad de ventanas Servidor.

Aunque la competencia del protocolo PPTP se extiende sólo a dispositivos que operan bajo control de ventanas, brinda a las empresas la capacidad de interactuar con infraestructuras de red existentes sin comprometer sus propios sistemas de seguridad.

Trabajo RRTR.

PPTP encapsula paquetes IP para su transmisión a través de una red IP. Los clientes PPTP utilizan el puerto de destino para crear una conexión de control de túnel. Este proceso ocurre en la capa de transporte del modelo OSI. Una vez creado el túnel, la computadora cliente y el servidor comienzan a intercambiar paquetes de servicio. Además de la conexión de control PPTP que mantiene el enlace en funcionamiento, se crea una conexión para reenviar los datos a través del túnel. La encapsulación de datos antes de enviarlos a través de un túnel ocurre de manera algo diferente que durante la transmisión normal. Encapsular datos antes de enviarlos al túnel implica dos pasos:

  1. Primero, se crea la parte de información del PPP. Los datos fluyen de arriba a abajo, desde la capa de aplicación OSI hasta la capa de enlace de datos.
  2. Luego, los datos recibidos se envían al modelo OSI y se encapsulan mediante protocolos de capa superior.

Así, durante el segundo paso, los datos llegan a la capa de transporte. Sin embargo, la información no se puede enviar a su destino, ya que la capa de enlace de datos OSI es la responsable de ello. Por lo tanto, PPTP cifra el campo de carga útil del paquete y asume las funciones de segunda capa típicamente asociadas con PPP, es decir. agrega un encabezado PPP y un final al paquete PPTP. Esto completa la creación del marco de la capa de enlace.

A continuación, PPTP encapsula la trama PPP en un paquete de encapsulación de enrutamiento genérico (GRE), que pertenece a la capa de red. GRE encapsula protocolos de capa de red como IPX, AppleTalk, DECnet para permitir su transporte a través de redes IP. Sin embargo, GRE no tiene la capacidad de establecer sesiones y proteger datos de intrusos. Esto utiliza la capacidad de PPTP para crear una conexión de control de túnel. El uso de GRE como método de encapsulación limita el alcance de PPTP a redes IP únicamente.

Una vez que la trama PPP se ha encapsulado en una trama con un encabezado GRE, la encapsulación se realiza en una trama con un encabezado IP. El encabezado IP contiene las direcciones de origen y destino del paquete. Finalmente, PPTP agrega un encabezado y un final de PPP.

El sistema emisor envía datos a través del túnel. El sistema receptor elimina todos los encabezados generales y deja solo los datos de PPP.

L2TP surgió como resultado de la combinación de los protocolos PPTP y L2F (Layer 2 Forwarding). PPTP permite transmitir paquetes PPP a través del túnel y paquetes L2F SLIP y PPP. Para evitar confusión y problemas de interoperabilidad en el mercado de las telecomunicaciones, el Internet Engineering Task Force (IETF) recomendó que Cisco Systems combine PPTP y L2F. Según todos los indicios, L2TP combina las mejores características de PPTP y L2F.

La principal ventaja de L2TP es que este protocolo le permite crear un túnel no solo en redes IP, sino también en ATM, X.25 y Frame Relay. Desafortunadamente, la implementación de L2TP en Windows 2000 sólo admite IP.

L2TP se utiliza como transporte. protocolo UDP y utiliza el mismo formato de mensaje tanto para el control del túnel como para el reenvío de datos. L2TP implementado por Microsoft utiliza paquetes UDP que contienen paquetes PPP cifrados como mensajes de control. La confiabilidad de la entrega está garantizada por el control de secuencia de paquetes.

La funcionalidad de PPTP y L2TP es diferente. L2TP se puede utilizar no solo en redes IP. Los mensajes de servicio para crear un túnel y enviar datos a través de él utilizan el mismo formato y protocolos. PPTP sólo se puede utilizar en redes IP y requiere una conexión TCP independiente para crear y utilizar el túnel. L2TP sobre IPSec ofrece más capas de seguridad que PPTP y puede garantizar casi el 100 por ciento de seguridad para los datos críticos de su organización. Las características de L2TP lo convierten en un protocolo muy prometedor para construir. redes virtuales.

Los protocolos L2TP y PPTP se diferencian de los protocolos de túnel de tercer nivel en una serie de características:

  1. Brindar a las corporaciones la oportunidad de elegir de forma independiente el método para autenticar a los usuarios y verificar sus credenciales, en su propio "territorio" o con un proveedor de servicios de Internet. Al procesar paquetes PPP tunelizados, los servidores de redes corporativas reciben toda la información necesaria para identificar a los usuarios.
  2. Soporte para conmutación de túneles: terminar un túnel e iniciar otro en uno de los muchos terminadores potenciales. La conmutación de túnel le permite extender la conexión PPP al punto final requerido.
  3. Siempre que administradores de sistemas red corporativa la capacidad de implementar estrategias para asignar derechos de acceso a los usuarios directamente en el firewall y los servidores internos.

Debido a que los terminadores de túnel reciben paquetes PPP que contienen información del usuario, pueden aplicar políticas de seguridad definidas por el administrador al tráfico de usuarios individuales. (El túnel de tercer nivel no permite distinguir entre los paquetes que llegan del proveedor, por lo que se deben aplicar filtros de políticas de seguridad a las estaciones de trabajo finales y a los dispositivos de red). Además, si utiliza un conmutador de túnel, es posible organizar un “Continuación” del túnel de segundo nivel para transmitir directamente el tráfico de usuarios individuales a los servidores internos correspondientes. Estos servidores pueden tener la tarea de realizar un filtrado de paquetes adicional.

La tecnología MPLS también se puede utilizar a nivel de enlace de datos para organizar túneles.

Del inglés Multiprotocol Label Switching - conmutación de etiquetas multiprotocolo - un mecanismo de transferencia de datos que emula varias propiedades de redes de conmutación de circuitos a través de redes de conmutación de paquetes. MPLS opera en una capa que podría ubicarse entre la capa de enlace de datos y la tercera capa de red del modelo OSI y, por lo tanto, se lo denomina comúnmente protocolo de capa de enlace de datos. Fue diseñado para proporcionar un servicio de datos universal para clientes de redes de conmutación de circuitos y de paquetes. MPLS puede transportar una amplia variedad de tráfico, como paquetes IP, ATM, SONET y tramas Ethernet.

Las soluciones para organizar VPN a nivel de enlace tienen un alcance bastante limitado, normalmente dentro del dominio del proveedor.

1.2 Capa de red

Capa de red (capa IP). Se utiliza el protocolo IPSec, que implementa el cifrado y la confidencialidad de los datos, así como la autenticación del suscriptor. El uso del protocolo IPSec permite un acceso completo equivalente a una conexión física a la red corporativa. Para establecer una VPN, cada participante debe configurar ciertos parámetros IPSec, es decir. Cada cliente debe tener un software que implemente IPSec.

IPSec
Naturalmente, ninguna empresa querría transmitir abiertamente información financiera u otra información confidencial a Internet. Los canales VPN están protegidos por potentes algoritmos de cifrado basados ​​en los estándares del protocolo de seguridad IPsec. IPSec o Seguridad del Protocolo de Internet: un estándar elegido por la comunidad internacional, el IETF (Internet Engineering Task Force), crea el marco de seguridad para el Protocolo de Internet (el protocolo IP/IPSec proporciona seguridad en nivel de red y requiere soporte para el estándar IPSec solo desde dispositivos que se comunican en ambos lados de la conexión. Todos los demás dispositivos ubicados entre ellos simplemente proporcionan tráfico de paquetes IP.

El método de interacción entre personas que utilizan la tecnología IPSec generalmente se define con el término "asociación segura": Asociación de seguridad (SA). Una asociación segura funciona sobre la base de un acuerdo entre las partes, que utilizan IPSec para proteger la información que se transmiten entre sí. Este acuerdo regula varios parámetros: direcciones IP del remitente y del destinatario, algoritmo criptográfico, orden de intercambio de claves, tamaños de clave, vida útil de la clave, algoritmo de autenticación.

IPSec es un conjunto coherente de estándares abiertos con un núcleo que se puede ampliar fácilmente con nuevas funciones y protocolos. El núcleo de IPSec consta de tres protocolos:

  • AH o Authentication Header - encabezado de autenticación - garantiza la integridad y autenticidad de los datos. El objetivo principal del protocolo AH es permitir que el lado receptor garantice que:
    • el paquete fue enviado por una parte con la que se ha establecido una asociación segura;
    • el contenido del paquete no fue distorsionado durante su transmisión a través de la red;
      el paquete no es un duplicado de un paquete ya recibido.

Las dos primeras funciones son obligatorias para el protocolo AH y la última se selecciona opcionalmente al establecer una asociación. Para realizar estas funciones, el protocolo AH utiliza un encabezado especial.

Su estructura se considera según el siguiente esquema:

  1. El siguiente campo de encabezado indica el código del protocolo de nivel superior, es decir, el protocolo cuyo mensaje se encuentra en el campo de datos del paquete IP.
  2. El campo de longitud de la carga útil contiene la longitud del encabezado AH.
  3. El índice de parámetros de seguridad (SPI) se utiliza para asociar un paquete con su asociación de seguridad prevista.
  4. El campo Número de secuencia (SN) indica el número de secuencia del paquete y se utiliza para proteger contra la suplantación de identidad (cuando un tercero intenta reutilizar paquetes seguros interceptados enviados por el remitente autenticado real).
  5. El campo de datos de autenticación, que contiene el llamado Valor de verificación de integridad (ICV), se utiliza para autenticar y verificar la integridad del paquete. Este valor, también llamado resumen, se calcula usando una de las dos funciones computacionalmente irreversibles MD5 o SAH-1 que requiere el protocolo AH, pero se puede usar cualquier otra función.

ESP o carga útil de seguridad encapsulada– encapsulación de datos cifrados: cifra los datos transmitidos, garantizando la confidencialidad y también puede admitir la autenticación y la integridad de los datos;

El protocolo ESP resuelve dos grupos de problemas.

  1. El primero incluye tareas similares a las del protocolo AH: garantizar la autenticación y la integridad de los datos según el resumen.
  2. El segundo es la protección de los datos transmitidos cifrándolos para que no puedan ser vistos por personas no autorizadas.

El encabezado se divide en dos partes, separadas por un campo de datos.

  1. La primera parte, denominada encabezado ESP, está formada por dos campos (SPI y SN), cuyo propósito es similar a los campos del mismo nombre en el protocolo AH, y se coloca antes del campo de datos.
  2. Los campos de servicio del protocolo ESP restantes, denominados remolque ESP, se encuentran al final del paquete.

