Seguridad y VPN : Negociación IPSec/Protocolos IKE

Cómo funcionan las redes privadas virtuales (VPN)

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (13 Octubre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Antecedentes
¿Qué constituye una VPN?
Analogía: cada LAN es como una isla
Tecnologías de VPN
Productos VPN
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se estudian los elementos básicos de las VPN como los componentes, tecnología, tunelización y seguridad de VPN.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones específicas de software y hardware.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Antecedentes

En los últimos veinte años, el mundo ha experimentado grandes cambios. Ahora, un gran número de empresas, en vez de ocuparse sencillamente de cuestiones locales o regionales, tienen que pensar en mercados globales y en logística. Muchas disponen de instalaciones por todo el país o incluso el mundo. Aunque todas las empresas necesitan lo mismo: una forma de mantener comunicaciones rápidas, seguras y fiables no importa dónde se encuentren sus oficinas.

Hasta hace poco, una comunicación fiable significaba utilizar líneas alquiladas para mantener una red de área ancha (WAN). Las líneas alquiladas, que pueden ser tanto una red digital con servicios integrados (ISDN, que se ejecuta a 144 Kbps) como una fibra portadora óptica 3 (OC3, que se ejecuta a155 Mbps), permiten que las empresas amplíen sus redes privadas más allá de su área geográfica inmediata. En cuestiones relativas a fiabilidad, rendimiento y seguridad, una WAN tiene ventajas evidentes sobre una red pública como Internet, aunque su mantenimiento, sobre todo cuando se utilizan líneas alquiladas, puede llegar a ser muy caro (a menudo su costo aumenta a medida que aumenta la distancia entre oficinas). Asimismo, las líneas alquiladas no son una solución viable para organizaciones donde una parte de la fuerza de trabajo tiene una gran movilidad (como es el caso del personal de marketing) y debe conectarse remotamente con frecuencia con la red de la empresas para acceder a datos importantes.

Con el aumento de la popularidad de Internet, las empresas han puesto sus ojos en ella como forma de ampliar sus propias redes. Primero llegaron las intranets, que son sitios diseñados para que sólo los utilicen los empleados de la empresa. Ahora, un gran número de empresas crean sus propias redes privadas virtuales (VPN) para acomodar las necesidades de los empleados remotos y las oficinas distantes.

how_vpn_works_01.gif

Una VPN típica puede tener una red de área local (LAN) principal en la sede central de la empresa, otras LAN en oficinas o instalaciones remotas y usuarios individuales que se conectan desde el exterior.

Una VPN es una red privada que utiliza una red pública (por lo general Internet) para conectar sitios remotos o usuarios. En vez de utilizar una conexión exclusiva del mundo real como una línea alquilada, una VPN utiliza conexiones "virtuales" enrutadas a través de Internet desde la red privada de la empresa hasta el sitio remoto o el empleado.

¿Qué constituye una VPN?

Existen dos tipos comunes de VPN.

  • Acceso remoto: también conocida como red virtual de acceso telefónico privada (VPDN). Es una conexión de usuario a LAN utilizada por una empresa que tiene empleados que necesitan conectarse a la red privada desde varias ubicaciones remotas. Normalmente, una empresa que desee configurar una gran VPN de acceso remoto proporciona a sus usuarios algún tipo de cuenta de acceso telefónico a Internet mediante un proveedor de servicios de Internet (ISP). Así, los trabajadores que están de viaje pueden marcar un número 1-800 para entrar en Internet y usar su software cliente de VPN para acceder a la red de la empresa. Este tipo de VPN es muy útil, por ejemplo, para una gran empresa con cientos de comerciales que necesite una VPN de acceso remoto. Las VPN de acceso remoto permiten establecer conexiones seguras y cifradas entre la red privada de una empresa y usuarios remotos a través de un proveedor de servicios.

  • Sitio a sitio: una empresa pueden conectar varios sitios fijos a través de una red pública como Internet, utilizando un equipo exclusivo y un cifrado a gran escala. Cada sitio necesita únicamente disponer de una conexión local a la misma red pública, lo que permite que la empresa ahorre dinero en largas líneas alquiladas privadas. Las VPN de sitio a sitio pueden dividirse entre intranets y extranets. Una VPN de sitio a sitio creada entre oficinas de la misma empresa es una VPN intranet, mientras que una VPN creada para conectar la empresa con su empresa asociada o un cliente es una VPN extranet.

