NA - OpenVPN - 1608

1

Redes Privadas Virtuales

La aparición de las tecnologías de cifrado datos y autenticación de usuarios ha posibilitado

unificar varias redes locales remotas en una sola sin miedo a que los datos privados queden

expuestos en Internet. Este tipo de solución se conoce como Red Privada Virtual (VPN:

Virtual Private Network). Las VPN conectan equipos remotos, a través de la red pública

Internet, como si estuvieran en una sola red, permitiendo mantener las mismas políticas de

permisos, seguridad, intercambio de recursos, y demás funcionalidades que ofrece una red

local (LAN: Local Area Network).

A partir de aquí, el rango de aplicaciones es infinito. Pensemos en la flexibilidad laboral y la

posibilidad de trabajar desde casa conectado al puesto de trabajo mediante un escritorio

virtual. Otra aplicación común en las empresas es la conexión de las diferentes sedes como

si todos los trabajadores estuvieran alojados en un mismo edificio. Este tipo de uso se abstrae

aún más al pensar en infraestructuras de cadenas hoteleras o los edificios públicos,

centralizando toda la gestión de estos.

A nivel industrial destaca el control remoto de procesos, donde los equipos de control

situados en diferentes plantas de producción son gestionados desde un único

centro de control. En el sector de las comunicaciones, la gestión centralizada de

los diferentes repetidores y de infraestructura crítica requiere también una seguridad

especial que evite cualquier agujero de seguridad. También, en el mundo de la banca, la

comunicación de todas las sucursales y cajeros automáticos exige más que nunca

conexiones de máxima seguridad con algoritmos robustos y fiables de

autenticación y encriptación.

NA - OpenVPN - 1608

2

Aspectos claves de seguridad

Las VPN garantizan la seguridad en base a la identificación de usuarios, el cifrado de los

datos y la administración y actualización de claves de acceso. A partir de estos tres axiomas

aparecen algunas definiciones que conviene recordar:

- Autenticación: definición del usuario o equipo con acceso a la red.

- Integridad: garantía de que los datos recibidos no fueron modificados durante su

envío. Implica utilizar algoritmos de criptografía, denominados hash.

- Confidencialidad: garantía que los datos enviados sólo pueden ser interpretados por

el destinatario. Se consigue utilizando claves y algoritmos de cifrado.

- No repudio: todos los datos deben ir firmados, el emisor debe estar identificado.

- Control de acceso: todo usuario tiene únicamente acceso a los datos para los que

está autorizado.

- Registro: registro de la actividad, de forma que se pueda recuperar el sistema.

- Calidad del servicio: garantía del rendimiento de la red, garantizando una velocidad

de transmisión correcta.

Modelos de VPN

Se distinguen tres modelos de VPN: acceso remoto, punto a punto y VPN over LAN.

Las VPN de acceso remoto son las más conocidas. Un ejemplo habitual es el trabajador

que se conecta a los recursos de su empresa desde otro lugar, pudiendo acceder a los

mismos recursos que en su puesto de trabajo. En este caso, el servidor VPN crea el túnel

VPN una vez recibe la petición de un cliente y éste supera el proceso de

autenticación; finalizada la conexión, se destruye el túnel.

VPN de acceso remoto

NA - OpenVPN - 1608

3

El modelo VPN punto a punto, mantiene un túnel constante entre servidor y

cliente. Éste es el modelo típico utilizado para conectar diferentes sucursales de una

empresa con su sede central. En este caso, tanto el equipo servidor como el equipo cliente

serían dos routers.

VPN punto a punto

Las redes VPN over LAN aíslan zonas y servicios de una red de área local. El

funcionamiento es similar al de las VPN de acceso remoto, pero de forma interna.

Aplicaciones de este modelo es el incremento de seguridad en conexiones WiFi mediante

túneles cifrados y de autenticación o en redes privadas de empresa para garantizar la

privacidad de datos especialmente confidenciales como los financieros o de recursos

humanos.

Implementaciones de VPN

Para implementar una VPN es necesario disponer de un protocolo que se encargue de la

encriptación, la autenticación y/o enrutamiento. Los protocolos más conocidos son PPTP,

L2TP e IPSec. Si bien, también se puede implementar la VPN acudiendo a métodos como el

túnel GRE o a soluciones acabadas como OpenVPN. Esta última es, actualmente, la más

popular.

NA - OpenVPN - 1608

4

PPTP

El protocolo PPTP (Point to Point Tunneling Protocol) crea tramas basadas en el protocolo

PPP, encapsuladas en IP. La encriptación es básica, pero es fácil de usar y configurar, esto

es, de rápida implementación.

L2TP

L2TP (Layer 2 Tunneling Protocol) es similar a PPTP. De hecho, encapsula tramas PPP. Es

algo más eficiente pero también consume más recursos. No contempla cifrado, sino que se

apoya en otros protocolos como IPSec. Utiliza mensajes de control para la gestión del túnel

y mensajes de datos para transmitir la información. Este protocolo está disponible en la

mayoría de smartphones y ordenadores.

IPSec

IPSec (Internet Protocol Security) integra diferentes protocolos y estándares. A diferencia de

PPTP, dispone de algoritmos de cifrado avanzados, aunque presenta mayor complejidad de

configuración. Garantiza la privacidad, integridad y autenticación de los datos. Está en

constante evolución y mejora. Soporta dos modos: transporte y túnel. El modo transporte

crea una conexión entre dos puntos, mientras que el modo túnel puede enlazar dos redes

locales.