Los dos campos finales (el siguiente encabezado y los datos de autenticación) son similares a los campos del encabezado AH. El campo Datos de autenticación está ausente si se toma la decisión de no utilizar las capacidades de integridad del protocolo ESP al establecer una asociación segura. Además de estos campos, el avance contiene dos campos adicionales: relleno y longitud de relleno.

Los protocolos AH y ESP pueden proteger datos de dos modos:

  1. en transporte – la transmisión se realiza con encabezados IP originales;
  2. en un túnel: el paquete original se coloca en un nuevo paquete IP y la transmisión se realiza con nuevos encabezados.

El uso de un modo u otro depende de los requisitos de protección de datos, así como del papel que desempeña en la red el nodo que finaliza el canal seguro. Por tanto, un nodo puede ser un host (nodo final) o una puerta de enlace (nodo intermedio).

En consecuencia, existen tres esquemas para utilizar el protocolo IPSec:

  1. anfitrión-anfitrión;
  2. puerta de enlace-puerta de enlace;
  3. puerta de enlace del host.

Las capacidades de los protocolos AH y ESP se superponen parcialmente: el protocolo AH es responsable únicamente de garantizar la integridad y autenticación de los datos, el protocolo ESP puede cifrar datos y, además, realizar las funciones del protocolo AH (en una forma simplificada ). Un ESP puede admitir funciones de cifrado y autenticación/integridad en cualquier combinación, es decir, todo el grupo de funciones, solo autenticación/integridad o solo cifrado.

IKE o intercambio de claves por Internet– Intercambio de claves de Internet: resuelve la tarea auxiliar de proporcionar automáticamente a los puntos finales de un canal seguro las claves secretas necesarias para el funcionamiento de los protocolos de autenticación y cifrado de datos.

1.3 Capa de transporte

La capa de transporte utiliza el protocolo SSL/TLS o Secure Socket Layer/Transport Layer Security, que implementa el cifrado y la autenticación entre las capas de transporte del receptor y el transmisor. SSL/TLS se puede utilizar para proteger el tráfico TCP, pero no para proteger el tráfico UDP. Para que funcione una VPN basada en SSL/TLS, no es necesario implementar una configuración especial. software ya que cada navegador y cliente de correo equipado con estos protocolos. Debido al hecho de que SSL/TLS se implementa en la capa de transporte, se establece una conexión segura "de extremo a extremo".

El protocolo TLS se basa en la versión 3.0 del protocolo SSL de Netscape y consta de dos partes: el protocolo de registro TLS y el protocolo de intercambio TLS. Las diferencias entre SSL 3.0 y TLS 1.0 son menores.

SSL/TLS incluye tres fases principales:

  1. iUn diálogo entre las partes, cuyo objetivo es seleccionar un algoritmo de cifrado;
  2. Intercambio de claves basado en criptosistemas de clave pública o autenticación basada en certificados;
  3. Transferencia de datos cifrados mediante algoritmos de cifrado simétrico.

1.4 Implementación de VPN: ¿IPSec o SSL/TLS?

Los responsables de los departamentos de TI a menudo se enfrentan a la pregunta: ¿qué protocolo elegir para construir una red VPN corporativa? La respuesta no es obvia ya que cada enfoque tiene ventajas y desventajas. Intentaremos analizar e identificar cuándo es necesario utilizar IPSec y cuándo SSL/TLS. Como se desprende del análisis de las características de estos protocolos, no son intercambiables y pueden funcionar tanto por separado como en paralelo, definiendo las características funcionales de cada una de las VPN implementadas.

La elección del protocolo para construir una red VPN corporativa se puede realizar según los siguientes criterios:

El tipo de acceso requerido para los usuarios de VPN.

  1. Conexión totalmente funcional y siempre activa a la red corporativa. La opción recomendada es el protocolo IPSec.
  2. Conexión temporal, por ejemplo, de un usuario móvil o de un usuario que utiliza un ordenador público, para acceder a determinados servicios, por ejemplo, correo electrónico o base de datos. La opción recomendada es el protocolo SSL/TLS, que le permite organizar una VPN para cada servicio individual.

Si el usuario es empleado de la empresa.

  1. Si el usuario es empleado de una empresa, el dispositivo que utiliza para acceder a la red corporativa vía VPN IPSec se puede configurar de alguna forma específica.
  2. Si el usuario no es empleado de la empresa a la que accede a la red corporativa, se recomienda utilizar SSL/TLS. Esto limitará el acceso de los invitados únicamente a ciertos servicios.

¿Cuál es el nivel de seguridad de la red corporativa?

  1. Alto. La opción recomendada es el protocolo IPSec. De hecho, el nivel de seguridad que ofrece IPSec es mucho mayor que el que ofrece el protocolo SSL/TLS debido al uso de software configurable en el lado del usuario y una puerta de enlace de seguridad en el lado de la red corporativa.
  2. Promedio. La opción recomendada es el protocolo SSL/TLS, que permite el acceso desde cualquier terminal.

Nivel de seguridad de los datos transmitidos por el usuario.

  1. Alto, por ejemplo, la gestión de la empresa. La opción recomendada es el protocolo IPSec.
  2. Promedio, por ejemplo, socio. La opción recomendada es el protocolo SSL/TLS.
    Dependiendo del servicio – de medio a alto. La opción recomendada es una combinación de los protocolos IPSec (para servicios que requieren un alto nivel de seguridad) y SSL/TLS (para servicios que requieren un nivel medio de seguridad).

¿Qué es más importante: una rápida implementación de VPN o la futura escalabilidad de la solución?

  1. Implementación rápida de VPN con costos mínimos. La opción recomendada es el protocolo SSL/TLS. En este caso, no es necesario implementar un software especial por parte del usuario como en el caso de IPSec.
  2. Escalabilidad de la red VPN: agrega acceso a varios servicios. La opción recomendada es el protocolo IPSec, que permite el acceso a todos los servicios y recursos de la red corporativa.
  3. Rápida implementación y escalabilidad. La opción recomendada es una combinación de IPSec y SSL/TLS: usar SSL/TLS en la primera etapa para acceder a los servicios necesarios y luego implementar IPSec.

2. Métodos para implementar redes VPN

Una red privada virtual se basa en tres métodos de implementación:

  • Túneles;
  • Cifrado;
  • Autenticación.

2.1 Túneles

La construcción de túneles garantiza la transferencia de datos entre dos puntos (los extremos del túnel) de tal manera que toda la infraestructura de red que se encuentra entre ellos queda oculta para la fuente y el receptor de los datos.

El medio de transporte del túnel, como un ferry, recoge los paquetes del protocolo de red utilizado en la entrada del túnel y los entrega sin cambios a la salida. Basta con construir un túnel para conectar dos nodos de red de modo que, desde el punto de vista del software que se ejecuta en ellos, parezcan estar conectados a la misma red (local). Sin embargo, no debemos olvidar que, de hecho, el "ferry" con datos pasa a través de muchos nodos intermedios (enrutadores) de una red pública abierta.

Esta situación plantea dos problemas. La primera es que los atacantes pueden interceptar la información transmitida a través del túnel. Si es confidencial (números de tarjetas bancarias, estados financieros, información personal), entonces la amenaza de su compromiso es bastante real, lo que en sí mismo es desagradable.

Peor aún, los atacantes tienen la capacidad de modificar los datos transmitidos a través del túnel para que el destinatario no pueda verificar su autenticidad. Las consecuencias pueden ser las más nefastas. Teniendo en cuenta lo anterior, llegamos a la conclusión de que el túnel en su forma pura es adecuado sólo para ciertos tipos de red. juegos de computadora y no puedo pretender ninguna aplicación más seria. Ambos problemas se resuelven con medios modernos de protección de información criptográfica.

Para evitar que se realicen cambios no autorizados en el paquete de datos a medida que viaja a través del túnel, un dispositivo electrónico firma digital(EDS). La esencia del método es que a cada paquete transmitido se le suministra un bloque adicional de información, que se genera de acuerdo con un algoritmo criptográfico asimétrico y es exclusivo del contenido del paquete y clave secreta Firma digital del remitente. Este bloque de información es la firma digital del paquete y permite que los datos sean autenticados por el destinatario, que conoce la clave pública de la firma digital del remitente. La protección de los datos transmitidos a través del túnel contra la visualización no autorizada se logra mediante el uso de potentes algoritmos de cifrado.

2.2 Autenticación

La seguridad es la función principal de una VPN. Todos los datos de las computadoras cliente pasan a través de Internet al servidor VPN. Un servidor de este tipo puede estar ubicado a una gran distancia de la computadora del cliente, y los datos en el camino hacia la red de la organización pasan a través del equipo de muchos proveedores. ¿Cómo puedo asegurarme de que los datos no han sido leídos ni modificados? Para ello utilizan varios metodos autenticación y cifrado.

PPTP puede utilizar cualquiera de los protocolos utilizados por PPP para autenticar usuarios.

  • EAP o Protocolo de autenticación extensible;
  • MSCHAP o Protocolo de autenticación por desafío mutuo de Microsoft (versiones 1 y 2);
  • CHAP o Protocolo de autenticación por desafío mutuo;
  • Protocolo de autenticación de contraseña SPAP o Shiva;
  • PAP o Protocolo de autenticación de contraseña.

Los mejores protocolos son MSCHAP versión 2 y Transport Layer Security (EAP-TLS), ya que proporcionan autenticación mutua, es decir. El servidor y el cliente VPN se identifican entre sí. En todos los demás protocolos, sólo el servidor autentica a los clientes.

Aunque PPTP proporciona un grado suficiente de seguridad, L2TP sobre IPSec es más confiable. L2TP sobre IPSec proporciona autenticación a nivel de usuario y computadora, y también realiza autenticación y cifrado de datos.

La autenticación se lleva a cabo mediante una prueba abierta (contraseña de texto sin cifrar) o mediante un esquema de desafío/respuesta. Todo está claro con el texto directo. El cliente envía al servidor una contraseña. El servidor compara esto con el estándar y niega el acceso o dice "bienvenido". La autenticación abierta casi nunca se ve.