Una VPN bien diseñada puede aportar grandes beneficios a una empresa. Por ejemplo, puede:

  • Ampliar la conectividad geográfica

  • Reducir los costos de funcionamiento en comparación con las WAN tradicionales

  • Reducir el tiempo de tránsito y los gastos de viaje de los usuarios remotos

  • Mejorar la productividad

  • Simplificar la topología de red

  • Proporcionar oportunidades de trabajo en red global

  • Servir de apoyo al trabajador que está desplazándose

  • Proporcionar un retorno de inversión (ROI) más rápido que el de una WAN tradicional

¿Qué características necesita una VPN bien diseñada? Debe incluir lo siguiente:

  • Seguridad

  • Fiabilidad

  • Escalabilidad

  • Administración de la red

  • Administración de política

Analogía: cada LAN es como una isla

Imagínese que vive en un isla en medio de un gran océano. Está rodeado de miles de islas, algunas de ellas muy cercanas y otras lejanas. La forma habitual de viajar es ir en ferry desde su isla a la isla que desee visitar. Viajar en ferry significa que prácticamente no se tiene privacidad. Todo el mundo verá lo que haga.

Supongamos que cada isla representa una LAN privada y que el océano es Internet. El viaje en ferry es como conectarse a un servidor Web o a otro dispositivo a través de Internet. No tiene control sobre los cables ni los routers que forman Internet, al igual que no controla las otras personas que viajan en el ferry. Esto lo convierte en posible víctima de amenazas a la seguridad si intenta establecer una conexión entre dos redes privadas utilizando un recurso público.

En su isla, las autoridades deciden construir un puente con otra isla para que las personas puedan viajar entre ambas de forma más segura, directa y sencilla. Construir y mantener el puente es caro, aunque la isla con la que quiere conectarse esté muy cerca. No obstante, es tanta la necesidad de disponer de un camino seguro y fiable, que las autoridades de la isla están dispuestas a aceptarlo. Por otra parte, en la isla también existe interés por conectarse con otra isla que está situada mucho más lejos, pero el costo es demasiado elevado y no se puede mantener.

Esta situación es muy parecida a la de una empresa con una línea alquilada. Los puentes (líneas alquiladas) están separados del océano (Internet), aunque pueden conectar las islas (LAN). Varias empresas han optado por esta solución debido a su necesidad de seguridad y fiabilidad para establecer conexiones con las oficinas remotas; no obstante, si las oficinas están situadas lejos entre si, el precio puede ser excesivo, igual que intentar construir un puente de gran distancia.

¿Cuál es el papel de una VPN en esta analogía? Podríamos dar a todos los habitantes de las islas su propio submarino pequeño con las siguientes propiedades.

  • Que sea rápido.

  • Que sea fácil de llevar al lugar al que se va.

  • Que pueda ocultarse totalmente de otros barcos o submarinos.

  • Que sea de confianza.

  • Que una vez que se haya adquirido el primer submarino, sea fácil agregar submarinos adicionales a la flota.

Los habitantes de las dos islas, aunque viajan por el océano junto con más tráfico, pueden ir y venir siempre que lo deseen con privacidad y seguridad. Básicamente, éste es el funcionamiento de una VPN. Cada uno de los miembros remotos de su red puede comunicarse de forma segura y fiable utilizando Internet para conectarse con la LAN privada. Una VPN puede crecer para acomodar a más usuarios y diferentes ubicaciones con más facilidad que una línea alquilada. De hecho, su capacidad de escalabilidad es una de las principales ventajas de las VPN sobre las líneas alquiladas normales. A diferencia de las líneas alquiladas en las que el costo aumenta en proporción a las distancias implicadas, las ubicaciones geográficas de las oficinas tienen poca importancia a la hora de crear una VPN.

Tecnologías de VPN

Una VPN bien diseñada utiliza varios métodos para mantener la conexión y los datos seguros.

  • Confidencialidad de los datos: probablemente se trata del servicio más importante suministrado por cualquier implementación de VPN. Dado que los datos privados viajan por una red pública, conservar su confidencialidad es de importancia vital y para ello se cifran. Cifrar es el proceso de tomar todos los datos que un equipo envía a otro equipo y codificarlos de tal modo que sólo el equipo que los recibe pueda descodificarlos.

    La mayoría de las VPN utilizan los protocolos siguientes para suministrar cifrado.

    • IPSec: protocolo de seguridad del protocolo de Internet (IPSec) proporciona características de seguridad mejoradas como algoritmos de cifrado más fuertes y una autenticación más amplia. IPSec tiene dos modos de cifrado: de túnel y de transporte. El modo de túnel cifra la cabecera y la carga de cada paquete, mientras que el modo de transporte sólo cifra la carga. Sólo los sistemas compatibles con IPSec pueden aprovechar este protocolo. Asimismo, todos los dispositivos deben utilizar una clave o certificado común y tener configuradas políticas de seguridad similares.

