martes, 26 de agosto de 2008
Una red privada virtual (VPN, Virtual Private Network) es la extensión de una red privada que incluye vínculos de redes compartidas o públicas como Internet. Con una red privada virtual, puede enviar datos entre dos equipos a través de una red compartida o pública de forma que emula un vínculo privado punto a punto. La interconexión de redes privadas virtuales es el acto de crear y configurar una red privada virtual.
Para emular un vínculo punto a punto, los datos se encapsulan o empaquetan con un encabezado que proporciona la información de enrutamiento que permite a los datos recorrer la red compartida o pública hasta alcanzar su destino. Para emular un vínculo privado, los datos se cifran para asegurar la confidencialidad. Los datos que se interceptan en la red compartida o pública no se pueden descifrar si no se dispone de las claves de cifrado. El vínculo en el que se encapsulan y cifran los datos privados es una conexión VPN.
Las conexiones VPN permiten a los usuarios que trabajan en casa o que están de viaje obtener conexión de acceso remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del usuario, la VPN es una conexión punto a punto entre el equipo, el cliente de VPN, y el servidor de la organización (el servidor VPN). La infraestructura exacta de la red compartida o pública es irrelevante, ya que parece como si los datos se enviaran a través de un vínculo privado dedicado.
Las conexiones VPN también permiten a las organizaciones disponer de conexiones enrutadas con otras organizaciones a través de una red pública como Internet, a la vez que mantienen la seguridad de las comunicaciones (por ejemplo, entre oficinas que están separadas geográficamente). Una conexión VPN enrutada a través de Internet funciona lógicamente como un vínculo de red de área extensa (WAN, Wide Area Network) dedicada.
Mediante el uso del equipo servidor ISA como servidor VPN, puede administrar las conexiones VPN de sitio a sitio y el acceso de clientes de VPN a la red corporativa. Todas las conexiones VPN al equipo servidor ISA están conectadas al registro del servidor de seguridad, con el fin de que pueda supervisarlas.
El servidor ISA habilita el acceso de clientes de VPN mediante el protocolo de túnel de capa dos (L2TP) a través de seguridad del protocolo Internet (IPSec), que es superior, desde el punto de vista de la seguridad, al protocolo de túnel punto a punto (PPTP) estándar que suelen utilizar los servidores VPN.
Conexiones VPN
Hay dos tipos de conexiones VPN:
u Conexión VPN de acceso remoto
u Conexión VPN de sitio a sitio
Conexión VPN de acceso remoto
Un cliente con acceso remoto realiza una conexión VPN de acceso remoto que se conecta a una red privada. El servidor ISA proporciona acceso a toda la red a la que está conectado el servidor VPN. La configuración de conexiones VPN de acceso remoto se explica en el documento Clientes móviles de VPN y control de cuarentena en ISA Server 2004 (http://go.microsoft.com/fwlink?linkid=20745).
Conexión VPN de sitio a sitio
Un enrutador realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada. El servidor ISA proporciona una conexión a la red a la que está conectado el equipo servidor ISA. Las conexiones VPN de sitio a sitio se explican en este documento.
Protocolos VPN
Hay tres protocolos VPN para las conexiones de sitio a sitio:
u Protocolo de túnel punto a punto (PPTP)
u Protocolo de túnel de capa dos (L2TP) a través de seguridad del protocolo Internet (IPSec)
u Modo de túnel de seguridad del protocolo Internet (IPSec)
PPTP
El protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) es un protocolo de red que permite la transferencia segura de datos desde un cliente remoto a un servidor de empresa privado mediante la creación de una VPN a través de redes de datos basadas en TCP/IP. PPTP admite redes privadas virtuales bajo demanda y con múltiples protocolos a través de redes públicas como Internet. PPTP permite el cifrado del tráfico IP y su encapsulación en un encabezado IP que se envía a través de una red IP de empresa o una red IP pública, como Internet.
L2TP a través de IPSec
El protocolo de túnel de capa dos (L2TP, Layer Two Tunneling Protocol) es un protocolo de túnel de Internet normalizado que proporciona encapsulación para enviar tramas del Protocolo punto a punto (PPP) a través de medios orientados a paquetes. L2TP permite el cifrado del tráfico IP y lo envía a través de cualquier medio compatible con entrega de datagramas punto a punto, como IP. La implementación del protocolo L2PT de Microsoft utiliza el cifrado de seguridad del protocolo Internet (IPSec) para proteger el flujo de datos desde el cliente de VPN al servidor VPN. El modo de túnel IPSec permite el cifrado de los paquetes IP y su encapsulación en un encabezado IP que se envía a través de una red IP de empresa o una red IP pública, como Internet.
