Tipos de VPN

Existen distintos tipos de conexiones VPN que podemos implementar en las redes de la empresa para acceder a los recursos de la misma. Vamos a comenzar por definir que es una VPN

Una VPN o Virtual Private Network, es una red que creamos bajo demanda, entre 2 puntos para realizar conexiones seguras entre ambos.

Esto implica que tenemos distintos tipos de redes VPN en función del destino, el protocolo utilizado, el medio, etc.

Tipos de VPN en función del destino

Las conexiones se crean entre 2 puntos y básicamente suelen ser entre un dispositivo y una red o entre 2 redes.

• Las VPN creadas entre un punto único (por ejemplo un portátil) y una red, se denominan VPN P2S o VPN Point to Site (VPN Punto a Sitio). Es la VPN que se establece cuando, por ejemplo, un trabajador quiere acceder a la red de la oficina. Está conectando su dispositivo (Point) a la red de la empresa (Site)
• En cambio, las VPN que unen una red entera, con otra, se denominan VPN S2S o VPN Site to Site (VPN Sitio a Sitio). Este tipo de VPN es la que se establece cuando, por ejemplo, queremos unir 2 oficinas entre sí y que ambas redes trabajen de forma conjunta. Se une una red de la oficina A (Site) a la red de la oficina B (Site).

El tipo de VPN a establecer va a determinar que dispositivo es el que realiza la conexión de la VPN.

En comunicaciones VPN P2S es el dispositivo el que bajo demanda, se conecta a la red de la empresa. Por lo que su equipo, tiene que tener instalado un cliente de VPN que realice las conexiones contra el dispositivo de la empresa, conocido como servidor de túneles VPN. Este cliente puede estar integrado en el propio sistema operativo o requerir un software de terceros.

Por el contrario, en conexiones VPN S2S existen 2 dispositivos que generan los túneles VPN y por lo general, están conectados de forma permanente. Los usuarios que están en alguna de las 2 sedes pueden trabajar de forma transparente con los recursos de la otra ubicación. No es necesario que realicen ajustes en sus dispositivos. Son los equipos servidores de túneles los encargados de gestionar el tráfico, recursos y accesos de la VPN S2S.

Las VPN en función del medio

Una conexión VPN hace uso de otra red para generar una red privada propia que una los dispositivos.

El término virtual hace referencia a que la red, la hemos generado vía software. No existe una red física dedicada entre ambos extremos. Creamos la VPN entre ambos puntos y «virtualmente» están unidas entre sí. Se realiza de forma transparente a los puntos que atraviesa y el recorrido que puedan hacer los paquetes de datos. Además, la información está encapsulada dentro de ese túnel y protegida por diferentes tipos de cifrado para otorgarle seguridad.

Se podría definir como una comunicación punto a punto (similar) definida por software sin la necesidad de contar con este tipo de líneas.

Así, podemos generar esta red privada virtual entre 2 puntos de nuestra propia red interna, entre nuestra red local y otro externo (como Internet) o entre 2 puntos externos.

Realmente, es el mismo tipo de conexión y es independiente del medio (si bien algunos sistemas de transmisión tienen sus propias particularidades). En ocasiones, se realiza una clasificación en función del medio por el que se establecen, pero no es realmente determinante como para formar categorías diferentes.

La seguridad en las comunicaciones VPN

Se suele comentar que las comunicaciones VPN son seguras. Es más exacto decir que las comunicaciones a través de VPN, pueden ser seguras.

Y es que como hemos visto, podemos establecer una comunicación entre el dispositivo de un empleado y la red de la empresa. Pero, ¿cómo es de segura esa comunicación?

Lo primero que tenemos que tener en cuenta es que el empleado, cuando se conecta a la empresa por VPN, lo hace a través de Internet. O lo que es lo mismo, atraviesa distintos nodos de retransmisión sobre los que no se tiene ningún tipo de control.

