Hogar Flores perennes Artículo de VPN. Qué es una VPN: por qué es necesaria y cómo funciona. En qué se diferencia la VPN del anonimizador

Artículo de VPN. Qué es una VPN: por qué es necesaria y cómo funciona. En qué se diferencia la VPN del anonimizador

VPN (redes privadas virtuales): redes privadas virtuales. VPN es una de esas tecnologías, de la que no se sabe de dónde vienen. Sin embargo, cuando estas tecnologías se arraigan en la infraestructura de una empresa, todos se sorprenden de cómo solían hacerlo sin ellas. Las VPN le permiten utilizar Internet como su propia red privada. Por lo tanto, la difusión de VPN está asociada con el desarrollo de Internet. La propia tecnología utiliza la pila de protocolos TCP / IP como base para su funcionamiento.

Para comprender qué es una VPN, debe comprender dos conceptos: cifrado y virtualidad.

El cifrado es una transformación reversible de un mensaje para ocultarlo a personas no autorizadas.

La virtualidad es un objeto o estado que realmente no existe, pero que puede surgir bajo ciertas condiciones.

El cifrado convierte un mensaje de un tipo, por ejemplo, "¡Hola!" en otra forma “* & 878hJf7 * & 8723”. Por otro lado, también hay una transformación inversa, que se llama descifrado, es decir, convirtiendo el mensaje “* & 878hJf7 * & 8723” en el mensaje “¡Hola!”. El enfoque de seguridad de VPN asume que nadie más que el destinatario previsto puede realizar el descifrado.

El concepto de "virtualidad" se refiere a la situación "como si". Por ejemplo, una situación en la que accede a una computadora remota usando una tableta. En este caso, la tableta simula el funcionamiento de una computadora remota.

VPN tiene una definición precisa:

VPN es un proceso de comunicación encriptado o encapsulado que transfiere datos de forma segura de un punto a otro; la seguridad de estos datos está garantizada por una sólida tecnología de cifrado y los datos transmitidos pasan a través de una red abierta, no segura y enrutada.

Dado que la VPN está encriptada, la comunicación entre los nodos, los datos se transmiten de forma segura y su integridad está garantizada. Los datos viajan a través de una red enrutada abierta, no segura, por lo que cuando se transmiten a través de una línea compartida, pueden tener múltiples rutas hacia su destino final. Por lo tanto, se puede pensar en una VPN como el proceso de envío de datos cifrados de un punto a otro a través de Internet.

La encapsulación es el proceso de colocar un paquete de datos dentro de un paquete IP. La encapsulación le permite agregar una capa adicional de protección. La encapsulación le permite crear túneles VPN y transferir datos a través de una red con otros protocolos. La forma más común de crear túneles VPN es encapsular protocolos de red (IP, IPX, AppleTalk, etc.) en PPP y luego encapsular los paquetes resultantes en protocolos de túnel. Este último suele ser el protocolo IP, aunque, en casos excepcionales, también se pueden utilizar los protocolos ATM y Frame Relay. Este enfoque se denomina túnel de capa 2, ya que el pasajero es el protocolo de capa 2 (PPP).

Un enfoque alternativo para encapsular paquetes de protocolo de red directamente en un protocolo de tunelización (como VTP) se denomina tunelización de capa 3.

Por propósito, las VPN se dividen en tres tipos:

  1. Intranet: se utiliza para unir varias sucursales distribuidas de una organización en una única red segura, intercambiando datos a través de canales de comunicación abiertos.
  2. Extranet: se utiliza para redes a las que se conectan usuarios externos (como clientes o clientes). Debido al hecho de que el nivel de confianza en dichos usuarios es menor que en los empleados de la empresa, se requiere una protección especial para evitar que los usuarios externos accedan a información especialmente valiosa.
  3. Acceso remoto: creado entre las oficinas corporativas centrales y los usuarios móviles remotos. Con el software de cifrado cargado en la computadora portátil remota, el usuario remoto establece un túnel cifrado con el dispositivo VPN en la sede corporativa.

Hay muchas opciones para implementar una VPN. Al decidir cómo implementar una VPN, debe considerar los factores de rendimiento de los sistemas VPN. Por ejemplo, si un enrutador se ejecuta al límite de la potencia de su procesador, agregar más túneles VPN y aplicar cifrado / descifrado puede hacer que toda la red deje de funcionar, ya que el enrutador no podrá manejar el tráfico normal.

Opciones de implementación de VPN:

  1. VPN basada en firewalls. Un cortafuegos (cortafuegos) es un elemento de software o hardware-software de una red informática que supervisa y filtra el tráfico de red que lo atraviesa de acuerdo con reglas específicas. Hoy en día, la mayoría de los firewalls de los proveedores admiten la creación de túneles y el cifrado de datos. Todos estos productos se basan en el hecho de que el tráfico que pasa a través del firewall está encriptado.
  2. VPN basada en enrutadores. Dado que toda la información que sale de la red local llega primero al enrutador, es aconsejable asignarle funciones de cifrado. Los enrutadores Cisco, por ejemplo, admiten los protocolos de cifrado L2TP, IPSec. Además del cifrado simple, también admiten otras funciones de VPN, como la autenticación de conexión y el intercambio de claves.
  3. VPN basada en un sistema operativo de red. En Linux, las conexiones VPN generalmente se realizan mediante tecnologías como OpenVPN, OpenConnect o NetworkManager. Windows VPN usa PPTP, que está integrado en Windows.

Brindamos servicios para la reparación y configuración de computadoras, teléfonos inteligentes, tabletas, enrutadores wi-fi, módems, IP-TV, impresoras. Alta calidad y económico. ¿Tiene algún problema? Complete el siguiente formulario y le devolveremos la llamada.

La organización de canales entre redes remotas a través de una conexión VPN es uno de los temas más populares de nuestro sitio. Al mismo tiempo, como muestra la respuesta del lector, lo más difícil es la correcta configuración del enrutamiento, aunque hemos prestado especial atención a este punto. Tras analizar las preguntas más frecuentes, decidimos dedicar un artículo aparte al tema del enrutamiento. ¿Tiene preguntas? Esperamos que después de leer este material, haya menos.

En primer lugar, averigüemos qué es enrutamiento... El enrutamiento es el proceso de determinar la ruta de la información en las redes de comunicación. Seamos honestos, este tema es muy profundo y requiere un bagaje sólido de conocimientos teóricos, por lo tanto, dentro del marco de este artículo, simplificaremos deliberadamente la imagen y abordaremos la teoría exactamente en la medida que sea suficiente para comprender la evolución actual. procesos y obtener resultados prácticos.

Tomemos una estación de trabajo arbitraria conectada a la red, ¿cómo determina dónde enviar este o aquel paquete? Para este propósito está destinado tabla de ruteo, que contiene una lista de reglas para todas las posibles direcciones de destino. Con base en esta tabla, el host (o enrutador) decide qué interfaz y dirección de destino enviar un paquete dirigido a un destinatario específico.

Impresión de ruta

Como resultado, veremos la siguiente tabla:

Todo es muy sencillo, nos interesa la sección Tabla de rutas IPv4, las dos primeras columnas contienen la dirección de destino y la máscara de red, seguidas de la puerta de enlace, el nodo al que se deben reenviar los paquetes para el destino especificado, la interfaz y la métrica. Si la columna Puerta indicado En enlace, esto significa que la dirección de destino está en la misma red que el host y es accesible sin enrutamiento. Métrica determina la prioridad de las reglas de enrutamiento, si la dirección de destino tiene varias reglas en la tabla de enrutamiento, se usa la que tiene la métrica más baja.

Nuestra estación de trabajo pertenece a la red 192.168.31.0 y, según la tabla de rutas, envía todas las solicitudes a esta red a la interfaz 192.168.31.175, que corresponde a la dirección de red de esta estación. Si la dirección de destino está en la misma red que la dirección de origen, la entrega de información se produce sin utilizar el enrutamiento IP (capa de red L3 del modelo OSI), en la capa de enlace de datos (L2). De lo contrario, el paquete se envía al nodo especificado en la regla de la tabla de rutas correspondiente en la red de destino.

Si no existe tal regla, entonces el paquete es enviado por ruta cero, que contiene la dirección de la puerta de enlace predeterminada de la red. En nuestro caso, esta es la dirección del enrutador 192.168.31.100. Esta ruta se llama nula porque la dirección de destino es 0.0.0.0. Este punto es muy importante para comprender mejor el proceso de enrutamiento: todos los paquetes, no pertenecer a esta red y no tienen rutas separadas, siempre se envían puerta de enlace principal redes.