El esquema de solicitud/respuesta es mucho más avanzado. EN vista general se ve así:

  • el cliente envía al servidor una solicitud de autenticación;
  • el servidor devuelve una respuesta aleatoria (desafío);
  • el cliente toma un hash de su contraseña (un hash es el resultado de una función hash que convierte una matriz de datos de entrada de longitud arbitraria en una cadena de bits de salida de longitud fija), cifra la respuesta con él y la transmite al servidor;
  • el servidor hace lo mismo, comparando el resultado recibido con la respuesta del cliente;
  • si la respuesta cifrada coincide, la autenticación se considera exitosa;

En el primer paso de autenticar clientes y servidores VPN, L2TP sobre IPSec utiliza certificados locales obtenidos de una autoridad certificadora. El cliente y el servidor intercambian certificados y crean una conexión segura ESP SA (asociación de seguridad). Después de que L2TP (sobre IPSec) completa el proceso de autenticación de la computadora, se realiza la autenticación a nivel de usuario. Para la autenticación, puede utilizar cualquier protocolo, incluso PAP, que transmite el nombre de usuario y la contraseña en texto claro. Esto es bastante seguro, ya que L2TP sobre IPSec cifra toda la sesión. Sin embargo, realizar la autenticación de usuario mediante MSCHAP, que utiliza diferentes claves de cifrado para autenticar la computadora y el usuario, puede mejorar la seguridad.

2.3. Cifrado

El cifrado PPTP garantiza que nadie pueda acceder a sus datos mientras se envían a través de Internet. Actualmente hay dos métodos de cifrado compatibles:

  • MPPE o Microsoft Point-to-Point Encryption solo es compatible con MSCHAP (versiones 1 y 2);
  • EAP-TLS puede seleccionar automáticamente la longitud de la clave de cifrado al negociar parámetros entre el cliente y el servidor.

MPPE admite claves con longitudes de 40, 56 o 128 bits. Quirófanos antiguos sistemas windows admite cifrado con una longitud de clave de solo 40 bits, por lo que es mixto Entorno de Windows se debe seleccionar la longitud mínima de la clave.

PPTP cambia el valor de la clave de cifrado después de cada paquete recibido. El protocolo MMPE fue diseñado para enlaces de comunicación punto a punto en los que los paquetes se transmiten secuencialmente y hay muy poca pérdida de datos. En esta situación, el valor de la clave para el siguiente paquete depende de los resultados del descifrado del paquete anterior. Al construir redes virtuales a través de redes. acceso publico Estas condiciones no se pueden cumplir, ya que los paquetes de datos a menudo llegan al destinatario en un orden diferente al de su envío. Por lo tanto, PPTP utiliza números de secuencia de paquetes para cambiar la clave de cifrado. Esto permite realizar el descifrado independientemente de los paquetes recibidos anteriormente.

Ambos protocolos se implementan como en Windows Y fuera de él (por ejemplo, en BSD), los algoritmos de funcionamiento de VPN pueden diferir significativamente. En NT (y sus derivados). La información básica se proporciona en la tabla.

Por lo tanto, la combinación "túnel + autenticación + cifrado" le permite transferir datos entre dos puntos a través de una red pública, simulando el funcionamiento de una red privada (local). En otras palabras, las herramientas consideradas le permiten construir una red privada virtual.

Un efecto agradable adicional de una conexión VPN es la posibilidad (e incluso la necesidad) de utilizar el sistema de direccionamiento adoptado en la red local.

La implementación de una red privada virtual en la práctica se ve así: En local red informática Se instala un servidor VPN en la oficina de la empresa. El usuario remoto (o enrutador, si conecta dos oficinas) que utiliza el software de cliente VPN inicia el procedimiento de conexión con el servidor. Se produce la autenticación del usuario: la primera fase para establecer una conexión VPN. Si se confirma la autoridad, comienza la segunda fase: los detalles para garantizar la seguridad de la conexión se acuerdan entre el cliente y el servidor. Después de esto, se organiza una conexión VPN, que garantiza el intercambio de información entre el cliente y el servidor en el momento en que cada paquete de datos pasa por procedimientos de cifrado/descifrado y verificación de integridad: autenticación de datos.

El principal problema de las redes VPN es la falta de estándares establecidos para la autenticación y el intercambio de información cifrada. Estos estándares aún están en desarrollo y por lo tanto los productos varios fabricantes no puede establecer conexiones VPN e intercambiar claves automáticamente. este problema Implica una desaceleración en la expansión de las VPN, ya que es difícil obligar a diferentes empresas a utilizar los productos de un fabricante y, por lo tanto, el proceso de combinar las redes de las empresas asociadas en las llamadas redes extranet es complicado.

Cada año las comunicaciones electrónicas mejoran y el intercambio de información exige cada vez más velocidad, seguridad y calidad en el procesamiento de datos.

Y aquí veremos en detalle una conexión VPN: qué es, por qué se necesita un túnel VPN y cómo utilizar una conexión VPN.

Este material es una especie de introducción a una serie de artículos donde te diremos cómo crear una VPN en varios sistemas operativos.

Conexión VPN ¿qué es?

Por lo tanto, una red privada virtual VPN es una tecnología que proporciona una conexión segura (cerrada al acceso externo) de una red lógica a través de una privada o pública en presencia de Internet de alta velocidad.

Este conexión de red Las computadoras (geográficamente distantes entre sí a una distancia considerable) utilizan una conexión "punto a punto" (en otras palabras, "computadora a computadora").

Científicamente, este método de conexión se denomina túnel VPN (o protocolo de túnel). Puede conectarse a dicho túnel si tiene una computadora con cualquier sistema operativo que tenga un cliente VPN integrado que pueda "reenviar" puertos virtuales utilizando el protocolo TCP/IP a otra red.

¿Para qué sirve una VPN?

El principal beneficio de una VPN es que los negociadores necesitan una plataforma de conectividad que no solo escale rápidamente, sino que también (principalmente) garantice la confidencialidad, la integridad y la autenticación de los datos.

El diagrama muestra claramente el uso de redes VPN.

Las reglas para conexiones a través de un canal seguro primero deben escribirse en el servidor y el enrutador.

Cómo funciona la VPN

Cuando se produce una conexión a través de VPN, el encabezado del mensaje contiene información sobre la dirección IP del servidor VPN y la ruta remota.

Los datos encapsulados que pasan a través de una red pública o compartida no se pueden interceptar porque toda la información está cifrada.

Escenario Cifrado VPN se implementa en el lado del remitente y los datos del destinatario se descifran utilizando el encabezado del mensaje (si hay una clave de cifrado compartida).

Una vez que el mensaje se descifra correctamente, se establece una conexión VPN entre las dos redes, lo que también permite trabajar en una red pública (por ejemplo, intercambiar datos con un cliente 93.88.190.5).

Acerca de seguridad de la información, entonces Internet es una red extremadamente insegura, y una red VPN con los protocolos OpenVPN, L2TP / IPSec, PPTP, PPPoE es un método de transmisión de datos completamente seguro y protegido.

¿Por qué necesitas un canal VPN?

Se utiliza el túnel VPN:

Dentro de la red corporativa;

Unir oficinas remotas, así como pequeñas sucursales;

Para servicios de telefonía digital con una amplia gama de servicios de telecomunicaciones;

Para acceder a recursos de TI externos;

Para la construcción e implementación de videoconferencias.

¿Por qué necesitas una VPN?

Se requiere conexión VPN para:

Trabajo anónimo en Internet;

Descargar aplicaciones cuando la dirección IP esté ubicada en otra zona regional del país;

Trabajo seguro en un entorno corporativo mediante comunicaciones;

Simplicidad y conveniencia de configuración de la conexión;

Garantizar una alta velocidad de conexión sin interrupciones;

Creando un canal seguro y sin ataques de hackers.

¿Cómo utilizar VPN?

Se pueden dar infinitas ejemplos de cómo funciona una VPN. Entonces, en cualquier computadora de la red corporativa, al instalar un protegido conexiones vpn puedes utilizar el correo para consultar mensajes, publicar materiales desde cualquier parte del país o descargar archivos de redes torrent.

VPN: ¿qué hay en tu teléfono?

El acceso a través de VPN en un teléfono (iPhone o cualquier otro dispositivo Android) le permite mantener el anonimato al utilizar Internet en lugares públicos, así como evitar la interceptación del tráfico y la piratería de dispositivos.

Un cliente VPN instalado en cualquier sistema operativo le permite eludir muchas de las configuraciones y reglas del proveedor (si el proveedor ha establecido alguna restricción).

¿Qué VPN elegir para tu teléfono?

Los teléfonos móviles y smartphones con sistema operativo Android pueden utilizar aplicaciones de Google Playmarket:

  • - vpnRoot, droidVPN,
  • - navegador tor para navegar por redes, también conocido como orbot
  • - En el navegador, orfox (firefox+tor),
  • - Cliente VPN gratuito SuperVPN
  • - Conexión OpenVPN
  • - TunnelBear VPN
  • -Hideman VPN

La mayoría de estos programas se utilizan para facilitar la configuración "en caliente" del sistema, colocar accesos directos de inicio, navegar por Internet de forma anónima y seleccionar el tipo de cifrado de conexión.

Pero las principales tareas de usar una VPN en un teléfono son consultar el correo electrónico corporativo, crear videoconferencias con varios participantes y realizar reuniones fuera de la organización (por ejemplo, cuando un empleado está en un viaje de negocios).

¿Qué es VPN en iPhone?

Veamos con más detalle qué VPN elegir y cómo conectarla a su iPhone.

Dependiendo del tipo de red admitida, cuando inicia por primera vez la configuración VPN en su iPhone, puede seleccionar los siguientes protocolos: L2TP, PPTP y Cisco IPSec (además, puede "realizar" una conexión VPN utilizando aplicaciones de terceros) .

Todos los protocolos enumerados admiten claves de cifrado, se lleva a cabo la identificación del usuario mediante una contraseña y la certificación.

Las características adicionales al configurar un perfil VPN en un iPhone incluyen: seguridad RSA, nivel de cifrado y reglas de autorización para conectarse al servidor.

Para teléfono iphone Desde la tienda de aplicaciones debes elegir:

  • - aplicación gratuita Tunnelbear, con el que podrás conectarte a servidores VPN de cualquier país.
  • - OpenVPN connect es uno de los mejores clientes VPN. Aquí, para iniciar la aplicación, primero debe importar claves RSA a través de iTunes a su teléfono.
  • - Cloak es una aplicación shareware, ya que durante algún tiempo el producto se puede "usar" de forma gratuita, pero para utilizar el programa una vez transcurrido el período de demostración, deberá comprarlo.

Creación de VPN: selección y configuración de equipos.

Para comunicaciones corporativas en grandes organizaciones o asociaciones de oficinas alejadas entre sí, utilizan equipos de hardware que pueden soportar un trabajo continuo y seguro en la red.

Para implementar tecnologías VPN, la función de una puerta de enlace de red puede ser: servidores Unix, servidor windows, enrutador de red y puerta de enlace de red en la que está instalada la VPN.

Un servidor o dispositivo utilizado para crear una red empresarial VPN o un canal VPN entre oficinas remotas debe realizar tareas técnicas complejas y proporcionar una gama completa de servicios a los usuarios tanto en estaciones de trabajo como en dispositivos móviles.