      Para los usuarios de VPN de acceso remoto, algún tipo de paquete de software de otros fabricantes permite la conexión y cifrado en el equipo de los usuarios. IPSec admite el cifrado de 56 bits (DES único) o de 168 bits (DES triple).

    • PPTP/MPPE: PPTP fue creado por el foro PPTP, un consorcio en el que figuran US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP es compatible con las VPN de varios protocolos, con cifrado de 40 y 128 bits que utilizan un protocolo llamado MPPE (Cifrado punto a punto de Microsoft). Por si mismo, PPTP no proporciona cifrado de datos.

    • L2TP/IPSec: por lo general, llamado L2TP sobre IPSec. Aporta la seguridad del protocolo IPSec sobre la tunelización del protocolo de tunelización de la capa 2 (L2TP). L2TP es el producto de una asociación entre los miembros del foro PPTP, Cisco y el Grupo de trabajo de ingeniería en Internet (IETF). Se utiliza principalmente en las VPN de acceso remoto con sistemas operativos Windows 2000, dado que Windows 2000 proporciona un cliente L2TP e IPSec nativo. Los proveedores de servicio de Internet también pueden suministrar conexiones L2TP a usuarios de acceso telefónico y, a continuación, cifrar el tráfico con IPSec entre su punto de acceso y el servidor de red de la oficina remota.

  • Integridad de datos: al igual que es importante que los datos estén cifrados en una red pública, también es importante verificar que éstos no se hayan cambiado mientras estaban en tránsito. Por ejemplo, IPSec dispone de un mecanismo que le permite asegurarse de que la parte cifrada del paquete o todo el encabezado y la parte de datos del paquete, no se haya alterado. Si se detecta una alteración, se abandona el paquete. La integridad de los datos también puede implicar una autenticación del par remoto.

  • Autenticación del origen de los datos: es de gran importancia verificar la identidad del origen de los datos que se envían. Esto se debe a la necesidad de protegerse contra los ataques basados en la simulación de la identidad del remitente.

  • Antirreproducción: capacidad para detectar y rechazar los paquetes que se han reproducido y ayuda a evitar la simulación.

  • Tunelización de datos/Confidencialidad del flujo de tráfico: la tunelización es el proceso que consiste en encapsular un paquete completo dentro de otro paquete y enviarlo por una red. La tunelización de datos es útil en los casos en los que se desea ocultar la identidad del dispositivo de origen del tráfico. Por ejemplo, un único dispositivo que utiliza IPSec encapsula tráfico que pertenece a un determinado número de hosts que tiene detrás y agrega su propio encabezado delante de los paquetes existentes. Al cifrar el paquete original y el encabezado (y enrutar el paquete basándose en el encabezado de capa 3 adicional agregado en la parte superior), el dispositivo de tunelización oculta de forma efectiva el verdadero origen del paquete. Sólo el par confiable puede determinar el verdadero origen, después de despojar el encabezado adicional y descifrar el encabezado original. Tal como se indica en RFC 2401 leavingcisco.com, "...en determinadas circunstancias, la revelación de las características externas de la comunicación también puede ser fuente de preocupación. La confidencialidad del flujo de tráfico es el servicio que responde a esta cuestión mediante la ocultación de las direcciones de origen y de destino, la longitud del mensaje y la frecuencia de la comunicación. En un contexto de IPSec, la utilización de ESP en modo de túnel, en especial en una gateway de seguridad, puede proporcionar algún nivel de confidencialidad del flujo de tráfico".

    Todos los protocolos de cifrado indicados aquí también utilizan la tunelización como medio de transferir los datos cifrados por la red pública. Es importante darse cuenta de que, en sí misma, la tunelización no aporta seguridad a los datos. Simplemente, el paquete original se encapsula en el interior de otro protocolo y, si no está cifrado, puede seguir siendo visible si se utiliza un dispositivo de captura de paquetes. No obstante, la mencionamos aquí ya que es una parte integrante del funcionamiento de las VPN.

    La tunelización necesita tres protocolos diferentes.

    • Protocolo pasajero: los datos originales (IPX, NetBeui, IP) que se transportan.

    • Protocolo de encapsulación: el protocolo (GRE, IPSec, L2F, PPTP, L2TP) que envuelve los datos originales.

    • Protocolo de la portadora: el protocolo que utiliza la red por la que viajan los datos.