La VPN establece un túnel virtual entre los 2 puntos y crea una red propia, utilizando por ejemplo Internet. Toda la información entre ambos extremos viaja por dicho túnel.

Podemos pensar, que si un atacante malicioso tiene acceso a uno de esos puntos por los que se retransmite la información, puede ver el tráfico que viaja por el túnel. Y efectivamente es así.

Para evitarlo, se cifra la información qu viaja por el túnel. De ese modo se utiliza un medio potencialmente inseguro, como es Internet, para crear una comunicación segura, a salvo de miradas indiscretas de posibles atacantes.

¿Cómo es de seguro? Pues existen distintos tipos de cifrado a utilizar en las comunicaciones VPN. Unos son más seguros que otros y algunos que se consideraban seguros hasta hace poco, ya no lo son.

Las comunicaciones en los extremos.

Al conectarse por VPN a un sitio que se considera,deentrada, como seguro (por ejemplo la red de la empresa) se puede caer en una falsa sensación de seguridad.

Si tomamos como segura la comunicación entre los extremos implicados, no por eso quiere decir que estemos realizando una conexión sin riesgos. O dicho de otro modo:

Que la comunicación entre un usuario y la red de la oficina se realice mediante una VPN segura, no quiere decir que el equipo del usuario este limpio o protegido frente a amenazas. Si su dispositivo está infectado con un malware, se estará conectando de forma segura a la oficina mediante VPN, pero el malware sigue ahí, al igual que el problema de seguridad.

Es por eso que no hay que asegurar únicamente las transmisiones entre los implicados. También, debe prestarse especial atención a lo que sucede en los extremos que se van a unir, para evitar amenazas.

Conexiones a VPNs de terceros

En la actualidad, hay un caso de uso de las VPN muy común, sobre todo en el sector de consumo. Se trara de las VPN para usuarios domésticos.

Gracias a potentes campañas de marketing, se vende la idea de que la conexión a Internet es insegura de por sí y gracias a sus soluciones VPN permanecemos anónimos mientras navegamos.

Esto, plantea 2 grandes problemas:

Una falsa sensación de seguridad.

Utilizando estos servicios se dejan menos evidencias del uso que se puede hacer de la red pública de Internet, pero no por ello debemos pensar que pasamos a ser anónimos. Sobre todo porque cuando se piensa que se tiene el anonimato completo, se es más proclive a realizar cierto tipo de acciones.

Hay muchos puntos que pueden servir para identificar las acciones de un usuario en Internet y si bien, este tipo de aplicaciones dificulta identificar a un usuario, no lo hace imposible por si mismo. Es necesario adoptar muchas más medidas si realmente queremos realizar una navegación anónima y muchas no son sencillas de implementar.

El problema de la seguridad en los extremos.

Cuando accedemos a una red mediante VPN «podemos interpretar» que conectamos a un destino seguro. Sin embargo, cuando accedemos a una VPN de terceros, no sabemos que sucede en ese extremo, ni como tratan nuestros datos.

En prácticamente todas estas soluciones de VPN se anuncia que no se recopilan datos de los usuarios y su navegación. Sin embargo, han aparecido distintos casos de estas empresas en las que se han filtrado «esos datos que en teoría no recopilaban».

Además, algunas de ellas están ligadas a distintos servicios de inteligencia y/o empresas implicadas en la venta de datos personales. Hay que ser precavidos con estos productos y no está de más investigar acerca de los antecedentes de los distintos proveedores de servicios de estas soluciones.

Nosotros, nos centramos en las conexiones de VPN utilizadas en el mundo empresarial, donde se establecen conexiones con las redes de las compañías como destino. Aquí, son los adminsitradores de la red los encargados de mantener un entorno seguro y unas políticas de uso con los datos de esas comunicaciones.

Tipos de VPN en base al protocolo utilizado

Existen distintos protocolos que permiten establecer túneles VPN de acceso remoto. Cada uno ofrece distintas prestaciones y valores de seguridad.

