Redes Privadas Virtuales - VPN

El término VPN (Virtual Private Network: Red Privada Virtual), ha tenido varios usos a lo largo del tiempo asociados con conectividad remota de servicios, pero actualmente se ha establecido como sinónino de redes de datos basadas en IP.

Previo a este concepto, las grandes corporaciones gastaban enormes recursos a fin de configurar redes privadas de alta complejidad, hoy comunmente denominadas Intranets. Estas redes eran instaladas usando costosos servicios de líneas dedicadas, Frame Relay y ATM para incorporar usuarios remotos. Al mismo tiempo, empresas medianas y pequeñas no podían adquirir servicios tan costosos, y se encontraban condenadas a utilizar servicios muy inferiores.

Al volverse Internet más accesible, y aumentar en gran medida las capacidades de ancho de banda, se comenzaron a implementar las llamadas Extranets, permitiendo comunicar usuarios internos y externos con un bajo costo y una implementación rápida. Sin embargo, esto presenta un problema fundamental: la seguridad.

Las soluciones actuales de VPNs dan una respuesta a este problema. Utilizando protocolos especiales de encapsulamiento y procedimientos complejos de encripción, logra alcanzarse la integridad de datos y privacidad de conexiones punto a punto de una forma transparente, y una reducción de costos significativa al estar haciendo uso de una red pública.

Podemos decir entonces que existen al menos dos elementos fundamentales que combinados permiten formar una VPN: encripción y encapsulamiento.

Encripción

Las redes privadas virtuales garantizan la privacidad y la confidencialidad de la información haciendo uso de la encripción. En un muy breve resumen, encripción es una técnica que codifica la información de un modo que hace difícil o imposible su lectura, y la decodifica de modo que pueda ser leída nuevamente. A la información codificada se la llama cipher-text y a la información sin codificar, clear-text.

Cuando en una VPN se transmite información de un punto a otro, el Gateway de la VPN del punto de origen encripta la información en cipher-text antes de enviarla. En el otro punto, el Gateway receptor desencripta la información, es decir se vuelve clear-text, y luego la envía a la LAN.

Un algoritmo de encripción es una técnica reproducible de cifrado y descifrado de información que puede ser realizada por personas o computadoras. Un ejemplo sencillo de un algoritmo de encripción sería reemplazar cada letra en una oración por la letra que le sigue inmediatamente a ésta en el alfabeto, obteniendo el cipher-text. Para leer la oración original, simplemente reemplazaríamos cada letra del cipher-text por la letra que la precede en el alfabeto.

En el pasado (y en algunas implementaciones actuales de baja calidad), la encripción permanecía segura manteniendo el algoritmo como un secreto. De este modo, no se podía leer un mensaje encriptado ya que se desconocía cómo había sido creado. El principal problema es que una vez que el algoritmo ha sido descubierto, se tiene acceso a toda la información que haya sido encriptada con el mismo. Peor aún, dado que la técnica de encripción es un secreto, resulta imposible determinar cuán buena es su calidad ya que muy poca gente puede probarla.

Actualmente, los mejores métodos de encripción son públicos de modo tal que todo el mundo sepa cómo funcionan. De hecho, se sabe exactamente cómo es encriptada la información. Estos métodos están disponibles para cualquiera y están muy probados.

Autenticación

La tecnología de encripción garantiza la privacidad de la información al atravesar Internet. La tecnología de autenticación garantiza:

1. La identidad de los participantes de la VPN (los gateways y clientes son quienes dicen ser)
2. La integridad de la información recibida (no ha sido alterada en el camino)

Existen diversos modos de autenticación, siendo el mas común el uso de usuario y contraseña. El problema con este método en particular es que es un tanto inseguro: una de sus debilidades es que los usuarios deben elegir contraseñas que puedan recordar fácilmente. Esto significa que pueden ser adivinadas.