Cualquier enrutador o enrutador VPN debe proporcionar un funcionamiento confiable en la red sin congelaciones. Y la función VPN incorporada le permite cambiar la configuración de la red para trabajar en casa, en una organización o en una oficina remota.

Configurar VPN en el enrutador

En general, la configuración de una VPN en un enrutador se realiza mediante la interfaz web del enrutador. En dispositivos "clásicos", para organizar una VPN, debe ir a la sección "configuración" o "configuración de red", donde selecciona la sección VPN, especifica el tipo de protocolo, ingresa la configuración para su dirección de subred, enmascara y especifica el rango de direcciones IP para los usuarios.

Además, para proteger la conexión, deberá especificar algoritmos de codificación, métodos de autenticación, generar claves de negociación y especificar los servidores DNS WINS. En los parámetros de "Puerta de enlace", debe especificar la dirección IP de la puerta de enlace (su IP) y completar los datos de todos los adaptadores de red.

Si hay varios enrutadores en la red, deberá completar la tabla de enrutamiento VPN para todos los dispositivos en el túnel VPN.

Aquí hay una lista de equipos de hardware utilizados para construir redes VPN:

Enrutadores Dlink: DIR-320, DIR-620, DSR-1000 con nuevo firmware o Enrutador D-Link DI808HV.

Enrutadores Cisco PIX 501, Cisco 871-SEC-K9

Enrutador Linksys Rv082 con soporte para alrededor de 50 túneles VPN

Enrutador Netgear DG834G y enrutadores modelos FVS318G, FVS318N, FVS336G, SRX5308

Enrutador Mikrotik con función OpenVPN. Ejemplo de RouterBoard RB/2011L-IN Mikrotik

Equipo VPN RVPN S-Terra o VPN Gate

Enrutadores ASUS modelos RT-N66U, RT-N16 y RT N-10

Enrutadores ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG


La capacidad de conectar oficinas corporativas remotas entre sí a través de canales de comunicación seguros es una de las tareas más comunes al construir una infraestructura de red distribuida para empresas de cualquier tamaño. Hay varias soluciones a este problema:

Alquilar canales a un proveedor: una opción común y confiable. El proveedor alquila canales de comunicación físicos o lógicos dedicados. Estos canales suelen denominarse "punto a punto".

Ventajas:

  1. Facilidad de conexión y uso – el mantenimiento de los equipos y canales es enteramente responsabilidad del proveedor;
  2. Ancho de canal garantizado: la velocidad de transferencia de datos siempre corresponde a la indicada por el proveedor;

Defectos:

  1. Seguridad y control: la empresa no puede controlar el equipo por parte del proveedor.

Construir sus propias líneas de comunicación (físicas): Una solución confiable y rentable, ya que la construcción de un canal de comunicación físico es enteramente responsabilidad de la empresa. Con esta solución, la empresa controla y da servicio total a los canales construidos.

Ventajas:

  1. Flexibilidad: la capacidad de implementar canales que cumplan con todos los requisitos necesarios;
  2. Seguridad y control – control total del canal, ya que pertenece a la empresa;

Defectos:

  1. Implementación: la creación de estos canales privados es una solución costosa y que requiere mucha mano de obra. Colocar kilómetros de ópticas a lo largo de postes puede costar una fortuna. Incluso si no se tiene en cuenta la obtención de permisos de todas las autoridades estatales. autoridades;
  2. Mantenimiento – el mantenimiento del canal es responsabilidad exclusiva de la empresa, por lo que el personal debe contar con especialistas altamente calificados para asegurar su desempeño;
  3. Baja tolerancia a fallas: las líneas de comunicación óptica externas a menudo están sujetas a daños involuntarios (equipos de construcción, servicios públicos, etc.). Pueden pasar varias semanas hasta que se detecte y corrija un enlace óptico.
  4. Limitado a un lugar: el tendido de líneas de comunicación óptica externas sólo es relevante si los objetos se encuentran a varias decenas de kilómetros. Extender las comunicaciones a otra ciudad a cientos y miles de kilómetros no es posible por razones de sentido común.

Creación de un canal seguro a través de Internet (VPN): esta solución es relativamente económica y flexible. Para conectar oficinas remotas es suficiente una conexión a Internet y un equipo de red con capacidad para crear conexiones VPN.

Ventajas:

  1. Bajo costo: la empresa paga sólo por el acceso a Internet;
  2. Escalabilidad: para conectar una nueva oficina necesita Internet y un enrutador;

Defectos:

  1. Capacidad del canal: la velocidad de transferencia de datos puede variar (no hay ancho de banda garantizado);

Este artículo analizará más de cerca el último punto, es decir, qué beneficios ofrece la tecnología VPN a las empresas.
La red privada virtual (VPN) es un conjunto de tecnologías que proporcionan una conexión segura (túnel) de dos o más redes locales remotas a través de una red pública (por ejemplo, Internet).

Ventajas únicas de las redes VPN distribuidas geográficamente

Protección del tráfico transmitido: es seguro transmitir tráfico a través del túnel VPN utilizando fuertes protocolos de cifrado (3DES, AES). Además del cifrado, se verifica la integridad de los datos y la autenticidad del remitente, eliminando la posibilidad de sustitución de información y conexión por parte de un atacante.

Fiabilidad de la conexión: los principales fabricantes de equipos están mejorando las tecnologías de conexión VPN, garantizando la restauración automática de los túneles VPN en caso de un fallo breve de la conexión a la red pública.
Movilidad y facilidad de conexión: podrás conectarte a la red local de la empresa desde cualquier parte del mundo y desde casi cualquier dispositivo moderno (smartphone, tableta, computadora portátil) y la conexión será segura. La mayoría de los fabricantes de dispositivos multimedia han añadido soporte VPN a sus productos.

Redundancia y equilibrio de carga: si utiliza dos proveedores al conectarse a Internet (para equilibrio/tolerancia a fallos), entonces el equilibrio es posible Tráfico VPN Túneles entre proveedores. Si uno de los proveedores falla, el túnel utilizará una conexión de respaldo.

Priorización del tráfico: capacidad de controlar el tráfico mediante QoS: priorización del tráfico de voz y vídeo en caso de alta carga en el túnel.

Redes VPN en los negocios

Red unificada

Combinar las redes locales distribuidas geográficamente de una empresa en una sola red (conectando sucursales a la oficina principal) simplifica significativamente la interacción y el intercambio de datos dentro de la empresa, reduciendo los costos de mantenimiento. Cualquier sistema corporativo requiere un único espacio de red para que los empleados trabajen. Podría ser telefonía IP, sistemas contables y financieros, CRM, videoconferencias, etc.

Acceso móvil

Independientemente de la ubicación del empleado, si tiene Internet y un ordenador portátil/smartphone/tableta, el empleado puede conectarse a los recursos internos de la empresa. Gracias a esta ventaja, los empleados tienen la oportunidad de realizar trabajos y resolver problemas rápidamente mientras están fuera de la oficina.

Consolidación de redes de diferentes empresas.

A menudo es necesario combinar redes de socios comerciales, y dicha unión se puede organizar con o sin restringir el acceso a los recursos internos de cada empresa. Esta asociación simplifica la interacción entre empresas.


Gestión remota de la infraestructura TI

Gracias al acceso remoto seguro a los equipos de infraestructura de TI de la empresa, el administrador puede resolver rápidamente las tareas asignadas y responder a los problemas que surjan.

Calidad de servicio

El tráfico de videoconferencias, telefonía IP y algunas otras aplicaciones requiere un ancho de canal garantizado. Gracias al uso de QoS en túneles VPN, por ejemplo, se puede combinar la telefonía IP de la red local de la empresa y una oficina remota.


Áreas de aplicación de redes VPN distribuidas y redes de datos corporativas (CDN)

Habiendo analizado los requisitos y objetivos de organizaciones de distintos tamaños, hemos recopilado un panorama general de soluciones para cada una de ellas. A continuación se muestra una descripción de implementaciones típicas de la tecnología VPN en la infraestructura de red de una empresa.

Soluciones para pequeñas empresas. A menudo, los requisitos para una solución de este tipo son la capacidad de conectar usuarios remotos (hasta 10) a la red interna y/o combinar las redes de varias oficinas. Estas soluciones son sencillas y rápidas de implementar. Para dicha red, se recomienda tener un canal de respaldo con una velocidad menor o igual que la principal. El canal de respaldo es pasivo y se usa solo si el principal está desconectado (el túnel VPN se construye automáticamente sobre el canal de respaldo). La redundancia de equipos de vanguardia para este tipo de soluciones rara vez se utiliza y, a menudo, no está justificada.

Tráfico transmitido a través del túnel - tráfico aplicaciones internas(correo, web, documentos), tráfico de voz.

Requisito de reserva de canal: promedio

Requisito de redundancia de equipo: bajo


Soluciones para medianas empresas. Además de conectar a los empleados remotos (hasta 100), la infraestructura de red debe proporcionar conectividad a varias oficinas remotas. Para tales soluciones, la reserva del canal de Internet es obligatoria y la capacidad del canal de respaldo debe ser comparable a la velocidad del canal principal. En muchos casos, el canal de respaldo está activo (se realiza el equilibrio de carga entre canales). Se recomienda reservar el equipo de los nodos críticos de la red (por ejemplo, el enrutador fronterizo de la oficina central). Topología de red VPN: estrella o malla parcial.

Requisito de redundancia de equipos: promedio

Soluciones para grandes empresas, red distribuida de sucursales. Estas redes, a una escala bastante grande, son difíciles de implementar y mantener. La topología de dicha red desde el punto de vista de la organización de túneles VPN puede ser: estrella, malla parcial, malla completa (el diagrama muestra la opción de malla completa). La reserva de canales es obligatoria (son posibles más de 2 proveedores), al igual que la reserva de equipos de nodos críticos de la red. Todos o varios canales están activos. Las redes de este nivel suelen utilizar líneas arrendadas o VPN proporcionadas por proveedores. En una red de este tipo, es necesario proporcionar la máxima confiabilidad y tolerancia a fallas para minimizar el tiempo de inactividad empresarial. Los equipos para este tipo de redes son la línea insignia de equipos de proveedores o de clase empresarial.

Tráfico transmitido a través del túnel: tráfico de aplicaciones internas (correo, web, documentos), tráfico de voz, tráfico de videoconferencia.

Requisito de reserva de canal: alto

Requisito de redundancia de equipos: alto

Instituciones educativas. Es típico que las instituciones educativas se conecten a un centro de gestión de red. El volumen de tráfico no suele ser elevado. Los requisitos de reserva se establecen en casos excepcionales.

