Introducción a las VPN

Una VPN (Virtual Private Network) es una tecnología que permite extender de forma segura una red privada sobre otra pública como Internet. 

Comunmente las VPN se usan para trabajar en la red de una empresa sin estar físicamente en ella. Una vez conectados al servidor VPN de la empresa, nuestro ordenador pasará a formar parte de la red de la empresa, accediendo a los servidores y recursos disponibles en la misma.

El mecanismo se describe el siguiente diagrama:

Características de una VPN

Una VPN debe garantizar dos cuestiones fundamentales:

Autenticación de usuario. Cuando conectamos al servidor de VPN deberemos identificarnos con un certificado o un usuario/contraseña. De este modo se restringe el acceso a personas no autorizadas.

Cifrado de datos. Dado que la conexión a una VPN implica la circulación de datos por redes "públicas", si queremos garantizar la confidencialidad de los mismos deberemos cifrarlos. El cifrado se realiza con algoritmos de clave simétrica (DES o 3DES) cuyas claves han sido intercambiadas previamente mediante el típico handshaking SSL.

Tipos de VPN según el mecanismo de conexión

Hay varios tipos de VPN: VPN punto a punto. Muy poco usada en la actualidad. Esta modalidad implica la conexión al servidor de VPN

mediante líneas de datos dedicadas: modem, RDSI, etc.

Tunneling. Es el tipo de VPN más frecuente hoy en día. El servidor VPN de la empresa es visible en Internet y conectamos al mismo a través de nuestro ISP (proveedor de acceso a internet). La conexión está cifrada para evitar "escuchas" no deseadas. El protocolo de red usado en la empresa (por ejemplo IPX) queda encapsulado y cifrado dentro del protocolo que usamos para transmitir/recibir datos en Internet (por ejemplo TCP/IP).

Usos típicos de las VPN

Hoy en día las VPN se usan también en escenarios distintos del escenario para el que fueron ideadas (conexión remota a la red local de la empresa). Algunos de estos escenarios son:

Aislar dentro de la LAN (red de area local) de una empresa una subred con información sensible. Por ejemplo podríamos tener todos los servidores y ordenadores del departamento de investigación y desarrollo en una VPN montada sobre la propia LAN para evitar escuchas de los paquetes por parte de empleados desleales, la información de la VPN se mueve por la LAN, pero cifrada.

Navegación anónima en Internet. Navegar por Internet con nuestra propia dirección IP y sin encriptar acarrea deficiencias de seguridad: se dejan muchos rastros de nuestras actividades en todo tipo de servidores, hay portales como Netflix que sólo son visibles desde determinadas zonas geográficas (EEUU), las empresas colocan proxies que limitan el acceso a determinados servicios (youtube, facebook, irc, descargas, etc), etc.

Hay muchos proveedores de VPN en Internet que permiten una navegación segura y anónima. Muchos son de pago y haya algunos gratuítos. Ojo con estos últimos, no adelantamos mucho navegando en modo cifrado si el servidor VPN no es confiable, Yo nunca realizaría una transacción bancaria o un pago con tarjeta a través de un servidor de este tipo.

La utilización de una conexión VPN gratuíta o de pago nos permite:

Que nuestros paquetes de datos estén cifrados, por lo que nadie conoce qué estamos realizando. Podemos conectar a un servidor VPN de la zona geográfica que nos interese (por ejemplo EEUU), con lo que

accederíamos a portales como Netflix. Si el proxy de la empresa no nos deja acceder a YouTube, podemos conectar a un servidor VPN y acceder con

la IP de la red virtual a YouTube. El proxy de la empresa no puede ver los datos de nuestros paquetes, dado que van cifrados, por lo que no puede restringirnos el acceso.

Protocolos VPN

El protocolo estándar de facto es el IPSEC, pero también están PPTP, L2F, L2TP, SSL/TLS, SSH, etc.

Los distintos protocolos VPN tienen puntos fuertes y puntos débiles. Vamos a comparar las tres más comunes:

PPTP. PPTP (Protocolo de Túnel Punto a Punto) es un buen protocolo VPN ligero que ofrece una seguridad básica en línea y velocidades rápidas. PPTP está integrado en una gran variedad de equipos de sobremesa y dispositivos móviles y cuenta con encriptación de 128 bits. PPTP es una buena elección si OpenVPN no está disponible en su dispositivo y la velocidad es la máxima prioridad.