¿Qué hará el enrutador cuando reciba tal paquete? En primer lugar, averigüemos en qué se diferencia un enrutador de una estación de red normal. De una manera extremadamente simplificada, un enrutador (enrutador) es un dispositivo de red que está configurado para transmitir paquetes entre interfaces de red. En Windows, esto se logra habilitando el servicio Enrutamiento y acceso remoto, en Linux configurando la opción ip_forward.

La decisión de transferir paquetes en este caso también se toma en función de la tabla de enrutamiento. Veamos qué contiene esta tabla sobre el enrutador más común, por ejemplo, el que describimos en el artículo :. En los sistemas Linux, puede obtener la tabla de rutas con el comando:

Ruta -n

Como puede ver, nuestro enrutador contiene rutas a las redes 192.168.31.0 y 192.168.3.0 que conoce, así como una ruta cero a la puerta de enlace ascendente 192.168.3.1.

La dirección 0.0.0.0 en la columna Gateway indica que la dirección de destino está disponible sin enrutamiento. Por lo tanto, todos los paquetes con direcciones de destino en las redes 192.168.31.0 y 192.168.3.0 se enviarán a la interfaz correspondiente y todos los demás paquetes se reenviarán a lo largo de la ruta cero.

El siguiente punto importante son las direcciones de las redes privadas (privadas), también son "grises", incluyen tres rangos:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16

Estas direcciones pueden ser utilizadas libremente por cualquier persona y, por lo tanto, no enrutado... ¿Qué significa? Cualquier paquete con una dirección de destino que pertenezca a una de estas redes será descartado por el enrutador si no hay una entrada separada para él en la tabla de enrutamiento. En pocas palabras, el enrutador no aplica la ruta predeterminada (nula) para dichos paquetes. También debe entenderse que esta regla se aplica solo al enrutamiento, es decir, Al transmitir paquetes entre interfaces, se enviará un paquete saliente con una dirección "gris" a lo largo de la ruta nula, incluso si este nodo es en sí mismo un enrutador.

Por ejemplo, si nuestro enrutador recibe un paquete entrante con el destino, digamos, 10.8.0.1, entonces se descartará, ya que dicha red es desconocida para él y las direcciones en este rango no se enrutan. Pero si accedemos al mismo nodo directamente desde el enrutador, entonces el paquete se enviará a lo largo de la ruta cero a la puerta de enlace 192.168.3.1 y será eliminado.

Es hora de comprobar cómo funciona todo. Intentemos desde nuestro host 192.168.31.175 hacer ping al host 192.168.3.106, que se encuentra en la red detrás del enrutador. Como puede ver, lo logramos, aunque la tabla de rutas del nodo no contiene ninguna información sobre la red 192.168.3.0.

¿Cómo fue esto posible? Dado que el nodo de origen no sabe nada sobre la red de destino, enviará un paquete a la dirección de la puerta de enlace. La puerta de enlace verificará su tabla de rutas, encontrará allí una entrada para la red 192.168.3.0 y enviará el paquete a la interfaz adecuada, puede verificar esto fácilmente ejecutando el comando trace, que mostrará la ruta completa de nuestro paquete:

Tracert 192.168.3.106

Ahora intentemos hacer ping al host 192.168.31.175 desde el host 192.168.3.106, es decir, en la dirección opuesta. No funcionó para nosotros. ¿Por qué?

Echemos un vistazo de cerca a la tabla de enrutamiento. No contiene ningún registro para la red 192.168.31.0, por lo que el paquete se enviará al enrutador 192.168.3.1 como puerta de enlace principal de la red, que descartará este paquete, ya que no tiene información sobre la red de destino. . ¿Cómo ser? Obviamente, debes enviar el paquete al nodo que contiene la información necesaria y puede transmitir el paquete a su destino, en nuestro caso es el enrutador 192.168.31.100, que tiene la dirección 192.168.3.108 en esta red.

Para que se le envíen paquetes para la red 192.168.31.0, necesitamos crear una ruta separada.

192.168.31.0 máscara 255.255.255.0 192.168.3.108

En el futuro, nos adheriremos a tal registro de rutas, ¿qué significa? Es simple, los paquetes para la red 192.168.31.0 con una máscara de 255.255.255.0 deben enviarse al host 192.168.3.108. En Windows, se puede agregar una ruta con el comando:

Ruta agregar 192.168.31.0 máscara 255.255.255.0 192.168.3.108

Agregar ruta -net 192.168.31.0 máscara de red 255.255.255.0 gw 192.168.3.108

Intentemos.

Analicemos el resultado, ha aparecido una ruta en la tabla de enrutamiento y todos los paquetes a la red 192.168.31.0 ahora se envían al enrutador de esta red, lo cual se puede ver en la respuesta del comando ping, pero no llegan al destino. ¿Qué pasa? Es hora de recordar que una de las principales tareas de un enrutador no es solo el enrutamiento, sino también la función de un firewall, que claramente prohíbe el acceso desde la red externa en su interior. Si reemplazamos temporalmente esta regla por una permisiva, todo funcionará.

Las rutas agregadas por los comandos anteriores se guardan hasta que se reinicia el nodo, esto es conveniente, incluso si se equivoca mucho, solo necesita reiniciar para deshacer los cambios realizados. Para agregar una ruta persistente en Windows, ejecute el comando:

Ruta agregar 192.168.31.0 máscara 255.255.255.0 192.168.3.108 -p

En Linux en / etc / network / interfaces, después de describir la interfaz, agregue:

Añadir ruta de publicación -net 192.168.31.0 máscara de red 255.255.255.0 gw 192.168.3.108

Por cierto, esta no es la única forma de configurar el acceso desde la red 192.168.3.0 a la red 192.168.31.0, en lugar de agregar una ruta para cada nodo, puede "enseñar" al enrutador a enviar paquetes correctamente.

En este caso, el nodo de origen no tiene ningún registro sobre la red de destino y enviará el paquete a la puerta de enlace, la última vez que la puerta de enlace eliminó dicho paquete, pero ahora agregamos la ruta requerida a su tabla de enrutamiento y enviará el paquete al nodo 192.168.3.108, que lo entregará a su destino.

Le recomendamos encarecidamente que se capacite en ejemplos similares, de modo que las rutas ya no sean una caja negra para usted y las rutas ya no sean una alfabetización china. Una vez que lo haya comprendido, puede pasar a la segunda parte de este artículo.

Ahora veamos ejemplos reales de conexión de redes de oficina a través de una conexión VPN. A pesar de que OpenVPN se usa con mayor frecuencia para estos fines y en nuestros ejemplos también nos referimos a soluciones basadas en él, todo lo anterior será cierto para cualquier tipo de conexión VPN.

El caso más simple es cuando el servidor VPN (cliente) y el enrutador de red están ubicados en el mismo host. Considere el diagrama a continuación:

Dado que, esperamos, haya aprendido la teoría y la haya consolidado en la práctica, analizaremos la ruta de los paquetes desde la red de la oficina 192.168.31.0 a la red de la sucursal 192.168.44.0, dicho paquete se enviará a la puerta de enlace predeterminada, que también es un servidor VPN. Sin embargo, este nodo no sabe nada sobre la red de destino y tendrá que descartar este paquete. Al mismo tiempo, ya podemos contactar con el enrutador de la sucursal en su dirección en la red VPN 10.8.0.2, ya que esta red es accesible desde el enrutador de la oficina.

Para acceder a la red de sucursales, necesitamos pasar paquetes para esta red a un nodo que es parte de esta red o tiene una ruta hacia ella. En nuestro caso, este es el enrutador de rama. Por lo tanto, agregamos una ruta en el enrutador de la oficina:

Ahora la puerta de enlace de la oficina, habiendo recibido el paquete para la red de la sucursal, lo enviará a través del canal VPN al enrutador de la sucursal, que, siendo el anfitrión de la red 192.168.44.0, entregará el paquete a su destino. Para acceder desde la red de la sucursal a la red de la oficina, debe registrar una ruta similar en el enrutador de la sucursal.