Instituciones médicas. Para instituciones medicas Existe un grave problema de confiabilidad y alta tolerancia a fallas de los canales y equipos de comunicación. Todas las sucursales de una red distribuida geográficamente utilizan equipos de formación de canales redundantes y varios proveedores.

Soluciones para retail (cadena de tiendas). Las cadenas de tiendas se distinguen por una gran cantidad de ubicaciones (pueden ser miles de tiendas) y un tráfico relativamente bajo a la oficina principal (centro de datos). En la mayoría de los casos, no es aconsejable reservar equipos en tiendas. Basta con reservar una conexión con el proveedor (en el formato “segundo proveedor disponible”). Sin embargo, los requisitos para el equipo ubicado en el centro de datos (oficina central) son elevados. Desde este punto terminan miles de túneles VPN. Se requiere un monitoreo constante de canales, sistemas de reportes, cumplimiento de políticas de seguridad, etc.

Implementación de redes VPN distribuidas y redes de datos corporativas (CDN)

Seleccionar el equipo necesario y la correcta implementación del servicio es una tarea compleja que requiere una gran experiencia por parte del contratista. La empresa LanKey lleva muchos años realizando proyectos complejos y tiene una amplia experiencia en este tipo de proyectos.

Ejemplos de algunos proyectos para la implementación de KSPD y VPN, implementados por LanKey

Cliente Descripción del trabajo realizado.

Fabricante del equipo: Juniper
Solución: Se conectaron seis sucursales remotas de la empresa a la oficina principal mediante topología en estrella a través de canales de comunicación seguros.

Solución: nos conectamos a Internet y construimos túneles VPN en oficinas ubicadas en Moscú y Ginebra.

Fabricante de equipos: Cisco
Solución: las oficinas remotas están conectadas a través de un canal seguro con tolerancia a fallos entre proveedores.

Recientemente, en el mundo de las telecomunicaciones ha habido un mayor interés por las redes privadas virtuales (VPN). Esto se debe a la necesidad de reducir el coste de mantenimiento de las redes corporativas mediante una conexión más económica de oficinas remotas y usuarios remotos a través de Internet. De hecho, al comparar el costo de los servicios para conectar varias redes a través de Internet, por ejemplo, con las redes Frame Relay, se puede notar una diferencia significativa en el costo. Sin embargo, cabe señalar que al conectar redes a través de Internet, surge inmediatamente la cuestión de la seguridad de la transmisión de datos, por lo que se hizo necesario crear mecanismos para garantizar la confidencialidad e integridad de la información transmitida. Las redes construidas sobre la base de tales mecanismos se denominan VPN.

Además, muy a menudo una persona moderna, que desarrolla su negocio, tiene que viajar mucho. Podrían ser viajes a rincones remotos de nuestro país o al extranjero. A menudo las personas necesitan acceder a la información almacenada en la computadora de su casa o de su empresa. Este problema se puede resolver organizando el acceso remoto mediante un módem y una línea. El uso de una línea telefónica tiene sus propias características. Las desventajas de esta solución son que llamar desde otro país cuesta mucho dinero. Existe otra solución llamada VPN. Las ventajas de la tecnología VPN son que la organización acceso remoto Esto no se hace a través de una línea telefónica, sino a través de Internet, que es mucho mejor y más barato. En mi opinión, la tecnología. La VPN tiene el potencial de generalizarse en todo el mundo.

1. Concepto y clasificación de redes VPN, su construcción.

1.1 ¿Qué es una VPN?

vpn(ing. Red privada virtual - red privada virtual): una red lógica creada sobre otra red, por ejemplo Internet. A pesar de que las comunicaciones se realizan a través de redes públicas utilizando protocolos inseguros, el cifrado crea canales de intercambio de información que están cerrados al exterior. VPN le permite combinar, por ejemplo, varias oficinas de una organización en una sola red utilizando canales no controlados para la comunicación entre ellas.


En esencia, una VPN tiene muchas de las propiedades de una línea arrendada, pero se implementa dentro de una red pública, por ejemplo. Con la técnica de túnel, los paquetes de datos se transmiten a través de la red pública como si se tratara de una conexión punto a punto normal. Se establece una especie de túnel entre cada par emisor-receptor de datos: una conexión lógica segura que permite encapsular los datos de un protocolo en paquetes de otro. Los principales componentes del túnel son:

  • iniciador;
  • red enrutada;
  • interruptor de túnel;
  • uno o más terminadores de túnel.

El principio de funcionamiento de VPN en sí no contradice las tecnologías y protocolos básicos de red. Por ejemplo, al establecer una conexión de acceso remoto, el cliente envía un flujo de paquetes de protocolo PPP estándar al servidor. En el caso de organizar líneas arrendadas virtuales entre redes locales, sus enrutadores también intercambian paquetes PPP. Sin embargo, un aspecto fundamentalmente nuevo es el envío de paquetes a través de un túnel seguro organizado dentro de una red pública.

El túnel permite organizar la transmisión de paquetes del mismo protocolo en un entorno lógico utilizando un protocolo diferente. Como resultado, es posible resolver los problemas de interacción entre varios tipos diferentes de redes, comenzando con la necesidad de garantizar la integridad y confidencialidad de los datos transmitidos y terminando con la superación de inconsistencias en protocolos externos o esquemas de direccionamiento.

La infraestructura de red existente de una corporación se puede preparar para el uso de VPN, ya sea mediante software o hardware. Configurar una red privada virtual se puede comparar con tender un cable a través de una red global. Normalmente, se establece una conexión directa entre un usuario remoto y un dispositivo final del túnel mediante el protocolo PPP.

El método más común para crear túneles VPN es encapsular protocolos de red (IP, IPX, AppleTalk, etc.) en PPP y luego encapsular los paquetes resultantes en un protocolo de túnel. Por lo general, este último es IP o (mucho menos frecuente) ATM y Frame Relay. Este enfoque se denomina túnel de segundo nivel, ya que el “pasajero” aquí es el protocolo de segundo nivel.

Un enfoque alternativo de encapsular paquetes de protocolo de red directamente en un protocolo de tunelización (como VTP) se denomina tunelización de capa 3.

No importa qué protocolos se utilicen o con qué propósitos perseguido al organizar un túnel, la técnica básica sigue siendoprácticamente sin cambios. Normalmente, se utiliza un protocolo para establecer una conexión con un nodo remoto y otro para encapsular datos e información de servicio para su transmisión a través del túnel.

1.2 Clasificación de redes VPN

Las soluciones VPN se pueden clasificar según varios parámetros principales:

1. Por tipo de ambiente utilizado:

  • Redes VPN seguras. La versión más común de redes privadas privadas. Con su ayuda, es posible crear una subred confiable y segura basada en una red no confiable, generalmente Internet. Ejemplos de VPN seguras son: IPSec, OpenVPN y PPTP.
  • Redes VPN confiables. Se utilizan en los casos en que el medio de transmisión puede considerarse confiable y solo es necesario resolver el problema de crear una subred virtual dentro de una red más grande. Las cuestiones de seguridad se están volviendo irrelevantes. Ejemplos de tales soluciones VPN son: MPLS y L2TP. Sería más correcto decir que estos protocolos transfieren la tarea de garantizar la seguridad a otros; por ejemplo, L2TP, por regla general, se utiliza junto con IPSec.

2. Según la forma de ejecución:

  • Redes VPN en forma de software y hardware especiales. La implementación de una red VPN se lleva a cabo utilizando un conjunto especial de software y hardware. Esta implementación proporciona un alto rendimiento y, por regla general, un alto grado de seguridad.
  • Redes VPN como solución de software. Usar ordenador personal con un software especial que proporciona funcionalidad VPN.
  • Redes VPN con una solución integrada. La funcionalidad VPN la proporciona un complejo que también resuelve los problemas de filtrar el tráfico de la red, organizar un firewall y garantizar la calidad del servicio.

3. Por finalidad:

  • VPN de intranet. Se utilizan para unir varias sucursales distribuidas de una organización en una única red segura, intercambiando datos a través de canales de comunicación abiertos.
  • VPN de acceso remoto. Se utiliza para crear un canal seguro entre un segmento de la red corporativa (oficina central o sucursal) y un único usuario que, trabajando desde casa, se conecta a los recursos corporativos con computadora de casa o, durante un viaje de negocios, se conecta a los recursos corporativos mediante una computadora portátil.
  • VPN extranet. Se utiliza para redes a las que se conectan usuarios "externos" (por ejemplo, clientes o clientes). El nivel de confianza en ellos es mucho menor que en los empleados de la empresa, por lo que es necesario prever “líneas” especiales de protección que impidan o limiten el acceso de estos últimos a información confidencial especialmente valiosa.

4. Por tipo de protocolo:

  • Existen implementaciones de redes privadas virtuales para TCP/IP, IPX y AppleTalk. Pero hoy en día existe una tendencia hacia una transición generalizada al protocolo TCP/IP, y la gran mayoría de las soluciones VPN lo admiten.

5. Por nivel de protocolo de red:

  • Por capa de protocolo de red en base a comparación con las capas del modelo de red de referencia ISO/OSI.

1.3. Construyendo una VPN

Hay varias opciones para crear una VPN. Al elegir una solución, es necesario considerar los factores de rendimiento de los creadores de VPN. Por ejemplo, si un enrutador ya está funcionando a su límite de capacidad, agregar túneles VPN y aplicar cifrado/descifrado de información puede detener toda la red debido al hecho de que este enrutador no podrá manejar tráfico simple, y mucho menos un VPN. La experiencia demuestra que para construir VPN es mejor Sobre todo, utilice equipo especializado, pero si hay una limitación de fondos, puede prestar atención a una solución puramente de software. Veamos algunas opciones para crear una VPN.