GRE Tunnel

Este método creado por CISCO encapsula hasta 20 protocolos de red distintos. No encripta

los datos de datos, tan sólo encapsula y envía las tramas, permitiendo establecer políticas

de routing y seguridad.

OpenVPN

OpenVPN es una aplicación de software de código abierto, muy popular, rápida, segura,

fiable y que ofrece el máximo rendimiento. Ofrece dos tipos de encriptación (Static Key y

certificados SSL/TLS) y dos modos de trabajo (TUN y TAP).

La encriptación Static Key se basa en cuatro claves compartidas previamente por ambos

nodos del túnel. Cada una de estas claves tiene una función asignada: envío, recepción,

encriptación y desencriptación. Los certificados SSL/TLS (Secure Sockets Layer / Transport

Layer Security) establecen una autenticación bidireccional, donde cada parte debe

autenticarse con su propio certificado, no sólo el cliente.

NA - OpenVPN - 1608

5

Si la certificación bidireccional se realiza con éxito, cada parte genera una clave de

encriptación/desencriptación aleatoria que envía al contrario. De esta forma, el par

encriptación/desencriptación es distinto en cada nodo.

El modo TUN se utiliza para routing con paquetes IP, mientras que el modo TAP es para

operar en modo bridge con tramas Ethernet.

VPN Passthrough

Otro concepto importante al seleccionar un router es VPN passthrough. Se trata de la

cualidad que dispone éste de ser transparente a una VPN. Al establecer una VPN entre dos

nodos, si uno de ellos está conectado a un router que no permita el tráfico de una VPN, no

es posible crear el túnel, pues éste bloquearía las tramas.

Ejemplo de configuración con OpenVPN

A continuación se muestra un ejemplo de configuración de una VPN con la interfaz

real de un router, en este caso, de una de las marcas punteras de Europa: Teltonika.

El RUT500 de Teltonika soporta OpenVPN, IPSec y

túneles GRE; pero, toda la gama de routers RUT9x

(RUT900/ RUT905/RUT950/RUT955) soportan no sólo

OpenVPN, IPsec y túneles GRE, sino también PPTP y L2TP.

También disponen de VPN passthrough, por tanto, son

válidos para implementar una VPN entre un nodo conectado

a un puerto LAN del router y un equipo remoto.

Teltonika RUT950

En este caso, por ser el método más extendido y rápido, se

presenta una VPN basada en OpenVPN entre el router y un

cliente Windows con encriptación Static Key.

Cabe destacar que los routers de Teltonika, como servidor OpenVPN son capaces de

establecer túneles con un máximo de 350 clientes, y soportan tanto encriptación Static Key

como SSL/TLS así como los modos TUN y TAP.

NA - OpenVPN - 1608

6

Configuración del cliente:

El primer paso es descargar e instalar el software desde la página web de OpenVPN, en el

siguiente enlace https://openvpn.net/index.php/open-source/downloads.html Entre las

diferentes opciones, se debe escoger la que coincida con el sistema operativo de nuestro

ordenador.

Una vez instalado, el siguiente paso es obtener la clave estática, ejecutando “Generate a

static OpenVPN key”.

Generación de la clave estática.

Esta acción debería haber generado un fichero key.txt en ‘C:\Program Files\OpenVPN\config’.

En esta misma carpeta, se debe crear el fichero ‘static.ovpn’ según el siguiente contenido:

remote 192.168.99.156

verb 3

proto udp

dev tun

ifconfig 10.8.0.6 10.8.0.5

10.8.0.5

key.txt

persist-key

persist-tun

El campo ’remote’ se refiere a la dirección IP del servidor con el que se establecerá la VPN.

El campo ‘ifconfig’ son las IP virtuales, remota y local, respectivamente. Finalmente, ‘key.txt’

apunta a la clave creada anteriormente.

NA - OpenVPN - 1608

7

Configuración del router como servidor:

Una vez se accede al interfaz del router a través del Navegador con la IP: 192.168.1.1 el

usuario: admin y la contraseña: admin01 se debe acceder a la pantalla OpenVPN del menú

‘Services’.

Listado de redes OpenVPN

En esta pantalla se añade una nueva configuración con el rol Server, indicando el nombre

que consideremos más apropiado. Cuando esté creado, aparecerá en el listado de Túneles,

en la parte superior. Allí, clicando en Edit, se configuran todos los parámetros. Se deberá

seleccionar autenticación Static Key, la dirección local y remota IP del túnel, la dirección IP

del cliente y la máscara de red, y añadir el fichero con la clave ‘key.txt’ creado en el cliente;

según el apartado anterior.

Pantalla de configuración.

NA - OpenVPN - 1608

8

Conexión del cliente al servidor:

Cuando tengamos configurados cliente y servidor ya es posible establecer la conexión desde

el cliente. Tan sólo es necesario ejecutar la aplicación ‘OpenVPN GUI’, desplegar el menú

contextual con el botón derecho y seleccionar ‘Connect’.

En este momento, ya estaremos conectados al router a través de una VPN.

No dudes en contactar con nosotros para ampliar información o para ayudarte a seleccionar

la mejor solución para tu aplicación: info@monolitic.com