Tomemos un diagrama más complicado cuando el enrutador y el servidor VPN (cliente) son nodos diferentes en la red. Aquí, hay dos opciones: enviar el paquete requerido directamente al servidor VPN (cliente) o forzar a la puerta de enlace a hacerlo.

Consideremos primero la primera opción.

Para que los paquetes de la red de sucursales entren en la red VPN, debemos agregar una ruta al servidor VPN (cliente) para cada cliente de la red, de lo contrario se enviarán a la puerta de enlace, que los dejará:

Sin embargo, el servidor VPN no sabe nada sobre la red de la sucursal, pero puede enviar paquetes dentro de la red VPN, donde hay un nodo de red de la sucursal que nos interesa, por lo que enviaremos el paquete allí agregando una ruta en el Servidor VPN (cliente):

192.168.44.0 máscara 255.255.255.0 10.8.0.2

La desventaja de este esquema es la necesidad de registrar rutas en cada nodo de la red, lo que no siempre es conveniente. Se puede utilizar si hay pocos dispositivos en la red o si se requiere acceso selectivo. En otros casos, sería más correcto transferir la tarea de enrutamiento al enrutador principal de la red.

En este caso, los dispositivos de red de la oficina no saben nada sobre la red de la sucursal y enviarán paquetes a lo largo de la ruta cero, la puerta de enlace de la red. Ahora la tarea de la puerta de enlace es redirigir este paquete al servidor VPN (cliente), es fácil de hacer agregando la ruta requerida a su tabla de enrutamiento:

192.168.44.0 máscara 255.255.255.0 192.168.31.101

Mencionamos la tarea del servidor VPN (cliente) anteriormente, debe entregar paquetes al nodo de la red VPN que es parte de la red de destino o tiene una ruta hacia ella.

192.168.44.0 máscara 255.255.255.0 10.8.0.2

Para acceder desde la red de la sucursal a la red de la oficina, deberá agregar las rutas adecuadas a los nodos de la red de la sucursal. Esto se puede hacer de cualquier manera conveniente, no necesariamente de la misma manera que se hace en la oficina. Un ejemplo simple del mundo real: todas las computadoras de la sucursal deben tener acceso a la red de la oficina, pero no todas las computadoras de la oficina deben tener acceso a la sucursal. En este caso, en la sucursal, agregamos una ruta al servidor VPN (cliente) en el enrutador, y en la oficina la agregamos solo a las computadoras necesarias.

En general, si tiene una idea de cómo funciona el enrutamiento y cómo se toma la decisión de reenviar paquetes, y también sabe cómo leer la tabla de enrutamiento, configurar las rutas correctas debería ser sencillo. Esperamos que después de leer este artículo tampoco los tengas.

  • Etiquetas:

Habilite JavaScript para ver el

Recientemente, en el mundo de las telecomunicaciones ha aumentado el interés por las redes privadas virtuales (VPN). Esto se debe a la necesidad de reducir el costo de mantenimiento de las redes corporativas debido a la conexión más barata de oficinas remotas y usuarios remotos a través de Internet. De hecho, al comparar el costo de conectar varias redes a través de Internet, por ejemplo, con redes Frame Relay, se puede notar una diferencia significativa en el costo. Sin embargo, cabe señalar que al conectar redes a través de Internet, inmediatamente surge la pregunta sobre la seguridad de la transmisión de datos, por lo que se hizo necesario crear mecanismos para garantizar la confidencialidad e integridad de la información transmitida. Las redes construidas sobre la base de tales mecanismos se denominan VPN.

Además, muy a menudo una persona moderna, que desarrolla su negocio, tiene que viajar mucho. Estos pueden ser viajes a rincones remotos de nuestro país o al extranjero. A menudo, las personas necesitan acceder a la información almacenada en la computadora de su hogar o en la computadora de la empresa. Este problema se puede resolver organizando el acceso remoto mediante un módem y una línea. El uso de una línea telefónica tiene sus propias características. La desventaja de esta solución es que una llamada desde otro país cuesta mucho dinero. También existe otra solución llamada VPN. Las ventajas de la tecnología VPN son que la organización del acceso remoto no se realiza a través de una línea telefónica, sino a través de Internet, que es mucho más económico y mejor. En mi opinión, tecnología. VPN tiene la perspectiva de una adopción generalizada en todo el mundo.

1. Concepto y clasificación de las redes VPN, su construcción.

1.1 ¿Qué es una VPN?

VPN(Red privada virtual en inglés - red privada virtual): una red lógica creada sobre otra red, como Internet. A pesar de que las comunicaciones se realizan a través de redes públicas utilizando protocolos inseguros, el cifrado crea canales de intercambio de información que están cerrados a personas externas. VPN le permite unir, por ejemplo, varias oficinas de una organización en una sola red utilizando canales no controlados para la comunicación entre ellas.


En esencia, una VPN tiene muchas de las propiedades de una línea alquilada, pero se implementa dentro de una red pública, por ejemplo. Con la técnica de tunelización, los paquetes de datos se transmiten a través de la red pública como si se tratara de una conexión normal de punto a punto. Se establece una especie de túnel entre cada par de "emisor-receptor de datos", una conexión lógica segura que le permite encapsular los datos de un protocolo en paquetes de otro. Los principales componentes del túnel son:

  • iniciador;
  • red enrutada;
  • interruptor de túnel;
  • uno o más terminadores de túnel.

La VPN en sí no entra en conflicto con las principales tecnologías y protocolos de red. Por ejemplo, al establecer una conexión de acceso telefónico, el cliente envía un flujo de paquetes PPP al servidor. En el caso de organizar líneas arrendadas virtuales entre redes locales, sus enrutadores también intercambian paquetes PPP. Sin embargo, fundamentalmente nuevo es el reenvío de paquetes a través de un túnel seguro organizado dentro de la red pública.

La tunelización le permite organizar la transmisión de paquetes de uno protocolo en un entorno lógico utilizando un protocolo diferente. Como resultado, es posible resolver los problemas de interacción de varios tipos diferentes de redes, comenzando con la necesidad de garantizar la integridad y confidencialidad de los datos transmitidos y terminando con la superación de inconsistencias en protocolos externos o esquemas de direccionamiento.

La infraestructura de red existente de una corporación se puede aprovisionar para VPN utilizando software o hardware. El establecimiento de una VPN se puede comparar con el cableado a través de una WAN. Normalmente, se establece una conexión directa entre el usuario remoto y el punto final del túnel mediante PPP.

El método más común para crear túneles VPN es encapsular protocolos de red (IP, IPX, AppleTalk, etc.) en PPP y luego encapsular los paquetes resultantes en un protocolo de túnel. Normalmente, este último es IP o (con mucha menos frecuencia) ATM y Frame Relay. Este enfoque se denomina túnel de capa 2, ya que el "pasajero" aquí es el protocolo de capa 2.

Un enfoque alternativo para encapsular paquetes de protocolo de red directamente en un protocolo de tunelización (como VTP) se denomina tunelización de capa 3.

No importa qué protocolos se utilicen o con qué fines se persiguen al organizar un túnel, la técnica básica sigue siendoprácticamente sin cambios. Por lo general, un protocolo se usa para establecer una conexión con un host remoto y el otro se usa para encapsular datos e información de servicio para su transmisión a través del túnel.

1.2 Clasificación de redes VPN

Las soluciones VPN se pueden clasificar según varios parámetros principales:

1. Por tipo de entorno utilizado:

  • Redes VPN seguras. La variante más común de redes privadas privadas. Con su ayuda, es posible crear una subred confiable y segura basada en una red no confiable, generalmente Internet. Algunos ejemplos de VPN seguras son: IPSec, OpenVPN y PPTP.
  • Redes VPN confiables. Se utilizan en los casos en que el medio de transmisión puede considerarse confiable y solo es necesario resolver el problema de crear una subred virtual dentro de una red más grande. Los problemas de seguridad se están volviendo irrelevantes. Ejemplos de tales soluciones VPN son: MPLS y L2TP. Sería más correcto decir que estos protocolos transfieren la tarea de garantizar la seguridad a otros, por ejemplo, L2TP, como regla, se usa junto con IPSec.

2. A modo de implementación:

  • Redes VPN en forma de software y hardware especiales. La red VPN se implementa mediante un conjunto especial de software y hardware. Esta implementación proporciona un alto rendimiento y, por regla general, un alto grado de seguridad.
  • Redes VPN como solución de software. Utilice una computadora personal con software especial para proporcionar funcionalidad VPN.
  • Redes VPN con solución integrada. La funcionalidad VPN proporciona un complejo que también resuelve los problemas de filtrado del tráfico de la red, organizando un firewall y asegurando la calidad del servicio.