  • VPN basada en firewalls. La mayoría de los proveedores de firewall admiten túneles y cifrado de datos. Todos estos productos se basan en el hecho de que el tráfico que pasa a través del firewall está cifrado. Se agrega un módulo de cifrado al propio software de firewall. La desventaja de este método es que el rendimiento depende del hardware en el que se ejecuta el firewall. Cuando utilice cortafuegos basados ​​en PC, debe recordar que dicha solución sólo se puede utilizar para redes pequeñas con una pequeña cantidad de información transmitida.
  • VPN basada en enrutador. Otra forma de crear una VPN es utilizar enrutadores para crear canales seguros. Dado que toda la información proveniente de la red local pasa a través del enrutador, es recomendable asignar tareas de cifrado a este enrutador.Un ejemplo de equipo para construir VPN en enrutadores es el equipo de Cisco Systems. A partir de la versión 11.3 del software IOS, los enrutadores Cisco admiten los protocolos L2TP e IPSec. Además del cifrado simple del tráfico, Cisco admite otras funciones de VPN, como la autenticación durante la conexión del túnel y el intercambio de claves.Para mejorar el rendimiento del enrutador, se puede utilizar un módulo de cifrado ESA opcional. Además, Cisco System ha lanzado un dispositivo especializado para VPN, denominado Cisco 1720 VPN Access Router (enrutador de acceso VPN), destinado a su instalación en pequeñas y medianas empresas, así como en sucursales de grandes organizaciones.
  • VPN basada en software. El siguiente enfoque para crear una VPN son soluciones puramente de software. Al implementar una solución de este tipo, se utiliza un software especializado que se ejecuta en una computadora dedicada y, en la mayoría de los casos, actúa como un servidor proxy. La computadora que ejecuta este software puede estar ubicada detrás de un firewall.
  • VPN basada en sistema operativo de red.Consideraremos soluciones basadas en un sistema operativo de red utilizando el sistema operativo Windows de Microsoft como ejemplo. Para crear una VPN, Microsoft utiliza el protocolo PPTP, que está integrado en el sistema Windows. Esta solución es muy atractiva para organizaciones que utilizan Windows como sistema operativo corporativo. Cabe señalar que el coste de dicha solución es significativamente menor que el coste de otras soluciones. VPN en funcionamiento Basado en Windows Se utiliza una base de datos de usuarios almacenada en el controlador de dominio primario (PDC). Al conectarse a un servidor PPTP, el usuario se autentica mediante los protocolos PAP, CHAP o MS-CHAP. Los paquetes transmitidos se encapsulan en paquetes GRE/PPTP. Para cifrar paquetes, se utiliza un protocolo no estándar de Microsoft Point-to-Point Encryption con una clave de 40 o 128 bits recibida en el momento en que se establece la conexión. Las desventajas de este sistema son la falta de verificación de la integridad de los datos y la imposibilidad de cambiar las claves durante la conexión. Los aspectos positivos son la facilidad de integración con Windows y el bajo costo.
  • VPN basada en hardware. La opción de crear una VPN en dispositivos especiales se puede utilizar en redes que requieren un alto rendimiento. Un ejemplo de esta solución es el producto IPro-VPN de Radguard. Este producto utiliza cifrado de hardware de la información transmitida, capaz de transmitir un flujo de 100 Mbit/s. IPro-VPN admite el protocolo IPSec y el mecanismo de gestión de claves ISAKMP/Oakley. Entre otras cosas, este dispositivo admite herramientas de traducción de direcciones de red y se puede complementar con una tarjeta especial que agrega funcionalidad de firewall

2. Protocolos VPN

Las redes VPN se construyen utilizando protocolos para canalizar datos a través de la Internet pública, y los protocolos de túnel proporcionan cifrado de datos y transmisión de extremo a extremo entre usuarios. Como regla general, hoy en día se utilizan los siguientes niveles de protocolos para construir redes VPN:

  • Capa de enlace de datos
  • capa de red
  • Capa de transporte.

2.1 Capa de enlace

En la capa de enlace de datos, se pueden utilizar los protocolos de túnel de datos L2TP y PPTP, que utilizan autorización y autenticación.

PPTP.

Actualmente, el protocolo VPN más común es el protocolo de túnel punto a punto (PPTP). Fue desarrollado por 3Com y Microsoft para proporcionar acceso remoto seguro a redes corporativas a través de Internet. PPTP utiliza estándares TCP/IP abiertos existentes y depende en gran medida del protocolo punto a punto PPP heredado. En la práctica, PPP sigue siendo el protocolo de comunicación de la sesión de conexión PPTP. PPTP crea un túnel a través de la red hasta el servidor NT del destinatario y transmite paquetes PPP desde el usuario remoto a través de él. El servidor y la estación de trabajo utilizan una red privada virtual y no tienen en cuenta cuán segura o accesible es la WAN entre ellos. La terminación de sesión iniciada por el servidor, a diferencia de los servidores de acceso remoto especializados, permite a los administradores de redes locales mantener a los usuarios remotos dentro de los límites de seguridad de Windows Server.

Aunque el protocolo PPTP se extiende sólo a dispositivos que ejecutan Windows, brinda a las empresas la capacidad de interactuar con infraestructuras de red existentes sin comprometer sus propios sistemas de seguridad. Así, un usuario remoto puede conectarse a Internet a través de un ISP local mediante una línea telefónica analógica o un enlace RDSI y establecer una conexión con el servidor NT. Al mismo tiempo, la empresa no tiene que gastar grandes sumas de dinero en organizar y mantener un conjunto de módems que brinden servicios de acceso remoto.

A continuación se analiza el funcionamiento del RRTR. PPTP encapsula paquetes IP para su transmisión a través de una red IP. Los clientes PPTP utilizan el puerto de destino para crear una conexión de control de túnel. Este proceso ocurre en la capa de transporte del modelo OSI. Una vez creado el túnel, la computadora cliente y el servidor comienzan a intercambiar paquetes de servicio. Además de la conexión de control PPTP que mantiene el enlace en funcionamiento, se crea una conexión para reenviar los datos a través del túnel. La encapsulación de datos antes de enviarlos a través de un túnel ocurre de manera algo diferente que durante la transmisión normal. Encapsular datos antes de enviarlos al túnel implica dos pasos:

  1. Primero, se crea la parte de información del PPP. Los datos fluyen de arriba a abajo, desde la capa de aplicación OSI hasta la capa de enlace de datos.
  2. Luego, los datos recibidos se envían al modelo OSI y se encapsulan mediante protocolos de capa superior.

Así, durante el segundo paso, los datos llegan a la capa de transporte. Sin embargo, la información no se puede enviar a su destino, ya que la capa de enlace de datos OSI es la responsable de ello. Por lo tanto, PPTP cifra el campo de carga útil del paquete y asume las funciones de segunda capa típicamente asociadas con PPP, es decir. agrega un encabezado PPP y un final al paquete PPTP. Esto completa la creación del marco de la capa de enlace.

A continuación, PPTP encapsula la trama PPP en un paquete de encapsulación de enrutamiento genérico (GRE), que pertenece a la capa de red. GRE encapsula protocolos de capa de red como IPX, AppleTalk, DECnet para permitir su transporte a través de redes IP. Sin embargo, GRE no tiene la capacidad de establecer sesiones y proteger datos de intrusos. Esto utiliza la capacidad de PPTP para crear una conexión de control de túnel. El uso de GRE como método de encapsulación limita el alcance de PPTP a redes IP únicamente.

Una vez que la trama PPP se ha encapsulado en una trama con un encabezado GRE, la encapsulación se realiza en una trama con un encabezado IP. El encabezado IP contiene las direcciones de origen y destino del paquete. Finalmente, PPTP agrega un encabezado y un final de PPP.

El sistema emisor envía datos a través del túnel. El sistema receptor elimina todos los encabezados generales y deja solo los datos de PPP.

L2TP

En un futuro próximo, se espera un aumento en el número de redes privadas virtuales, implementadas en base al nuevo protocolo de túnel de segundo nivel Layer 2 Tunneling Protocol - L2TP.

L2TP surgió como resultado de la combinación de los protocolos PPTP y L2F (Layer 2 Forwarding). PPTP permite transmitir paquetes PPP a través del túnel y paquetes L2F SLIP y PPP. Para evitar confusión y problemas de interoperabilidad en el mercado de las telecomunicaciones, el Internet Engineering Task Force (IETF) recomendó que Cisco Systems combine PPTP y L2F. Según todos los indicios, L2TP combina las mejores características de PPTP y L2F. La principal ventaja de L2TP es que este protocolo le permite crear un túnel no solo en redes IP, sino también en ATM, X.25 y Frame Relay. Desafortunadamente, la implementación de L2TP en Windows 2000 sólo admite IP.

L2TP utiliza UDP como transporte y utiliza el mismo formato de mensaje tanto para el control del túnel como para el reenvío de datos. L2TP implementado por Microsoft utiliza paquetes UDP que contienen paquetes PPP cifrados como mensajes de control. La confiabilidad de la entrega está garantizada por el control de secuencia de paquetes.

La funcionalidad de PPTP y L2TP es diferente. L2TP se puede utilizar no solo en redes IP. Los mensajes de servicio para crear un túnel y enviar datos a través de él utilizan el mismo formato y protocolos. PPTP sólo se puede utilizar en redes IP y requiere una conexión TCP independiente para crear y utilizar el túnel. L2TP sobre IPSec ofrece más capas de seguridad que PPTP y puede garantizar casi el 100 por ciento de seguridad para los datos críticos de su organización. Las características de L2TP lo convierten en un protocolo muy prometedor para construir redes virtuales.

Los protocolos L2TP y PPTP se diferencian de los protocolos de túnel de tercer nivel en una serie de características:

  1. Brindar a las corporaciones la oportunidad de elegir de forma independiente el método para autenticar a los usuarios y verificar sus credenciales, en su propio "territorio" o con un proveedor de servicios de Internet. Al procesar paquetes PPP tunelizados, los servidores de redes corporativas reciben toda la información necesaria para identificar a los usuarios.
  2. Soporte para conmutación de túneles: terminar un túnel e iniciar otro en uno de los muchos terminadores potenciales. La conmutación de túnel le permite extender la conexión PPP al punto final requerido.
  3. Permitir a los administradores de redes corporativas implementar estrategias de control de acceso de usuarios directamente en el firewall y los servidores internos. Debido a que los terminadores de túnel reciben paquetes PPP que contienen información del usuario, pueden aplicar políticas de seguridad definidas por el administrador al tráfico de usuarios individuales. (El túnel de tercer nivel no permite distinguir los paquetes provenientes del proveedor, por lo que se deben aplicar filtros de políticas de seguridad a las estaciones de trabajo finales y a los dispositivos de red). Además, si utiliza un conmutador de túnel, es posible organizar una "continuación" de el tunel segundo nivel para transmisión directa de tráfico individualusuarios a los servidores internos correspondientes. Estos servidores pueden tener la tarea de realizar un filtrado de paquetes adicional.

MPLS

También a nivel de enlace de datos, la tecnología MPLS se puede utilizar para organizar túneles ( Del inglés Multiprotocol Label Switching (conmutación de etiquetas multiprotocolo: un mecanismo de transferencia de datos que emula varias propiedades de redes de conmutación de circuitos a través de redes de conmutación de paquetes). MPLS opera en una capa que podría ubicarse entre la capa de enlace de datos y la tercera capa de red del modelo OSI y, por lo tanto, se lo denomina comúnmente protocolo de capa de enlace de datos. Fue diseñado para proporcionar un servicio de datos universal para clientes de redes de conmutación de circuitos y de paquetes. MPLS puede transportar una amplia variedad de tráfico, como paquetes IP, ATM, SONET y tramas Ethernet.