IPSEC. L2TP (Protocolo de tunelización de Capa 2) con IPsec (Seguridad de IP) es un protocolo integrado muy seguro para una amplia variedad de dispositivos de escritorio y móviles. L2TP/IPsec ofrece un encriptado de 256-bits, pero la seguridad extra de sobrecarga requiere más uso del CPU que PPTP. L2TP/IPsec es una elección excelente si OpenVPN no está disponible en su dispositivo, pero usted quiere más seguridad que PPTP.

OpenVPN(SSL). OpenVPN es el protocolo VPN premier diseñado para redes de banda ancha modernas, pero no es compatible con los dispositivos móviles y tablets. OpenVPN ofrece un encripado de 256-bits y es extremadamente estable y rápido en las redes con largas distancias y alto tiempo de espera. Provee mayor seguridad que PPTP y requere menor uso de CPU que L2TP/IPsec. OpenVPN es el protocolo recomendado para escritorios incluyendo Windows, Mac OS X, y Linux.

Lo habitual es utilizar software tanto en el servidor como en los clientes VPN, pero también se puede montar la VPN mediante hardware, lo que da una mayor velocidad a las comunicaciones, pero es mucho mas caro y ofrece menos versatilidad.

Protocolos de túnel VPN

Los túneles permiten la encapsulación de un paquete de un tipo de protocolo dentro del datagrama a un protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública, como Internet. Es posible configurar una solución VPN basada en el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos (L2TP) o el protocolo de túnel de sockets seguros (SSTP).

PPTP, L2TP y SSTP dependen en gran medida de las características especificadas originalmente para el protocolo punto a punto (PPP). PPP se diseñó para enviar datos a través de conexiones punto a punto de acceso telefónico o dedicado. Para IP, PPP encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP encapsulados a través de un vínculo punto a punto. PPP se definió originalmente como el protocolo que debía usarse entre un cliente de acceso telefónico y un servidor de acceso a la red.

PPTP

PPTP permite que el tráfico multiprotocolo se cifre y se encapsule en un encabezado IP para que, de este modo, se envíe a través de una red IP o una red IP pública, como Internet. PPTP puede utilizarse para el acceso remoto y las conexiones VPN entre sitios. Cuando se usa Internet como la red pública de una VPN, el servidor PPTP es un servidor VPN habilitado para PPTP con una interfaz en Internet y una segunda interfaz en la intranet.

Encapsulación

PPTP encapsula las tramas PPP en datagramas IP para su transmisión a través de la red. PPTP usa una conexión TCP para la administración del túnel y una versión modificada de GRE (encapsulación de enrutamiento genérico) para encapsular las tramas PPP de los datos enviados a través del túnel. Las cargas de las tramas PPP encapsuladas pueden cifrarse, comprimirse o ambas cosas. En la siguiente ilustración se muestra la estructura de un paquete PPTP que contiene un datagrama IP.

Estructura de un paquete PPTP que contiene un datagrama IP

Cifrado

La trama PPP se cifra con MPPE (cifrado punto a punto de Microsoft) mediante el uso de claves de cifrado generadas a partir del proceso de autenticación MS-CHAP v2 o EAP-TLS. Los clientes de la red privada virtual deben usar el protocolo de autenticación MS-CHAP v2 o EAP-TLS para poder cifrar las cargas de las tramas PPP. PPTP aprovecha el cifrado PPP subyacente y encapsula una trama PPP previamente cifrada.

L2TP

L2TP permite cifrar el tráfico multiprotocolo y enviarlo a través de cualquier medio compatible con la entrega de datagramas punto a punto, como IP o ATM (modo de transferencia asincrónico). L2TP es una combinación de PPTP y L2F (reenvío de nivel 2), una tecnología desarrollada por Cisco Systems, Inc. L2TP presenta las mejores características de PPTP y L2F.

A diferencia de PPTP, la implementación de Microsoft de L2TP no usa MPPE para cifrar los datagramas PPP. L2TP se basa en IPsec (protocolo de seguridad de Internet) en modo de transporte para los servicios de cifrado. La combinación de L2TP e IPsec se denomina L2TP/IPsec.

Tanto el cliente como el servidor VPN deben ser compatibles con L2TP e IPsec. La compatibilidad del cliente con L2TP está integrada en los clientes de acceso remoto de Windows Vista® y Windows XP y la compatibilidad del servidor VPN con L2TP está integrada en los miembros de las familias de Windows Server® 2008 y Windows Server 2003.L2TP se instala con el protocolo TCP/IP.