3. Con cita previa:

  • VPN de intranet. Se utilizan para combinar varias ramas distribuidas de una organización en una única red segura, intercambiando datos a través de canales de comunicación abiertos.
  • VPN de acceso remoto. Se utilizan para crear un canal seguro entre un segmento de una red corporativa (oficina central o sucursal) y un único usuario que, mientras trabaja desde casa, se conecta a los recursos corporativos desde una computadora doméstica o, durante un viaje de negocios, se conecta a recursos corporativos utilizando una computadora portátil.
  • VPN de extranet. Se utiliza para redes a las que se conectan usuarios "externos" (por ejemplo, clientes o clientes). El nivel de confianza en ellos es mucho menor que en los empleados de la empresa, por lo que es necesario brindar "líneas" especiales de protección, impidiendo o restringiendo el acceso de estos últimos a información especialmente valiosa y confidencial.

4. Por tipo de protocolo:

  • Existen implementaciones de redes privadas virtuales para TCP / IP, IPX y AppleTalk. Pero hoy en día existe una tendencia hacia una transición general al protocolo TCP / IP, y la gran mayoría de las soluciones VPN lo admiten.

5. Según el nivel del protocolo de red:

  • Por capa de protocolo de red basada en el mapeo a las capas del modelo de referencia de red ISO / OSI.

1.3. Construyendo una VPN

Hay varias opciones para crear una VPN. Al elegir una solución, debe considerar los factores de rendimiento de su constructor de VPN. Por ejemplo, si un enrutador ya está funcionando a su máxima capacidad, agregar túneles VPN y aplicar cifrado / descifrado de información puede detener el funcionamiento de toda la red debido al hecho de que este enrutador no podrá hacer frente al tráfico simple. y mucho menos VPN. La experiencia muestra que es mejor usar equipos especializados para construir una VPN, pero si hay medios limitados, entonces puede prestar atención a una solución puramente de software. Consideremos algunas opciones para construir una VPN.

  • VPN basada en firewalls. La mayoría de los cortafuegos de los proveedores admiten la creación de túneles y el cifrado de datos. Todos estos productos se basan en el hecho de que el tráfico que pasa a través del firewall está encriptado. Se agrega un módulo de cifrado al software de firewall real. La desventaja de este método es que el rendimiento depende del hardware que ejecuta el firewall. Cuando utilice firewalls basados ​​en PC, tenga en cuenta que esta solución solo se puede utilizar para redes pequeñas con poco tráfico.
  • VPN basada en enrutadores. Otra forma de crear una VPN es utilizar enrutadores para crear canales seguros. Dado que toda la información que sale de la red local pasa a través del enrutador, es aconsejable asignar tareas de cifrado a este enrutador.Un ejemplo de equipo para construir VPN en enrutadores es el equipo de Cisco Systems. A partir de la versión 11.3 del software IOS, los routers Cisco admiten L2TP e IPSec. Además del cifrado simple de la información transmitida, Cisco también admite otras funciones de VPN, como la autenticación al establecer una conexión de túnel y el intercambio de claves.Se puede utilizar un módulo de cifrado ESA opcional para mejorar el rendimiento del enrutador. Además, Cisco System ha lanzado un dispositivo VPN dedicado llamado Cisco 1720 VPN Access Router para pequeñas y medianas empresas y grandes sucursales.
  • Basado en software VPN. El siguiente enfoque para crear una VPN son soluciones puramente de software. Al implementar una solución de este tipo, se utiliza un software especializado que se ejecuta en una computadora dedicada y, en la mayoría de los casos, actúa como un servidor proxy. Una computadora con dicho software puede ubicarse detrás de un firewall.
  • VPN basada en el sistema operativo de la red.Consideraremos soluciones basadas en un sistema operativo de red utilizando el ejemplo del sistema operativo Windows de Microsoft. Para crear una VPN, Microsoft usa PPTP, que está integrado en el sistema Windows. Esta solución es muy atractiva para las organizaciones que utilizan Windows como sistema operativo corporativo. Cabe señalar que el costo de dicha solución es significativamente menor que el costo de otras soluciones. Una VPN basada en Windows utiliza una base de usuarios almacenada en el controlador de dominio primario (PDC). Cuando se conecta a un servidor PPTP, el usuario se autentica mediante PAP, CHAP o MS-CHAP. Los paquetes transmitidos se encapsulan en paquetes GRE / PPTP. Para cifrar paquetes, se utiliza un protocolo de cifrado punto a punto de Microsoft no estándar con una clave de 40 o 128 bits obtenida en el momento del establecimiento de la conexión. Las desventajas de este sistema son la falta de verificación de la integridad de los datos y la imposibilidad de cambiar las claves durante la conexión. Los aspectos positivos son la facilidad de integración con Windows y el bajo costo.
  • VPN basada en hardware. La opción de construir VPN en dispositivos especiales se puede utilizar en redes que requieren un alto rendimiento. Un ejemplo de tal solución es el producto IPro-VPN de Radguard. Este producto utiliza cifrado de hardware de la información transmitida, capaz de transmitir un flujo de 100 Mbps. IPro-VPN admite el protocolo IPSec y el mecanismo de gestión de claves ISAKMP / Oakley. Entre otras cosas, este dispositivo admite los medios de traducción de direcciones de red y se puede complementar con una tarjeta especial que agrega funciones de firewall.

2. Protocolos VPN

Las VPN se crean utilizando protocolos para tunelizar datos a través de la Internet pública, y los protocolos de tunelización cifran los datos y los transfieren de un extremo a otro entre los usuarios. Como regla, hoy en día para construir redes VPN, se utilizan protocolos de los siguientes niveles:

  • Capa de enlace
  • Capa de red
  • Capa de transporte.

2.1 Capa de enlace

En la capa de enlace de datos, se pueden utilizar los protocolos de tunelización de datos L2TP y PPTP, que utilizan autorización y autenticación.

PPTP.

Actualmente, el protocolo VPN más común es el Protocolo de túnel punto a punto (PPTP). Fue desarrollado por 3Com y Microsoft para proporcionar acceso remoto seguro a redes corporativas a través de Internet. PPTP aprovecha los estándares abiertos TCP / IP existentes y se basa en gran medida en el protocolo PPP punto a punto heredado. En la práctica, PPP sigue siendo el protocolo de comunicación de la sesión de conexión PPTP. PPTP crea un túnel a través de la red hasta el servidor NT del destinatario y transmite paquetes PPP del usuario remoto a través de él. El servidor y la estación de trabajo usan VPN y son ajenos a cuán segura o accesible es la WAN entre ellos. La terminación de una sesión de conexión iniciada por el servidor, a diferencia de los servidores de acceso remoto especializados, permite a los administradores de red local mantener a los usuarios remotos fuera del sistema de seguridad de Windows Server.

Aunque el alcance del protocolo PPTP se extiende solo a los dispositivos que ejecutan Windows, brinda a las empresas la capacidad de interactuar con las infraestructuras de red existentes sin comprometer sus propios sistemas de seguridad. De esta forma, un usuario remoto puede conectarse a Internet con un ISP local a través de una línea telefónica analógica o ISDN y establecer una conexión con el servidor NT. Al mismo tiempo, la empresa no tiene que gastar grandes sumas en organizar y mantener un grupo de módems que brindan servicios de acceso remoto.

Además, se considera el trabajo del RRTP. PPTP encapsula paquetes IP para su transmisión a través de una red IP. Los clientes PPTP utilizan el puerto de destino para establecer una conexión de control de túnel. Este proceso tiene lugar en la capa de transporte del modelo OSI. Una vez creado el túnel, la computadora cliente y el servidor comienzan a intercambiar paquetes de servicio. Además de la conexión de control PPTP para mantener vivo el enlace, se crea una conexión de reenvío de túnel de datos. La encapsulación de datos antes de que se envíen a través del túnel es ligeramente diferente de la transmisión normal. Encapsular los datos antes de enviarlos al túnel implica dos pasos:

  1. Primero, se crea la parte de información de PPP. Los datos fluyen de arriba hacia abajo, desde la capa de aplicación OSI hasta la capa de enlace de datos.
  2. Los datos recibidos se envían luego al modelo OSI y se encapsulan mediante protocolos de capa superior.