Las soluciones para organizar VPN a nivel de enlace tienen un alcance bastante limitado, normalmente dentro del dominio del proveedor.

2.2 Capa de red

Capa de red (capa IP). Se utiliza el protocolo IPSec, que implementa el cifrado y la confidencialidad de los datos, así como la autenticación del suscriptor. El uso del protocolo IPSec permite un acceso completo equivalente a una conexión física a la red corporativa. Para establecer una VPN, cada participante debe configurar ciertos parámetros IPSec, es decir. Cada cliente debe tener un software que implemente IPSec.

IPSec

Naturalmente, ninguna empresa querría transferir abiertamente Información financiera u otra información confidencial de Internet. Los canales VPN están protegidos por potentes algoritmos de cifrado basados ​​en los estándares del protocolo de seguridad IPsec. IPSec o Seguridad del Protocolo de Internet: un estándar elegido por la comunidad internacional, el IETF - Internet Engineering Task Force, crea el marco de seguridad para el Protocolo de Internet (el protocolo IP/IPSec proporciona seguridad a nivel de red y requiere soporte para el estándar IPSec solo de dispositivos que se comunican entre sí en ambos lados de la conexión. Todos los demás dispositivos ubicados entre ellos simplemente proporcionan tráfico de paquetes IP.

El método de interacción entre personas que utilizan la tecnología IPSec generalmente se define con el término "asociación segura": Asociación de seguridad (SA). Una asociación segura funciona sobre la base de un acuerdo entre las partes, que utilizan IPSec para proteger la información que se transmiten entre sí. Este acuerdo regula varios parámetros: direcciones IP del remitente y del destinatario, algoritmo criptográfico, orden de intercambio de claves, tamaños de clave, vida útil de la clave, algoritmo de autenticación.

IPSec es un conjunto coherente de estándares abiertos con un núcleo que se puede ampliar fácilmente con nuevas funciones y protocolos. El núcleo de IPSec consta de tres protocolos:

· UN o Authentication Header - encabezado de autenticación - garantiza la integridad y autenticidad de los datos. El objetivo principal del protocolo AH es permitir que el lado receptor garantice que:

  • el paquete fue enviado por una parte con la que se ha establecido una asociación segura;
  • el contenido del paquete no fue distorsionado durante su transmisión a través de la red;
  • el paquete no es un duplicado de un paquete ya recibido.

Las dos primeras funciones son obligatorias para el protocolo AH y la última se selecciona opcionalmente al establecer una asociación. Para realizar estas funciones, el protocolo AH utiliza un encabezado especial. Su estructura se considera según el siguiente esquema:

  1. El siguiente campo de encabezado indica el código del protocolo de nivel superior, es decir, el protocolo cuyo mensaje se encuentra en el campo de datos del paquete IP.
  2. El campo de longitud de la carga útil contiene la longitud del encabezado AH.
  3. El índice de parámetros de seguridad (SPI) se utiliza para asociar un paquete con su asociación de seguridad prevista.
  4. El campo Número de secuencia (SN) indica el número de secuencia del paquete y se utiliza para proteger contra la suplantación de identidad (cuando un tercero intenta reutilizar paquetes seguros interceptados enviados por el remitente autenticado real).
  5. El campo de datos de autenticación, que contiene el llamado Valor de verificación de integridad (ICV), se utiliza para autenticar y verificar la integridad del paquete. Este valor, también llamado resumen, se calcula usando una de las dos funciones computacionalmente irreversibles MD5 o SAH-1 que requiere el protocolo AH, pero se puede usar cualquier otra función.

· ESP o carga útil de seguridad encapsulada- encapsulación de datos cifrados: cifra los datos transmitidos, garantizando la confidencialidad y también puede admitir la autenticación y la integridad de los datos;

El protocolo ESP resuelve dos grupos de problemas.

  1. El primero incluye tareas similares a las del protocolo AH: garantizar la autenticación y la integridad de los datos basándose en el resumen,
  2. El segundo son los datos transmitidos cifrándolos para que no puedan ser vistos por personas no autorizadas.

El encabezado se divide en dos partes, separadas por un campo de datos.

  1. La primera parte, denominada encabezado ESP, está formada por dos campos (SPI y SN), cuyo propósito es similar a los campos del mismo nombre en el protocolo AH, y se coloca antes del campo de datos.
  2. Los campos de servicio del protocolo ESP restantes, denominados remolque ESP, se encuentran al final del paquete.

Los dos campos finales (el siguiente encabezado y los datos de autenticación) son similares a los campos del encabezado AH. El campo Datos de autenticación está ausente si se toma la decisión de no utilizar las capacidades de integridad del protocolo ESP al establecer una asociación segura. Además de estos campos, el avance contiene dos campos adicionales: relleno y longitud de relleno.

Los protocolos AH y ESP pueden proteger datos de dos modos:

  1. en transporte: la transmisión se realiza con encabezados IP originales;
  2. en un túnel: el paquete original se coloca en un nuevo paquete IP y la transmisión se realiza con nuevos encabezados.

El uso de un modo u otro depende de los requisitos de protección de datos, así como del papel que desempeña en la red el nodo que finaliza el canal seguro. Por tanto, un nodo puede ser un host (nodo final) o una puerta de enlace (nodo intermedio).

En consecuencia, existen tres esquemas para utilizar el protocolo IPSec:

  1. anfitrión-anfitrión;
  2. puerta de enlace-puerta de enlace;
  3. puerta de enlace del host.

Las capacidades de los protocolos AH y ESP se superponen parcialmente: el protocolo AH es responsable únicamente de garantizar la integridad y autenticación de los datos, el protocolo ESP puede cifrar datos y, además, realizar las funciones del protocolo AH (en una forma simplificada ). Un ESP puede admitir funciones de cifrado y autenticación/integridad en cualquier combinación, es decir, todo el grupo de funciones, solo autenticación/integridad o solo cifrado.

· IKE o Internet Key Exchange - Intercambio de claves de Internet - resuelve la tarea auxiliar de proporcionar automáticamente a los puntos finales de un canal seguro las claves secretas necesarias para el funcionamiento de los protocolos de autenticación y cifrado de datos.

2.3 Capa de transporte

La capa de transporte utiliza el protocolo SSL/TLS o Secure Socket Layer/Transport Layer Security, que implementa el cifrado y la autenticación entre las capas de transporte del receptor y el transmisor. SSL/TLS se puede utilizar para proteger el tráfico TCP, pero no para proteger el tráfico UDP. Para operar una VPN basada en SSL/TLS, no es necesario implementar un software especial ya que cada navegador y cliente de correo electrónico está equipado con estos protocolos. Debido al hecho de que SSL/TLS se implementa en la capa de transporte, se establece una conexión segura "de extremo a extremo".

El protocolo TLS se basa en la versión 3.0 del protocolo SSL de Netscape y consta de dos partes: el protocolo de registro TLS y el protocolo de intercambio TLS. Las diferencias entre SSL 3.0 y TLS 1.0 son menores.

SSL/TLS incluye tres fases principales:

  1. Diálogo entre las partes, cuyo objetivo es seleccionar un algoritmo de cifrado;
  2. Intercambio de claves basado en criptosistemas de clave pública o autenticación basada en certificados;
  3. Transferencia de datos cifrados mediante algoritmos de cifrado simétrico.

2.4 Implementación de VPN: ¿IPSec o SSL/TLS?

Los responsables de los departamentos de TI a menudo se enfrentan a la pregunta: ¿qué protocolo elegir para construir una red VPN corporativa? La respuesta no es obvia ya que cada enfoque tiene ventajas y desventajas. Intentaremos realizar e identificar cuándo es necesario utilizar IPSec y cuándo SSL/TLS. Como se desprende del análisis de las características de estos protocolos, no son intercambiables y pueden funcionar tanto por separado como en paralelo, definiendo las características funcionales de cada una de las VPN implementadas.

La elección del protocolo para construir una red VPN corporativa se puede realizar según los siguientes criterios:

· Tipo de acceso requerido para usuarios de VPN.

  1. Conexión totalmente funcional y siempre activa a la red corporativa. La opción recomendada es el protocolo IPSec.
  2. Una conexión temporal, por ejemplo, de un usuario móvil o de un usuario que utiliza una computadora pública, para obtener acceso a ciertos servicios, como el correo electrónico o una base de datos. La opción recomendada es el protocolo SSL/TLS, que le permite organizar una VPN para cada servicio individual.

· Si el usuario es empleado de la empresa.

  1. Si el usuario es empleado de una empresa, el dispositivo que utiliza para acceder a la red corporativa vía VPN IPSec se puede configurar de alguna forma específica.
  2. Si el usuario no es empleado de la empresa a la que accede a la red corporativa, se recomienda utilizar SSL/TLS. Esto limitará el acceso de los invitados únicamente a ciertos servicios.

· Cuál es el nivel de seguridad de la red corporativa.

  1. Alto. La opción recomendada es el protocolo IPSec. De hecho, el nivel de seguridad que ofrece IPSec es mucho mayor que el que ofrece el protocolo SSL/TLS debido al uso de software configurable en el lado del usuario y una puerta de enlace de seguridad en el lado de la red corporativa.
  2. Promedio. La opción recomendada es el protocolo SSL/TLS, que permite el acceso desde cualquier terminal.

· Nivel de seguridad de los datos transmitidos por el usuario.

  1. Alto, por ejemplo, la gestión de la empresa. La opción recomendada es el protocolo IPSec.
  2. Promedio, por ejemplo, socio. La opción recomendada es el protocolo SSL/TLS.

Dependiendo del servicio, de medio a alto. La opción recomendada es una combinación de los protocolos IPSec (para servicios que requieren un alto nivel de seguridad) y SSL/TLS (para servicios que requieren un nivel medio de seguridad).

· Lo que es más importante, una rápida implementación de VPN o la futura escalabilidad de la solución.

  1. Implemente rápidamente una red VPN a un costo mínimo. La opción recomendada es el protocolo SSL/TLS. En este caso, no es necesario implementar un software especial por parte del usuario como en el caso de IPSec.
  2. Escalabilidad de la red VPN: agrega acceso a varios servicios. La opción recomendada es el protocolo IPSec, que permite el acceso a todos los servicios y recursos de la red corporativa.
  3. Rápida implementación y escalabilidad. La opción recomendada es una combinación de IPSec y SSL/TLS: usar SSL/TLS en la primera etapa para acceder a los servicios necesarios, seguido de la implementación de IPSec.