Una de las tecnologías mas utilizadas es la de certificados digitales, lo que permite autenticar e identificar tanto a personas como a sistemas sin el uso de usuarios y contraseñas. Un certificado digital es un registro que incluye varios datos, como el nombre de una persona, su dirección, su clave pública, y fechas de expiración del certificado que indican cuando éste deja de ser válido. En una VPN, los certificados digitales se utilizan para identificar a quien (persona o sistema) intenta conectarse a la VPN, y como medio de distribución de claves públicas.

Para evitar la falsificación, los certificados digitales se basan en la firma digital. La firma digital garantiza que la información recibida es auténtica y no ha sido alterada en modo alguno.

La creación de una firma digital es un procedimiento de dos pasos. Primero, el mensaje transmitido es procesado por un algoritmo de encripción particular: la función de hash, que transforma un mensaje de largo arbitrario en un número único de longitud fija. Este número creado por la función hash es llamado el digest del mensaje. Si se cambia en cualquier forma el mensaje original, el digest de este cambia también. Las funciones de hash son muy conocidas, como SHA (Secure Hash Algorithm) y MD5(Message Digest 5). El segundo paso para crear la firma digital, es encriptar el digest del mensaje utilizando la clave privada. Esto da como resultado la firma digital.

Encapsulamiento

Encripción, claves, certificados y firmas digitales son las tecnologías de seguridad que garantizan la privacidad en una VPN. Ahora, generalmente, el envío de información en una VPN se realiza entre direcciones privadas. Es decir, entre direcciones no routeables vía Internet.

Modos

Pueden realizarse conexiones IPSec de dos modos diferentes: modo de transporte y modo de túnel.

El modo de transporte es una conexión de host a host y sólo involucra dos máquinas. Cada equipo realiza su propio procesamiento de IPSec y routea paquetes en forma acorde (algunos via IPSec).

El modo de túnel es una conexión entre gateways, los cuales proveen túneles para ser utilizados por máquinas clientes detrás de cada gateway. Las máquinas clientes no realizan ningún procesamiento de IPSec, tan sólo routean a los gateways.

Efectividad y Economía

Una VPN es realmente efectiva en términos de intercambio de información crítica entre empleados que trabajan en oficinas remotas, en el hogar, o en la vía pública. Puede distribuir información en forma segura entre vendedores, proveedores o socios, aún habiendo una distancia enorme entre ellos. Debido a que las companías no tienen que invertir en gran infraestructura, pueden reducir sus costos operativos tercerizando los servicios de red a proveedores. VPNs también reducen costos al eliminar la necesidad de llamados telefónicos de larga distancia, combinando VPNs con Voz sobre IP (VoIP).

Tecnologías de Avanzada

OPENVPN

Debido a su estabilidad y confiabilidad, Openvpn se ha transformado en el estándar de facto para las VPNs más críticas. Utiliza una fuerte criptografía que provee autenticación y encriptación. Mientras que la autenticación asegura el origen de los datos, la encriptación provee la privacidad de los mismos.

El protocolo IPSec es utilizado ampliamente en IPv4, y será requerido en IPv6, la próxima generación de IP.

Openvpn posee también gran flexibilidad a la hora de personalizar las aplicaciones, ya que opera en la capa de red. Sin embargo, hay tres tipos de red privada que se utilizan ampliamente:

• Red Privada Virtual - VPN, que permite que múltiples sitios se conecten de forma segura a través de una red pública como Internet.
• Road Warriors, que permite a los usuarios que se conecten desde su hogar, hotel u oficina móvil, tanto en forma alámbrica como inalámbrica, ya sea desde un enlace dedicado o desde una conexión Dial-Up corriente.
• Encriptación Oportunista, que permite formar túneles seguros sin demasiada administración en ambos extremos. Cada gateway IPSec toma la información que necesita de un servidor de nombres (DNS).

Por último, cabe agregar que debido a que Openvpn es un protocolo estándar, puede operar con otros dispositivos o network appliances de VPN, asegurando la escalabidad en el fututo, aún con la llegada de IPv6.