Por tanto, durante la segunda pasada, los datos llegan a la capa de transporte. Sin embargo, la información no se puede enviar a su destino, ya que la capa de enlace de datos OSI es responsable de esto. Por lo tanto, PPTP cifra el campo de carga útil del paquete y asume las funciones de la segunda capa que normalmente son propiedad de PPP, es decir. agrega un encabezado PPP y un seguimiento al paquete PPTP. Esto completa la creación del marco de la capa de enlace.

A continuación, PPTP encapsula la trama PPP en un paquete de encapsulación de enrutamiento genérico (GRE) que pertenece a la capa de red. GRE encapsula protocolos de capa de red como IPX, AppleTalk, DECnet para permitir su transporte a través de redes IP. Sin embargo, GRE no tiene la capacidad de establecer sesiones y proteger los datos de intrusos. Utiliza la capacidad de PPTP para crear una conexión de gestión de túneles. El uso de GRE como método de encapsulación restringe el campo de acción de PPTP solo a las redes IP.

Una vez que se ha encapsulado una trama PPP en una trama de encabezado GRE, se encapsula en una trama de encabezado IP. El encabezado IP contiene las direcciones del remitente y el destinatario del paquete. Finalmente, PPTP agrega un encabezado y un final PPP.

El sistema emisor envía datos a través del túnel. El sistema de recepción elimina todos los encabezados generales, dejando solo datos PPP.

L2TP

En un futuro próximo, se espera un aumento en la cantidad de VPN implementadas según el nuevo Protocolo de túnel de capa 2 (L2TP).

L2TP surgió de la combinación de los protocolos PPTP y L2F (Reenvío de capa 2). PPTP le permite tunelizar paquetes PPP y paquetes L2F SLIP y PPP. Para evitar confusiones y problemas de interoperabilidad en el mercado de las telecomunicaciones, el Grupo de trabajo de ingeniería de Internet (IETF) recomendó que Cisco Systems fusionara PPTP y L2F. Según todas las cuentas, L2TP ha incorporado las mejores características de PPTP y L2F. La principal ventaja de L2TP es que este protocolo le permite crear un túnel no solo en redes IP, sino también en redes como ATM, X.25 y Frame Relay. Desafortunadamente, la implementación de Windows 2000 L2TP solo admite IP.

L2TP usa UDP como su transporte y usa el mismo formato de mensaje tanto para la administración de túneles como para la transferencia de datos. L2TP en la implementación de Microsoft usa paquetes UDP que contienen paquetes PPP encriptados como mensajes de control. La confiabilidad de la entrega está garantizada por el control de la secuencia de paquetes.

La funcionalidad de PPTP y L2TP es diferente. L2TP se puede usar no solo en redes IP, los mensajes de servicio usan el mismo formato y protocolos para crear un túnel y enviar datos a través de él. PPTP solo se puede usar en redes IP y necesita una conexión TCP separada para crear y usar el túnel. L2TP sobre IPSec ofrece más capas de seguridad que PPTP y puede garantizar casi el 100 por ciento de seguridad de los datos críticos para la empresa. Las características de L2TP lo convierten en un protocolo muy prometedor para la construcción de redes virtuales.

L2TP y PPTP se diferencian de los protocolos de túnel de capa 3 en varias formas:

  1. Proporcionar a las empresas la capacidad de elegir de forma independiente cómo autenticar a los usuarios y verificar su autoridad, en su propio "territorio" o con un proveedor de servicios de Internet. Al procesar paquetes PPP tunelizados, los servidores de la red corporativa obtienen toda la información que necesitan para identificar a los usuarios.
  2. Soporte de conmutación de túnel: terminando un túnel e iniciando otro en uno de los muchos terminadores potenciales. La conmutación de túnel permite, por así decirlo, extender la conexión PPP al punto final requerido.
  3. Permitir que los administradores de sistemas de redes corporativas implementen estrategias para asignar derechos de acceso a los usuarios directamente en el firewall y los servidores back-end. Debido a que los terminadores de túnel reciben paquetes PPP con información de usuario, pueden aplicar políticas de seguridad formuladas por administradores al tráfico de usuarios individuales. (El túnel de capa 3 no distingue entre los paquetes que provienen del proveedor, por lo que los filtros de la política de seguridad deben aplicarse en las estaciones de trabajo finales y los dispositivos de red). Además, en el caso de utilizar un conmutador de túnel, es posible organizar la "continuación "del túnel el segundo nivel para la radiodifusión directa del tráfico de individuosusuarios a los servidores internos correspondientes. Estos servidores pueden tener la tarea de filtrado de paquetes adicional.

MPLS

Asimismo, a nivel de enlace, para la organización de túneles, tecnología MPLS ( Del inglés Multiprotocol Label Switching (conmutación de etiquetas multiprotocolo), un mecanismo de transferencia de datos que emula varias propiedades de las redes de conmutación de circuitos sobre redes de conmutación de paquetes. MPLS opera en una capa que podría ubicarse entre la capa de enlace y la tercera capa de red del modelo OSI y, por lo tanto, se denomina comúnmente protocolo de capa de red de enlace. Fue diseñado para proporcionar un servicio de datos universal tanto para clientes con conmutación de circuitos como con conmutación de paquetes. MPLS puede transportar una amplia variedad de tráfico, como paquetes IP, ATM, SONET y tramas Ethernet.

Las soluciones VPN a nivel de enlace tienen un alcance bastante limitado, generalmente dentro del dominio del proveedor.

2.2 Capa de red

Capa de red (capa IP). Se utiliza el protocolo IPSec, que implementa el cifrado y la confidencialidad de los datos, así como la autenticación de suscriptores. El uso del protocolo IPSec permite un acceso completo equivalente a una conexión física a la red corporativa. Para establecer una VPN, cada participante debe configurar ciertos parámetros IPSec, es decir cada cliente debe tener un software que implemente IPSec.

IPSec

Naturalmente, ninguna empresa quisiera transferirse abiertamente a Información financiera u otra información confidencial de Internet. Los canales VPN están protegidos por potentes algoritmos de cifrado integrados en los estándares del protocolo de seguridad IPsec. IPSec o Internet Protocol Security - el estándar elegido por la comunidad internacional, el grupo IETF - Internet Engineering Task Force, crea la base para la seguridad del protocolo de Internet (el protocolo IP / IPSec proporciona protección en la capa de red y requiere soporte del estándar IPSec solo de los dispositivos de comunicación en ambos. Todos los demás dispositivos intermedios simplemente proporcionan tráfico de paquetes IP.

El método de interacción entre personas que utilizan la tecnología IPSec se define generalmente con el término "asociación segura" - Asociación de seguridad (SA). Una asociación segura opera sobre la base de un acuerdo entre las partes que utilizan IPSec para proteger la información transmitida entre sí. Este acuerdo rige varios parámetros: direcciones IP del remitente y del destinatario, algoritmo criptográfico, orden de intercambio de claves, tamaños de claves, duración de las claves, algoritmo de autenticación.

IPSec es un conjunto coherente de estándares abiertos con un núcleo que se puede ampliar fácilmente con nuevas funciones y protocolos. El núcleo de IPSec se compone de tres protocolos:

· UN o el encabezado de autenticación, el encabezado de autenticación, garantiza la integridad y autenticidad de los datos. El objetivo principal del protocolo AN es que permite al receptor asegurarse de que:

  • el paquete fue enviado por una parte con la que se ha establecido una asociación segura;
  • el contenido del paquete no fue alterado durante su transmisión a través de la red;
  • el paquete no es un duplicado del paquete ya recibido.

Las dos primeras funciones son obligatorias para el protocolo AH, y la última es opcional al momento de establecer una asociación. El protocolo AN utiliza un encabezado especial para realizar estas funciones. Su estructura se considera de la siguiente manera:

  1. El siguiente campo de encabezado indica el código del protocolo de capa superior, es decir, el protocolo cuyo mensaje se coloca en el campo de datos del paquete IP.
  2. El campo de longitud de la carga útil contiene la longitud del encabezado AH.
  3. El índice de parámetros de seguridad (SPI) se utiliza para asociar un paquete con su asociación segura.
  4. El campo Número de secuencia (SN) indica el número de secuencia del paquete y se usa para proteger contra la reproducción falsa (cuando un tercero intenta reutilizar paquetes seguros capturados enviados por un remitente genuinamente autenticado).
  5. El campo de datos de autenticación, que contiene el denominado valor de verificación de integridad (ICV), se utiliza para autenticar y verificar la integridad del paquete. Este valor, también llamado resumen, se calcula usando una de las dos funciones computacionalmente irreversibles MD5 o SAH-1 que son requeridas por el protocolo AH, pero se puede usar cualquier otra función.