3. Métodos para implementar redes VPN.

Una red privada virtual se basa en tres métodos de implementación:

· Túneles;

· Cifrado;

· Autenticación.

3.1 Túneles

La construcción de túneles garantiza la transferencia de datos entre dos puntos (los extremos del túnel) de tal manera que toda la infraestructura de red que se encuentra entre ellos queda oculta para la fuente y el receptor de los datos.

El medio de transporte del túnel, como un ferry, recoge los paquetes del protocolo de red utilizado en la entrada del túnel y los entrega sin cambios a la salida. Basta con construir un túnel para conectar dos nodos de red de modo que, desde el punto de vista del software que se ejecuta en ellos, parezcan estar conectados a la misma red (local). Sin embargo, no debemos olvidar que, de hecho, el "ferry" con datos pasa a través de muchos nodos intermedios (enrutadores) de una red pública abierta.

Esta situación plantea dos problemas. La primera es que los atacantes pueden interceptar la información transmitida a través del túnel. Si es confidencial (números de tarjetas bancarias, estados financieros, información personal), entonces la amenaza de su compromiso es bastante real, lo que en sí mismo es desagradable. Peor aún, los atacantes tienen la capacidad de modificar los datos transmitidos a través del túnel para que el destinatario no pueda verificar su autenticidad. Las consecuencias pueden ser las más nefastas. Teniendo en cuenta lo anterior, llegamos a la conclusión de que el túnel en su forma pura es adecuado sólo para ciertos tipos de juegos de computadora en red y no puede pretender que se use más en serio. Ambos problemas se resuelven con medios modernos de protección de información criptográfica. Para evitar que se realicen cambios no autorizados en el paquete de datos a medida que viaja a través del túnel, se utiliza el método de firma digital electrónica (). La esencia del método es que a cada paquete transmitido se le suministra un bloque adicional de información, que se genera de acuerdo con un algoritmo criptográfico asimétrico y es único para el contenido del paquete y la clave secreta de la firma digital del remitente. Este bloque de información es la firma digital del paquete y permite que los datos sean autenticados por el destinatario, que conoce la clave pública de la firma digital del remitente. La protección de los datos transmitidos a través del túnel contra la visualización no autorizada se logra mediante el uso de potentes algoritmos de cifrado.

3.2 Autenticación

La seguridad es la función principal de una VPN. Todos los datos de las computadoras cliente pasan a través de Internet al servidor VPN. Un servidor de este tipo puede estar ubicado a una gran distancia de la computadora del cliente, y los datos en el camino hacia la red de la organización pasan a través del equipo de muchos proveedores. ¿Cómo puedo asegurarme de que los datos no han sido leídos ni modificados? Para ello se utilizan diversos métodos de autenticación y cifrado.

PPTP puede utilizar cualquiera de los protocolos utilizados por PPP para autenticar usuarios.

  • EAP o Protocolo de autenticación extensible;
  • MSCHAP o Protocolo de autenticación por desafío mutuo de Microsoft (versiones 1 y 2);
  • CHAP o Protocolo de autenticación por desafío mutuo;
  • Protocolo de autenticación de contraseña SPAP o Shiva;
  • PAP o Protocolo de autenticación de contraseña.

Los mejores protocolos son MSCHAP versión 2 y Transport Layer Security (EAP-TLS), ya que proporcionan autenticación mutua, es decir. El servidor y el cliente VPN se identifican entre sí. En todos los demás protocolos, sólo el servidor autentica a los clientes.

Aunque PPTP proporciona un grado suficiente de seguridad, L2TP sobre IPSec es más confiable. L2TP sobre IPSec proporciona autenticación a nivel de usuario y computadora, y también realiza autenticación y cifrado de datos.

La autenticación se lleva a cabo mediante una prueba abierta (contraseña de texto sin cifrar) o mediante un esquema de desafío/respuesta. Todo está claro con el texto directo. El cliente envía al servidor una contraseña. El servidor compara esto con el estándar y niega el acceso o dice "bienvenido". La autenticación abierta casi nunca se ve.

El esquema de solicitud/respuesta es mucho más avanzado. En general se ve así:

  • el cliente envía al servidor una solicitud de autenticación;
  • el servidor devuelve una respuesta aleatoria (desafío);
  • el cliente toma un hash de su contraseña (un hash es el resultado de una función hash que convierte una matriz de datos de entrada de longitud arbitraria en una cadena de bits de salida de longitud fija), cifra la respuesta con él y la transmite al servidor;
  • el servidor hace lo mismo, comparando el resultado recibido con la respuesta del cliente;
  • si la respuesta cifrada coincide, la autenticación se considera exitosa;

En el primer paso de autenticar clientes y servidores VPN, L2TP sobre IPSec utiliza certificados locales obtenidos de una autoridad certificadora. El cliente y el servidor intercambian certificados y crean una conexión segura ESP SA (asociación de seguridad). Después de que L2TP (sobre IPSec) completa el proceso de autenticación de la computadora, se realiza la autenticación a nivel de usuario. Para la autenticación, puede utilizar cualquier protocolo, incluso PAP, que transmite el nombre de usuario y la contraseña en texto claro. Esto es bastante seguro, ya que L2TP sobre IPSec cifra toda la sesión. Sin embargo, realizar la autenticación de usuario mediante MSCHAP, que utiliza diferentes claves de cifrado para autenticar la computadora y el usuario, puede mejorar la seguridad.

3.3. Cifrado

El cifrado PPTP garantiza que nadie pueda acceder a sus datos mientras se envían a través de Internet. Actualmente hay dos métodos de cifrado compatibles:

  • MPPE o Microsoft Point-to-Point Encryption solo es compatible con MSCHAP (versiones 1 y 2);
  • EAP-TLS puede seleccionar automáticamente la longitud de la clave de cifrado al negociar parámetros entre el cliente y el servidor.

MPPE admite claves con longitudes de 40, 56 o 128 bits. Viejo sistemas operativos Windows solo admite cifrado de longitud de clave de 40 bits, por lo que en un entorno mixto de Windows debe elegir la longitud mínima de clave.

PPTP cambia el valor de la clave de cifrado después de cada paquete recibido. El protocolo MMPE fue diseñado para enlaces de comunicación punto a punto en los que los paquetes se transmiten secuencialmente y hay muy poca pérdida de datos. En esta situación, el valor de la clave para el siguiente paquete depende de los resultados del descifrado del paquete anterior. Al construir redes virtuales a través de redes públicas, estas condiciones no se pueden cumplir, ya que los paquetes de datos a menudo llegan al destinatario en una secuencia diferente a la que fueron enviados. Por lo tanto, PPTP utiliza números de secuencia de paquetes para cambiar la clave de cifrado. Esto permite realizar el descifrado independientemente de los paquetes recibidos anteriormente.

Ambos protocolos se implementan tanto en Microsoft Windows como fuera de él (por ejemplo, en BSD), los algoritmos de funcionamiento de VPN pueden diferir significativamente.

Por lo tanto, la combinación "túnel + autenticación + cifrado" le permite transferir datos entre dos puntos a través de una red pública, simulando el funcionamiento de una red privada (local). En otras palabras, las herramientas consideradas le permiten construir una red privada virtual.

Un efecto agradable adicional de una conexión VPN es la posibilidad (e incluso la necesidad) de utilizar el sistema de direccionamiento adoptado en la red local.

La implementación de una red privada virtual en la práctica se ve así: Se instala un servidor VPN en la red informática local de la oficina de la empresa. El usuario remoto (o enrutador, si conecta dos oficinas) que utiliza el software de cliente VPN inicia el procedimiento de conexión con el servidor. Se produce la autenticación del usuario: la primera fase para establecer una conexión VPN. Si se confirma la autoridad, comienza la segunda fase: los detalles para garantizar la seguridad de la conexión se acuerdan entre el cliente y el servidor. Después de esto, se organiza una conexión VPN, que garantiza el intercambio de información entre el cliente y el servidor en el momento en que cada paquete de datos pasa por procedimientos de cifrado/descifrado y verificación de integridad: autenticación de datos.

El principal problema de las redes VPN es la falta de estándares establecidos para la autenticación y el intercambio de información cifrada. Estos estándares aún están en desarrollo y, por lo tanto, los productos de diferentes fabricantes no pueden establecer conexiones VPN e intercambiar claves automáticamente. Este problema implica una desaceleración en la expansión de las VPN, ya que es difícil obligar a diferentes empresas a utilizar los productos de un fabricante y, por lo tanto, el proceso de combinar las redes de las empresas asociadas en las llamadas redes extranet es complicado.

Las ventajas de la tecnología VPN son que el acceso remoto no se organiza a través de una línea telefónica, sino a través de Internet, lo que es mucho más barato y mejor. La desventaja de la tecnología VPN es que las herramientas de creación de VPN no son medios completos para detectar y bloquear ataques. Pueden evitar una serie de acciones no autorizadas, pero no todas las posibilidades que pueden utilizarse para penetrar una red corporativa. Pero a pesar de todo esto, la tecnología VPN tiene perspectivas de mayor desarrollo.

¿Qué podemos esperar en términos de desarrollo de la tecnología VPN en el futuro? Sin duda, se desarrollará y aprobará un estándar unificado para la construcción de dichas redes. Lo más probable es que la base de este estándar sea el ya probado protocolo IPSec. A continuación, los fabricantes se centrarán en mejorar el rendimiento de sus productos y crear herramientas de gestión de VPN fáciles de usar. Lo más probable es que el desarrollo de herramientas de creación de VPN vaya en la dirección de las VPN basadas en enrutadores, ya que esta solución combina un rendimiento bastante alto, integración de VPN y enrutamiento en un solo dispositivo. Sin embargo, también se desarrollarán soluciones de bajo costo para organizaciones pequeñas. En conclusión hay que decir que, a pesar de que la tecnología VPN es todavía muy joven, tiene un gran futuro por delante.

¡Deja tu comentario!

Dile a tus amigos
Gorjeo
Con el advenimiento...
Artículo siguiente
Leer también
Cómo transferir datos desde iPhone a computadora mediante un cable USB
Cómo transferir datos desde iPhone a computadora mediante un cable USB
2024-01-31 08:58:56
Qué hacer si aparece el error
Qué hacer si aparece el error "No se pudo encontrar el acuerdo de licencia" al instalar Windows
2024-01-30 07:30:31
¿Qué debo hacer si no hay señal en el monitor cuando enciendo la computadora?
¿Qué debo hacer si no hay señal en el monitor cuando enciendo la computadora?
2024-01-29 06:40:47
Métodos de protección contra el acceso no autorizado.
Métodos de protección contra el acceso no autorizado.
2024-01-28 07:36:03