Las conexiones PPTP requieren únicamente autenticación en el nivel del usuario a través de un protocolo de autenticación basado en PPP. Las conexiones L2TP a través de IPSec requieren la misma autenticación en el nivel del usuario y, además, autenticación en el nivel del equipo mediante certificados de equipo.
Importante
Conexiones PPTP o L2TP a través de IPSec
Los servidores VPN que ejecutan Microsoft Windows Server™ 2003 admiten tanto PPTP como L2TP. Cuando tenga que elegir entre soluciones VPN de enrutador a enrutador PPTP y L2TP a través de IPSec, considere los siguientes aspectos:
PPTP se puede utilizar para las conexiones VPN de enrutador a enrutador de aquellos enrutadores que ejecuten Windows Server 2003, Windows® 2000 Server o Windows NT® Server 4.0 con el servicio de enrutamiento y acceso remoto (RRAS). PPTP no requiere una infraestructura de claves públicas (PKI) para emitir certificados de equipo. Mediante el cifrado, las conexiones VPN basadas en PPTP proporcionan confidencialidad de datos. Los datos capturados no se pueden interpretar sin la clave de cifrado. Sin embargo, las conexiones VPN basadas en PPTP no proporcionan integridad de datos (la prueba de que los datos no se modificaron cuando estaban en tránsito) ni autenticación del origen de datos (la prueba de que el usuario autorizado envió los datos).
L2TP sólo se puede utilizar con enrutadores que ejecuten los sistemas operativos Windows Server 2003 o Windows 2000 Server. Si se utilizan los dos tipos de enrutadores, es necesaria una infraestructura de claves públicas (PKI) que emita certificados de equipo a todos los enrutadores. Los enrutadores que ejecutan sistemas operativos Windows Server 2003 admiten una clave única previamente compartida que esté configurada en el enrutador de respuesta y en todos los enrutadores de llamada. Mediante IPSec, las conexiones VPN L2TP a través de IPSec proporcionan confidencialidad e integridad de datos, así como autenticación del origen de datos.
Modo de túnel IPSec
El uso de un túnel abarca todo el proceso de encapsulación, enrutamiento y desencapsulación. El túnel envuelve, o encapsula, el paquete original dentro de un paquete nuevo. Este paquete nuevo puede tener nueva información de direccionamiento y enrutamiento, lo que le permite viajar por una red. Si el túnel se combina con la confidencialidad de datos, los datos del paquete original (así como el origen y el destino originales) no se muestran a quienes escuchan el tráfico de la red. Cuando los paquetes encapsulados llegan a su destino, se quita la encapsulación y se utiliza el encabezado original del paquete para enrutarlo a su destino final.
El propio túnel es la ruta de acceso lógica de los datos a través de la que viajan los paquetes encapsulados. Para las partes origen y destino originales, el túnel suele ser transparente y aparece simplemente como otra conexión punto a punto en la ruta de acceso de red. Las partes implicadas desconocen los enrutadores, interruptores, servidores proxy u otras puertas de enlace de seguridad que hay entre los extremos del túnel. Cuando el uso de túneles se combina con la confidencialidad de los datos, se puede utilizar para proporcionar una VPN.
Los paquetes encapsulados viajan por la red dentro del túnel. En este ejemplo, la red es Internet. La puerta de enlace puede ser una lateral y estar situada entre Internet y la red privada. La puerta de enlace lateral puede ser un enrutador, un servidor de seguridad, un servidor proxy u otra puerta de enlace de seguridad. Además, se pueden utilizar dos puertas de enlace dentro de la red privada para proteger el tráfico que atraviesa zonas de la red que no son de confianza.
Cuando IPSec (seguridad del protocolo Internet) se utiliza en modo de túnel, el propio IPSec proporciona encapsulación sólo para el tráfico IP. El motivo principal para utilizar el modo de túnel IPSec es la interoperabilidad con otros enrutadores, puertas de enlace o sistemas finales que no son compatibles con los túneles de VPN L2TP a través de IPSec o PPTP. El sitio Web Virtual Private Network Consortium (http://www.vpnc.org) (Consorcio de red privada virtual, web disponible sólo en inglés) proporciona información acerca de la interoperabilidad.
Nota
Para crear una red de sitio remoto que utilice el modo de túnel del protocolo IPSec en un equipo que ejecute Windows 2000, debe instalar la herramienta IPSecPol, disponible en el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=16466). Esta herramienta se debe instalar en la carpeta de instalación del servidor ISA.
0 comentarios:
Publicar un comentario