· ESP o carga útil de seguridad encapsulada- Encapsulación de datos cifrados: cifra los datos transmitidos, lo que garantiza la confidencialidad, también puede admitir la autenticación y la integridad de los datos;

El protocolo ESP resuelve dos grupos de problemas.

  1. El primero incluye tareas similares a las del protocolo AN: es para garantizar la autenticación y la integridad de los datos basados ​​en el resumen,
  2. El segundo: los datos transmitidos cifrándolos para que no se vean sin autorización.

El encabezado se divide en dos partes, separadas por un campo de datos.

  1. La primera parte, denominada cabecera ESP real, está formada por dos campos (SPI y SN), cuyo propósito es similar a los campos del mismo nombre en el protocolo AH, y se coloca antes del campo de datos.
  2. El resto de los campos de servicio del protocolo ESP, denominado remolque ESP, se encuentran al final del paquete.

Los dos campos de seguimiento, el siguiente encabezado y los datos de autenticación, son similares a los campos del encabezado AH. El campo Datos de autenticación no está presente si la asociación de seguridad está configurada para no usar las capacidades de integridad de ESP. Además de estos campos, el tráiler contiene dos campos adicionales: el marcador de posición y la longitud del marcador de posición.

Los protocolos AH y ESP pueden proteger los datos en dos modos:

  1. en el transporte: la transmisión se realiza con encabezados IP originales;
  2. en túnel: el paquete original se coloca en un nuevo paquete IP y la transmisión se lleva a cabo con nuevos encabezados.

El uso de este o aquel modo depende de los requisitos de protección de datos, así como del papel que juega en la red el nodo que termina el canal seguro. Por ejemplo, un nodo puede ser un host (nodo final) o una puerta de enlace (nodo intermedio).

En consecuencia, existen tres esquemas para usar el protocolo IPSec:

  1. anfitrión anfitrión;
  2. pasarela-pasarela;
  3. puerta de enlace de host.

Las capacidades de los protocolos AH y ESP se superponen parcialmente: el protocolo AH solo es responsable de garantizar la integridad y autenticación de los datos, el protocolo ESP puede cifrar datos y, además, realizar las funciones del protocolo AH (en forma truncada) . ESP puede admitir funciones de encriptación y autenticación / integridad en cualquier combinación, es decir, todo el grupo de funciones, o solo autenticación / integridad, o solo encriptación.

· IKE o Internet Key Exchange - el intercambio de claves de Internet - resuelve el problema auxiliar de proporcionar automáticamente puntos finales de un canal seguro con las claves secretas necesarias para el funcionamiento de los protocolos de autenticación y cifrado de datos.

2.3 Capa de transporte

La capa de transporte utiliza SSL / TLS o Secure Socket Layer / Transport Layer Security, que implementa el cifrado y la autenticación entre las capas de transporte del receptor y el transmisor. SSL / TLS se puede utilizar para proteger el tráfico TCP, no se puede utilizar para proteger el tráfico UDP. Para que funcione una VPN basada en SSL / TLS, no es necesario implementar un software especial, ya que todos los navegadores y clientes de correo electrónico están equipados con estos protocolos. Debido a que SSL / TLS se implementa en la capa de transporte, se establece una conexión segura de un extremo a otro.

El protocolo TLS se basa en la versión 3.0 del protocolo SSL de Netscape y consta de dos partes: el Protocolo de registro TLS y el Protocolo de protocolo de enlace TLS. Las diferencias entre SSL 3.0 y TLS 1.0 son menores.

SSL / TLS tiene tres fases principales:

  1. Diálogo entre las partes, cuyo objetivo es elegir un algoritmo de cifrado;
  2. Intercambio de claves basado en criptosistemas de clave pública o autenticación basada en certificados;
  3. Transferencia de datos cifrados mediante algoritmos de cifrado simétrico.

2.4 Implementación de VPN: ¿IPSec o SSL / TLS?

A menudo, los jefes de los departamentos de TI se enfrentan a la pregunta: ¿cuál de los protocolos elegir para construir una red VPN corporativa? La respuesta no es obvia, ya que cada enfoque tiene pros y contras. Intentaremos realizar e identificar cuándo es necesario utilizar IPSec y cuándo SSL / TLS. Como se desprende del análisis de las características de estos protocolos, estos no son intercambiables y pueden funcionar tanto por separado como en paralelo, definiendo las características funcionales de cada una de las VPN implementadas.

La elección de un protocolo para construir una red VPN corporativa se puede realizar de acuerdo con los siguientes criterios:

· El tipo de acceso requerido para los usuarios de VPN.

  1. Conexión permanente con todas las funciones a la red corporativa. La opción recomendada es IPSec.
  2. Una conexión temporal, por ejemplo, un usuario móvil o un usuario que utiliza una computadora pública, para acceder a determinados servicios, como el correo electrónico o una base de datos. La opción recomendada es SSL / TLS, que permite una VPN para cada servicio individual.

· Si el usuario es un empleado de la empresa.

  1. Si el usuario es un empleado de la empresa, el dispositivo que utiliza para acceder a la red corporativa a través de IPSec VPN se puede configurar de alguna forma específica.
  2. Si el usuario no es un empleado de la empresa que está accediendo a la red corporativa, se recomienda utilizar SSL / TLS. Esto restringirá el acceso de invitados a ciertos servicios únicamente.

· Cuál es el nivel de seguridad de la red corporativa.

  1. Elevado. La opción recomendada es IPSec. De hecho, el nivel de seguridad ofrecido por IPSec es mucho más alto que el nivel de seguridad ofrecido por el protocolo SSL / TLS debido al uso de software configurable en el lado del usuario y una puerta de enlace de seguridad en el lado corporativo.
  2. Promedio. La opción recomendada es SSL / TLS, que permite el acceso desde cualquier terminal.

· El nivel de seguridad de los datos transmitidos por el usuario.

  1. Alto, por ejemplo, gestión empresarial. La opción recomendada es IPSec.
  2. Medio, como un compañero. La opción recomendada es SSL / TLS.

Medio a alto dependiendo del servicio. La opción recomendada es una combinación de IPSec (para servicios que requieren un alto nivel de seguridad) y SSL / TLS (para servicios que requieren un nivel medio de seguridad).

· Más importante aún, rápida implementación de VPN o escalabilidad futura.

  1. Implementación rápida de VPN a un costo mínimo. La opción recomendada es SSL / TLS. En este caso, no es necesario implementar un software especial en el lado del usuario, como en el caso de IPSec.
  2. Escalabilidad de VPN: agregando acceso a varios servicios. La opción recomendada es el protocolo IPSec, que permite el acceso a todos los servicios y recursos de la red corporativa.
  3. Despliegue y escalabilidad rápidos. La opción recomendada es una combinación de IPSec y SSL / TLS: usar SSL / TLS como primer paso para acceder a los servicios que necesita y luego implementar IPSec.

3. Métodos para implementar redes VPN

Una VPN se basa en tres métodos de implementación:

· Túneles;

· Cifrado;

· Autenticación.

3.1 Túneles

La tunelización proporciona transferencia de datos entre dos puntos, los extremos del túnel, de tal manera que toda la infraestructura de red que se encuentra entre ellos queda oculta para el origen y el destino de los datos.

El medio de transporte del túnel, como un vapor, recoge los paquetes del protocolo de red utilizado en la entrada del túnel y los entrega sin cambios a la salida. La tunelización es suficiente para conectar dos nodos de red de modo que, desde el punto de vista del software que se ejecuta en ellos, parezcan estar conectados a la misma red (local). Sin embargo, no debemos olvidar que, de hecho, el "vapor" con los datos pasa por muchos nodos intermedios (enrutadores) de la red pública abierta.