Encapsulación

La encapsulación de los paquetes L2TP/IPsec consta de dos niveles:

Primer nivel: encapsulación L2TPUna trama PPP (un datagrama IP) se encapsula con un encabezado L2TP y un encabezado UDP.

Estructura de un paquete L2TP que contiene un datagrama IP

Segundo nivel: encapsulación IPsec

El mensaje L2TP se encapsula con un encabezado y un finalizador ESP (carga de seguridad encapsuladora) IPsec, un finalizador de autenticación IPsec que proporciona integridad y autenticación de mensaje y un encabezado IP final. En el encabezado IP se encuentran las direcciones IP de origen y destino que corresponden al cliente y al servidor VPN.

Cifrado de tráfico L2TP con ESP IPsec

Cifrado

El mensaje L2TP se cifra con DES (estándar de cifrado de datos) o 3DES (Triple DES) mediante el uso de las claves de cifrado generadas en el proceso de negociación de IKE (intercambio de claves por red).

SSTP

El protocolo de túnel de sockets seguros (SSTP) es un nuevo protocolo de túnel que usa el protocolo HTTPS a través del puerto TCP 443 para hacer pasar el tráfico a través de firewalls y proxies web que podrían bloquear el tráfico PPTP y L2TP/IPsec. SSTP proporciona un mecanismo para encapsular el tráfico PPP a través de un canal SSL (capa de sockets seguros) del protocolo HTTPS. El uso de PPP permite la compatibilidad con métodos de autenticación seguros, como EAP-TLS. SSL proporciona seguridad de nivel de transporte con negociación de claves mejorada, cifrado y comprobación de integridad.

Cuando un cliente trata de establecer una conexión VPN basada en SSTP, lo primero que hace SSTP es establecer un nivel HTTPS bidireccional con el servidor SSTP. A través de este nivel HTTPS, los paquetes del protocolo se transmiten como la carga de datos.

Encapsulación

SSTP encapsula las tramas PPP en datagramas IP para su transmisión a través de la red. SSTP usa una conexión TCP (a través del puerto 443) para la administración del túnel, así como tramas de datos PPP.

Cifrado

El mensaje SSTP se cifra con el canal SSL del protocolo HTTPS.

Selección de protocolos de túnel

A la hora de elegir entre las soluciones VPN de acceso remoto basadas en PPTP, L2TP/IPsec y SSTP, tenga en cuenta los siguientes aspectos:

PPTP puede utilizarse con diversos clientes de Microsoft, como Microsoft Windows 2000, Windows XP, Windows Vista, y Windows Server 2008. Al contrario que L2TP/IPsec, PPTP no requiere el uso de una infraestructura de clave pública (PKI). Gracias al cifrado, las conexiones VPN basadas en PPTP proporcionan confidencialidad de datos (los paquetes capturados no pueden interpretarse sin la clave de cifrado). Sin embargo, las conexiones VPN basadas en PPTP no ofrecen integridad de datos (pruebas de que los datos no se modificaron durante su tránsito) ni autenticación del origen de datos (pruebas de que los datos fueron enviados por el usuario autorizado).

L2TP sólo puede usarse en equipos cliente que ejecuten Windows 2000, Windows XP o Windows Vista. L2TP admite certificados de usuario o una clave previamente compartida como método de autenticación para IPsec. La autenticación de certificados de equipo, que es el método de autenticación recomendado, requiere una PKI para emitir certificados de equipo al servidor VPN y a todos los equipos cliente VPN. Gracias a IPsec, las conexiones VPN basadas en L2TP/IPsec proporcionan confidencialidad, integridad y autenticación de datos.

A diferencia de PPTP y SSTP, L2TP/IPsec permite la autenticación de equipos en el nivel IPsec y la autenticación de usuario en el nivel PPP.

SSTP sólo puede usarse con equipos cliente que ejecuten Windows Vista Service Pack 1 (SP1) o Windows Server 2008. Gracias a SSL, las conexiones VPN basadas en SSTP proporcionan confidencialidad, integridad y autenticación de datos. 

Los tres tipos de túneles transportan las tramas PPP sobre la pila de protocolos de red. Por lo tanto, las características comunes de PPP, como los esquemas de autenticación, la negociación de los protocolos de Internet versión 4 (IPv4) y versión 6 (IPv6), y la protección de acceso a redes (NAP), no sufren variaciones en los tres tipos de túneles.