    El paquete original (protocolo pasajero) se encapsula en el interior del protocolo de encapsulación que, a su vez, se pone en el interior del encabezado del protocolo de la portadora (por lo general IP) para transmitirlo en la red pública. Tenga en cuenta que a menudo el protocolo de encapsulación se encarga del cifrado de los datos. Los protocolos como IPX y NetBeui, que normalmente no se transferirían por Internet, pueden transmitirse de forma segura.

    En el caso de las VPN de sitio a sitio, por lo general el protocolo de encapsulación es IPSec o GRE (encapsulación de enrutamiento genérica). GRE incluye información sobre el tipo de paquete que está encapsulando y sobre la conexión entre el cliente y el servidor.

    En el caso de las VPN de acceso remoto, normalmente la tunelización se realiza utilizando un protocolo de punto a punto (PPP). PPP, que es parte de la pila TCP/IP, es la portadora de otros protocolos IP cuando el equipo host y un sistema remoto se comunican por la red. La tunelización PPP utilizará PPTP, L2TP o el reenvío de la capa 2 (L2F) de Cisco.

  • AAA: autenticación, autorización y contabilidad se utilizan para obtener un acceso más seguro en un entorno VPN de acceso remoto. Sin una autenticación de usuario, todos los que se sienten ante un portátil o un PC que tenga un software cliente de VPN podrán establecer una conexión segura en una red remota. No obstante, con una autenticación de usuario, es preciso introducir un nombre de usuario y una contraseña válidos antes de establecer conexión. Los nombres de usuario y las contraseñas se pueden almacenar en el mismo dispositivo de terminación de VPN o en un servidor AAA externo, que puede proporcionar autenticación a numerosas bases de datos como Windows NT, Novell, LDAP, etc.

    Cuando se recibe una solicitud de establecimiento de un túnel procedente de un cliente de acceso telefónico, el dispositivo VPN solicita el nombre de usuario y la contraseña. La autenticación se podrá realizar localmente o enviarse al servidor AAA externo, el cual comprobará:

    • Identidad del usuario (autenticación)

    • Qué permisos tiene (autorización)

    • Qué tareas realiza realmente (contabilidad)

    La información de contabilidad es especialmente importante a la hora de realizar un seguimiento del uso del cliente por motivos de auditoría, facturación o creación de informes.

  • No repudiación: en determinadas transferencias de datos, en particular en las que están relacionadas con transacciones financieras, la no repudiación es una característica altamente deseable. De esta manera, se evitan situaciones en las que un final niega haber participado en una transacción. Al igual que un banco le pide que firme antes de cobrar un cheque, la no repudiación adjunta una firma digital al mensaje enviado, evitando de esta manera la posibilidad de que el remitente rechace la participación en la transacción.

Se puede utilizar una serie de protocolos para crear una solución VPN. Todos estos protocolos proporcionan algún subconjunto de los servicios enumerados en este documento. La elección de un protocolo depende del conjunto de servicios deseado. Por ejemplo, una empresa puede desear que los datos se transfieran en texto claro, aunque le puede preocupar el mantenimiento de la integridad, mientras que otra empresa puede considerar que el mantenimiento de la confidencialidad de los datos sea totalmente esencial. Por consiguiente, su elección de protocolos puede ser diferente. Para obtener más información sobre los protocolos disponibles y sus puntos fuertes relativos, consulte Which VPN Solution is Right for You? (¿Qué solución VPN es la adecuada para usted?)

Productos VPN

Según el tipo de VPN (de acceso remoto o de sitio a sitio) necesita implantar algunos componentes para crear la VPN. Estos pasos podrían incluir:

  • Cliente de software de escritorio para cada usuario remoto

  • Hardware exclusivo como Cisco VPN Concentrator o un Cisco Firewall PIX Secure

  • Un servidor VPN exclusivo para los servicios de acceso telefónico

  • Un servidor de acceso a la red (NAS) utilizado por el proveedor de servicios para el acceso a la VPN de usuarios remotos

  • Un centro de administración de políticas y una red privada

Dado que no existe un estándar aceptado universalmente para implementar una VPN, varias empresas han desarrollado soluciones propias. Por ejemplo, Cisco ofrece varias soluciones de VPN, entre las que figuran las siguientes:

  • Concentrador VPN: los concentradores VPN, que incorporan las técnicas de cifrado y autenticación más avanzadas, se han construido específicamente para crear VPN de acceso remoto o de sitio a sitio y, en teoría, se instalan cuando un único dispositivo debe ocuparse de un gran número de túneles VPN. Los concentradores VPN se han desarrollado específicamente para cuando se necesita un dispositivo VPN único de acceso remoto creado para este propósito. Los concentradores proporcionan una alta disponibilidad, un alto rendimiento y escalabilidad e incluyen componentes denominados módulos SEP (proceso de cifrado escalable) que permiten a los usuario aumentar fácilmente la capacidad y la producción. Los concentradores se suministran en modelos adecuados tanto para pequeñas empresas con 100 o menos usuarios de acceso remoto, como para grandes empresas que pueden llegar a tener hasta 10.000 usuarios remotos simultáneos.

    how_vpn_works_02.gif

  • Router habilitado para VPN/Router optimizado para VPN: todos los routers que ejecutan Cisco IOS® son compatibles con las VPN IPSec. El único requisito es que el router debe ejecutar una imagen de Cisco IOS con el conjunto de características adecuado. La solución VPN de Cisco IOS es totalmente compatible con los requisitos de acceso remoto y de VPN intranet y extranet. Esto significa que los routers Cisco pueden trabajar con la misma calidad cuando están conectados a un host remoto que ejecuta VPN Client y cuando están conectados a otro dispositivo VPN como un router, un Firewall PIX o un concentrador VPN. Los routers habilitados para VPN son adecuados para las VPN con requisitos de tunelización y cifrado moderados y proporcionan totalmente servicios VPN mediante características de Cisco IOS. A continuación, indicamos algunos routers habilitados para VPN: series Cisco 1000, Cisco 1600, Cisco 2500, Cisco 4000, Cisco 4500 y Cisco 4700.

    Los routers optimizados para VPN de Cisco proporcionan escalabilidad, enrutamiento, seguridad y Calidad de Servicio (QoS), se basan en el software Cisco IOS y hay un dispositivo adecuado para cada situación, desde un acceso para oficinas pequeñas u oficinas residenciales (SOHO) mediante una agregación VPN al sitio central hasta las necesidades de una empresa a gran escala. Los routers optimizados para VPN han sido diseñados para cumplir unos elevados requisitos de cifrado y tunelización y, a menudo, utilizan hardware adicional como tarjetas de cifrado para conseguir un alto nivel de desempeño. A continuación, indicamos algunos ejemplos de routers optimizados para VPN: series Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 y Cisco7500.

    how_vpn_works_03.gif

  • Cisco Firewall PIX Secure: el Firewall PIX (Private Internet Exchange, Intercambio de Internet privado) combina en un solo paquete una traducción de dirección de red dinámica, con un servidor proxy, un filtro de paquetes, un firewall y características de VPN. En vez de utilizar el software Cisco IOS, este dispositivo dispone de un sistema operativo altamente ajustado que cede la capacidad de gestionar una serie de protocolos a cambio de conseguir un gran desempeño y solidez centrándose en IP. Al igual que ocurre con los routers de Cisco, todos los modelos de Firewall PIX son compatibles con VPN IPSec. Sólo deben cumplirse los requisitos de obtención de licencias para habilitar la características de VPN.

    how_vpn_works_04.gif

  • Clientes de VPN de Cisco: Cisco ofrece clientes de VPN tanto de hardware como de software. Cisco VPN Client (software) se entrega conjuntamente con el concentrador Cisco VPN serie 3000 sin gastos adicionales. Este cliente de software se puede instalar en la máquina host y utilizar para conectarse con seguridad al concentrador del sitio central (o a cualquier otro dispositivo VPN como un router o un firewall). El cliente de hardware VPN 3002 representa una alternativa a la instalación del software VPN Client en todas las máquinas y proporciona capacidad de conexión VPN en una serie de dispositivos.

La elección de los dispositivos que debe utilizar para crear la solución VPN es, en última instancia, una cuestión de diseño que depende de una serie de factores como el rendimiento deseado y el número de usuarios. Por ejemplo, en un sitio remoto con una serie de usuarios que se encuentran tras PIX 501, puede configurar el PIX existente como el punto extremo de la VPN IPSec, siempre y cuando acepte el rendimiento 3DES de 501 de alrededor de 3 Mbps y el límite de un máximo de 5 puntos remotos de VPN. Por otra parte, en un sitio central que actúe como punto final de VPN de un gran número de túneles VPN, sería una buena idea elegir un router optimizado para VPN o un concentrador VPN. Ahora, la elección dependerá del tipo (LAN a LAN o acceso remoto) y el número de túneles VPN que se configuren. La amplia gama de dispositivos Cisco compatibles con VPN aporta a los diseñadores de redes una amplia flexibilidad y una solución fuerte que responde a todas las necesidades de diseño.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14106