Este estado de cosas está plagado de dos problemas. La primera es que la información transmitida a través del túnel puede ser interceptada por intrusos. Si es confidencial (números de tarjetas bancarias, estados financieros, información personal), entonces la amenaza de su compromiso es bastante real, lo que ya es desagradable en sí mismo. Peor aún, los atacantes tienen la capacidad de modificar los datos transmitidos a través del túnel para que el destinatario no pueda verificar su validez. Las consecuencias pueden ser nefastas. Teniendo en cuenta lo anterior, llegamos a la conclusión de que el túnel en su forma pura es adecuado solo para algunos tipos de juegos de computadora en red y no puede pretender ser una aplicación más seria. Ambos problemas se resuelven mediante métodos modernos de protección de la información criptográfica. Para evitar cambios no autorizados en el paquete de datos a su paso por el túnel, se utiliza el método de firma digital electrónica (). La esencia del método es que cada paquete transmitido se suministra con un bloque de información adicional, que se genera de acuerdo con un algoritmo criptográfico asimétrico y es único para el contenido del paquete y la clave secreta EDS del remitente. Este bloque de información es el EDS del paquete y le permite autenticar los datos por parte del destinatario, quien conoce la clave EDS pública del remitente. La protección de los datos transmitidos a través del túnel contra la visualización no autorizada se logra mediante el uso de algoritmos de cifrado sólidos.

3.2 Autenticación

La seguridad es una función básica de la VPN. Todos los datos de los equipos cliente pasan a través de Internet al servidor VPN. Dicho servidor puede ubicarse a una gran distancia de la computadora del cliente, y los datos en el camino a la red de la organización pasan a través del equipo de muchos proveedores. ¿Cómo asegurarse de que los datos no se hayan leído o modificado? Para ello, se utilizan varios métodos de autenticación y cifrado.

PPTP puede utilizar cualquiera de los protocolos PPP para autenticar a los usuarios

  • Protocolo de autenticación extensible o EAP;
  • MSCHAP o Protocolo de autenticación por desafío mutuo de Microsoft (versiones 1 y 2);
  • CHAP o Protocolo de autenticación por desafío mutuo;
  • Protocolo de autenticación de contraseña SPAP o Shiva;
  • Protocolo de autenticación de contraseña o PAP.

Los mejores protocolos son MSCHAP versión 2 y Transport Layer Security (EAP-TLS) porque proporcionan autenticación mutua, es decir, El servidor VPN y el cliente se identifican entre sí. En todos los demás protocolos, solo el servidor autentica a los clientes.

Aunque PPTP proporciona un grado de seguridad razonable, L2TP sobre IPSec es más confiable. L2TP sobre IPSec proporciona autenticación a nivel de usuario y equipo, así como autenticación y cifrado de datos.

La autenticación se realiza mediante una prueba abierta (contraseña de texto sin cifrar) o mediante un esquema de desafío / respuesta. Con texto directo, todo está claro. El cliente envía una contraseña al servidor. El servidor compara esto con un punto de referencia y niega el acceso o dice "bienvenido". Casi nunca se encuentra la autenticación abierta.

El esquema de solicitud / respuesta es mucho más avanzado. En general, se ve así:

  • el cliente envía una solicitud de autenticación al servidor;
  • el servidor devuelve una respuesta aleatoria (desafío);
  • el cliente elimina un hash de su contraseña (un hash es el resultado de una función hash que convierte una matriz de datos de entrada de longitud arbitraria en una cadena de bits de salida de longitud fija), encripta la respuesta con ella y la envía al servidor;
  • el servidor hace lo mismo, comparando el resultado recibido con la respuesta del cliente;
  • si la respuesta encriptada coincide, la autenticación se considera exitosa;

En el primer paso de la autenticación de clientes y servidores VPN, L2TP sobre IPSec utiliza certificados locales recibidos de la autoridad de certificación. El cliente y el servidor intercambian certificados y crean una ESP SA (asociación de seguridad) segura. Una vez que L2TP (sobre IPSec) completa el proceso de autenticación de la computadora, se realiza la autenticación a nivel de usuario. Se puede utilizar cualquier protocolo para la autenticación, incluso PAP, que transmite el nombre de usuario y la contraseña en texto sin cifrar. Esto es bastante seguro, ya que L2TP sobre IPSec cifra toda la sesión. Sin embargo, autenticar al usuario con MSCHAP, que utiliza diferentes claves de cifrado para autenticar la computadora y el usuario, puede mejorar la seguridad.

3.3. Cifrado

El cifrado PPTP garantiza que nadie pueda acceder a los datos cuando se envían a través de Internet. Actualmente se admiten dos métodos de cifrado:

  • El protocolo de cifrado MPPE o Microsoft Point-to-Point Encryption solo es compatible con MSCHAP (versiones 1 y 2);
  • EAP-TLS y puede elegir automáticamente la longitud de la clave de cifrado al negociar parámetros entre el cliente y el servidor.

MPPE admite claves de 40, 56 o 128 bits. Los sistemas operativos de Windows más antiguos solo admiten el cifrado de longitud de clave de 40 bits, por lo que en un entorno de Windows mixto, elija la longitud de clave mínima.

PPTP cambia el valor de la clave de cifrado después de cada paquete recibido. MMPE fue diseñado para enlaces punto a punto en los que los paquetes se transmiten secuencialmente y hay muy poca pérdida de datos. En esta situación, el valor de la clave para el siguiente paquete depende de los resultados del descifrado del paquete anterior. Al construir redes virtuales a través de redes públicas, estas condiciones no se pueden cumplir, ya que los paquetes de datos a menudo llegan al destinatario en la secuencia incorrecta en la que fueron enviados. Por lo tanto, PPTP utiliza números de secuencia de paquetes para cambiar la clave de cifrado. Esto permite que el descifrado se realice independientemente de los paquetes recibidos anteriormente.

Ambos protocolos se implementan tanto en Microsoft Windows como fuera de él (por ejemplo, en BSD); los algoritmos VPN pueden diferir significativamente.

Así, el paquete "tunelización + autenticación + cifrado" permite transferir datos entre dos puntos a través de una red pública, simulando el funcionamiento de una red privada (local). En otras palabras, las herramientas consideradas le permiten construir una red privada virtual.

Un efecto agradable adicional de una conexión VPN es la capacidad (e incluso la necesidad) de utilizar el sistema de direccionamiento adoptado en la red local.

La implementación de una red privada virtual en la práctica es la siguiente. Un servidor VPN está instalado en la red de área local de la oficina de la empresa. El usuario remoto (o enrutador si hay dos oficinas conectadas) que usa el software de cliente VPN inicia la conexión con el servidor. Tiene lugar la autenticación del usuario, la primera fase del establecimiento de una conexión VPN. En el caso de la confirmación de la autorización, comienza la segunda fase: entre el cliente y el servidor, se negocian los detalles para garantizar la seguridad de la conexión. Después de eso, se organiza una conexión VPN, que garantiza el intercambio de información entre el cliente y el servidor en el formulario, cuando cada paquete con datos pasa por los procedimientos de encriptación / desencriptación y verificación de integridad: autenticación de datos.

El principal problema de las VPN es la falta de estándares bien establecidos para la autenticación y el intercambio de información cifrada. Estos estándares aún están en desarrollo y, por lo tanto, los productos de diferentes fabricantes no pueden establecer conexiones VPN e intercambiar claves automáticamente. Este problema conlleva una ralentización en la difusión de VPN, ya que es difícil obligar a varias empresas a utilizar los productos de un mismo fabricante, y por tanto el proceso de combinar las redes de empresas colaboradoras en las denominadas redes extranet es complicado.

Las ventajas de la tecnología VPN son que la organización del acceso remoto no se realiza a través de una línea telefónica, sino a través de Internet, que es mucho más económico y mejor. La desventaja de la tecnología VPN es que las herramientas de creación de VPN no son herramientas completas para detectar y bloquear ataques. Pueden evitar una serie de acciones no autorizadas, pero no todas las capacidades que se pueden utilizar para penetrar en una red corporativa. Pero, a pesar de todo esto, la tecnología VPN tiene perspectivas de un mayor desarrollo.

Entonces, ¿qué puede esperar en términos de desarrollo de tecnología VPN en el futuro? Sin duda, se desarrollará y aprobará un estándar unificado para la construcción de dichas redes. Lo más probable es que la base de este estándar sea el protocolo IPSec ya probado. A continuación, los proveedores se centrarán en mejorar el rendimiento de sus productos y crear controles VPN fáciles de usar. Lo más probable es que el desarrollo de herramientas de construcción de VPN vaya en la dirección de VPN basadas en enrutadores, ya que esta solución combina un rendimiento bastante alto, integración de VPN y enrutamiento en un solo dispositivo. Sin embargo, también evolucionarán las soluciones de bajo costo para organizaciones pequeñas. En conclusión, hay que decir que aunque la tecnología VPN es todavía muy joven, tiene un gran futuro por delante.