PPTP VPN

El protocolo PPTP (Point to Point Tunneling Protocol) se publicó bajo el RFC 2637 aunque posteriormente no fue ratificada como estándar.

Desarrollado por Microsoft junto a otras grandes compañías que formaban el PPTP Forum.

Actualmente se considera obsoleto y su uso está totalmente desaconsejado por no considerarse seguro.

Su principal baza era la sencillez para configurarlo (en entornos Windows), ser multiprotocolo y funcionar sobre infraestructuras existentes (como Internet) y redes de acceso telefónico (PPP).

L2TP VPN

La tecnología L2TP (Layer 2 Tunneling Protocol) se considera la heredera de los protocolos PPTP y L2F. Desarrollado inicialmente por Microsoft y Cisco.

Por lo general, se implementa en combinación con otro protocolo para hacer la solución más robusta.

Heredado de PPTP tiene su capacidad de establecer túneles de forma sencilla a través de PPP o Internet. Sin embargo, presenta problemas para garantizar la seguridad de la información transmitida.

Para solucionarlo, se conjunta con otro protocolo, como pueda ser IPSec, que es el que cifra los datos.

Debido a esto, los datos se cifran realmente 2 veces, lo que puede dsiminuir el rendimiento. Sin embargo, hoy en día la capacidad de cifrado y descifrado de los dispositivos hace que este proceso tenga un impacto muy bajo. Si bien es más lento que IPSec IKEv2.

Su principal ventaja es la sencillez a la hora de configurarlo y su compatibilidad. En la mayoría de sistemas operativos, tanto de escritorio como para dispositivos móviles, viene integrado de serie. No es necesario contar con herramientas adicionales para pdoer utilizarlo y acceder de forma segura a una ubicación remota.

IKE y IKEv2 VPN

Es un protocolo para establecer túneles VPN basados en el intercambo de claves entre las partes que negocian el túnel.

La primera versión del protocolo IKEv1 apareció en 1998. IKEv2 lo hizo en el 2005 y trajo consigo una reducción en el ancho de banda necesario para establecer el túnel.

IKEv2 emplea autenticación de certificados de servidor para establecer la identidad del dispositivo que se conecta por lo que ofrece una seguridad elevada.

Si bien la primera versión de IKE (Internet Key Exchange) presentaba algunos problemas con la conexión (cuando cambiaba la dirección IP). Obligaban a renegociar el túnel produciendo caidas en el servicio, pero estos quedaron solucionados con el protocolo IKEv2.

Es uno de los protocolos que presenta el mejor rendimiento en VPNs.

Se basa en los protocolos ISAKMP (Internet Security Association and Key Management Protocol), SKEME (Secure Key Exchange Mechanism for Internet) y Oakley Key Determination Protocol.

En la actualidad es uno de los protcolos más utilizados puesto que es estable, muy sencillo de configurar, rápido y admite cifrado de alto nivel.

SSL VPN

Emplea los protocolos SSLv3 (Secure Sockets Layer) en combinación con TLS (Transport Layer Securit) y la biblioteca OpenSSL para ofrecer conexiones VPN muy seguras y sencillas de configurar usando lo que se conoce como OpenVPN.

Se trata de una tecnología de código abierto.

Tiene muchas posibilidades de configuración y aunque trabaja mejor sobre un puerto UDP, se puede hacer funcionar sobre cualquier otro, para evitar el bloqueo de sistemas que identifican y restringen el tráfico de las VPN.

Permite utilizar cifrados altamente seguros como AES.

Tiene como contrapartida que no es tan sencillo de configurar como otros protocolos, si bien es compatible con la mayoría de plataformas. Por lo general, es necesario disponer del software de OpenVPN y un fichero de configuración adicional con los detalles de la conexión VPN.

Actualmente es uno de los más utilizados.