¡Deje su comentario!

Conozcamos un poco la VPN, averigüemos las preguntas básicas y usemos estas tres letras para nuestro beneficio.

Vea cómo fluye la información entre mi computadora portátil y el teléfono inteligente al lado, el llamado rastreo de ruta. Y siempre hay un eslabón débil donde se pueden interceptar datos.

¿Para qué sirve una VPN?

Para organizar redes dentro de redes y protegerlas. Entendamos que una VPN es buena. ¿Por qué? Porque tus datos estarán más seguros. Construimos red segura a través de Internet u otra red. Es como un vehículo blindado para transportar dinero por la calle de un banco a otro. Puede enviar dinero en un automóvil normal o en un automóvil blindado. En cualquier camino, el dinero en un vehículo blindado es más seguro. En sentido figurado, VPN es un vehículo blindado para su información. Y el servidor VPN es una agencia para la provisión de vehículos blindados. Hablando brevemente, VPN es buena.

Seguridad de datos:

Utilice una red privada virtual (conexión VPN)
Al usar una conexión VPN, puede usar de manera efectiva tecnologías de encriptación para los datos mientras viajan a través de la red cuando está conectado a una red Wi-Fi pública. Esto puede evitar que los ciberdelincuentes que monitorean la red intercepten sus datos.

¿Todavía no está convencido? Por ejemplo, aquí está el título de una de las licitaciones:

Prestación de servicios para la provisión de canales de comunicación utilizando tecnología VPN para organizar la transferencia de datos entre divisiones de la Oficina del Ministerio del Interior de Rusia en Kazán

La policía está preocupada por su seguridad, las empresas estatales y las corporaciones están preocupadas por esto y exigen la presencia de tales canales, ¿y por qué estamos peor? Somos incluso mejores, porque no gastaremos los fondos del presupuesto, pero configuraremos todo de forma rápida, sencilla y gratuita.

Entonces vamos. Protegemos cuentas, contraseñas usando VPN cuando usamos redes Wi-Fi abiertas. Este suele ser el eslabón más débil. Por supuesto, las agencias de inteligencia de todo el mundo, los grupos delictivos pueden permitirse equipos que reemplacen e intercepten el tráfico no solo de las redes Wi-Fi, sino también de las redes de comunicación por satélite y móviles. Este es otro nivel y va más allá del alcance de esta publicación.
La mejor opción es cuando tiene su propio servidor VPN. De lo contrario, debe confiar en la honestidad de quienes le brindan estos servicios. Entonces, hay versiones pagas de VPN y gratuitas. Repasemos el segundo. Sí, se puede configurar un servidor VPN en una computadora doméstica, pero más sobre eso en una publicación separada.

Cómo configurar una VPN

Considerar VPN gratis para Android en el ejemplo de Opera VPN - VPN ilimitada.

Descargando un cliente VPN gratuito. La configuración es mínima y se reduce a habilitar VPN, eligiendo un país, de forma predeterminada, uno cercano, una unidad de prueba de red. También hay configuraciones para mantener la VPN activada.

Después de instalar la aplicación, el elemento VPN aparece en el menú de configuración de Android. Este interruptor abre la pantalla principal de Opera VPN (si solo tiene un método de conexión VPN).

Para controlar la desconexión y activación de VPN, puede habilitar los íconos de aplicaciones en la configuración de Android.

Configuración-> Notificaciones y barra de estado -> Notificaciones de aplicaciones-> Opera VPN

Esté preparado para el hecho de que algunas aplicaciones en el modo de túnel VPN le pedirán que confirme su estado. Entonces, la aplicación VKontakte con la VPN encendida te pedirá tu número de teléfono, ya que considera que un atacante de Alemania o Holanda está intentando ingresar a tu cuenta, a la que generalmente ingresas desde Moscú. Ingrese el número y continúe usando.

Esta es la forma más fácil de usar una VPN en su dispositivo Android. También puede configurar una red privada virtual basada en su enrutador y conectarse a la computadora de su hogar desde cualquier parte del mundo a través de un canal seguro, intercambiando datos privados libremente. Pero te contaré sobre este método más complicado, así como sobre la configuración de aplicaciones y servicios pagados en otras publicaciones.


Imagine una escena de una película de acción en la que un villano se escapa de la escena del crimen en una carretera en un automóvil deportivo. Un helicóptero de la policía lo persigue. El coche entra en un túnel con varias salidas. El piloto del helicóptero no sabe por qué salida aparecerá el coche y el villano se escapa de la persecución.

VPN es un túnel que conecta muchas carreteras. Nadie afuera sabe dónde terminarán los autos que ingresan. Nadie afuera sabe lo que está sucediendo en el túnel.

Probablemente hayas oído hablar de VPN más de una vez. En Lifehacker sobre esto también. Las VPN se recomiendan con mayor frecuencia porque la red se puede utilizar para acceder a contenido bloqueado geográficamente y, en general, mejorar la seguridad de Internet. La verdad es que conectarse a Internet a través de una VPN puede ser tan peligroso como directamente.

¿Cómo funciona una VPN?

Lo más probable es que tenga un enrutador Wi-Fi en casa. Los dispositivos conectados a él pueden intercambiar datos incluso sin Internet. Resulta que tiene su propia red privada, pero para conectarse a ella, debe estar físicamente dentro del alcance de la señal del enrutador.

VPN (Red Privada Virtual) es una red privada virtual. Funciona a través de Internet, por lo que puede conectarse desde cualquier lugar.

Por ejemplo, la empresa para la que trabaja podría utilizar una VPN para teletrabajadores. Usan una VPN para conectarse a su red de trabajo. Al mismo tiempo, sus computadoras, teléfonos inteligentes o tabletas se transfieren virtualmente a la oficina y se conectan a la red desde el interior. Para ingresar a una red privada virtual, necesita conocer la dirección del servidor VPN, el nombre de usuario y la contraseña.

Usar una VPN es bastante sencillo. Por lo general, una empresa configura un servidor VPN en algún lugar de una computadora, servidor o centro de datos local y se conecta a él mediante un cliente VPN en el dispositivo del usuario.

Los clientes VPN integrados ahora están disponibles en todos los sistemas operativos actuales, incluidos Android, iOS, Windows, macOS y Linux.

La conexión VPN entre el cliente y el servidor suele estar cifrada.

Entonces, ¿VPN es buena?

Sí, si es propietario de una empresa y desea proteger sus datos y servicios corporativos. Al permitir que los empleados ingresen al entorno laboral solo a través de VPN y por cuenta, siempre sabrá quién y qué estaba haciendo y está haciendo.

Además, el propietario de la VPN puede monitorear y controlar en general todo el tráfico que pasa entre el servidor y el usuario.

¿Los empleados se sientan mucho en VKontakte? Puede cerrar el acceso a este servicio. ¿Gennady Andreevich pasa la mitad de su día en sitios con memes? Toda su actividad se registra automáticamente en los registros y se convertirá en un argumento férreo para el despido.

Entonces, ¿por qué VPN?

VPN le permite eludir las restricciones geográficas y legales.

Por ejemplo, estás en Rusia y quieres. Lamentablemente, se entera de que este servicio no está disponible en la Federación de Rusia. Solo puede usarlo conectándose a través del servidor VPN del país en el que opera Spotify.

En algunos países, existe la censura de Internet que restringe el acceso a ciertos sitios. Quieres ir a algún recurso, pero está bloqueado en Rusia. Puede abrir un sitio solo conectándose a través del servidor VPN de un país en el que no está bloqueado, es decir, de casi cualquier otro que no sea la Federación de Rusia.

VPN es una tecnología útil y necesaria que se adapta bien a una determinada gama de tareas. Pero la seguridad de los datos personales aún depende de la buena fe, el sentido común, la atención y el conocimiento de Internet del proveedor de servicios VPN.

Nuevo en el sitio

>

Más popular

Verduras. Bayas. Cereales. Árboles y arbustos. Agricultura. Flores. Paisaje.

© 2021.

SECCIONES POPULARES