Professional Documents
Culture Documents
1. Introduccin
Hoy en da, una empresa o un servicio no estn en ningn lugar fsico. Ambos estn
en Internet, en un edificio, y en cada lugar donde viaje un representante o usuario
del servicio o red. Poner de acuerdo a tantas personas, a tantos agentes y usuarios
de una manera coherente, eficiente y en tiempo real, ha sido fcil gracias a Internet,
pero, nada ocurre de forma espontnea. Comunicar a tantas personas en lugares tan
dispares y que trabajen sobre una misma base de datos alojada en un servidor, por
ejemplo, es algo complejo y donde prima la seguridad de los datos transmitidos,
pues viajan de manera muy dispar por lugares remotos en los que no se tiene
confianza.
2. Consideraciones Generales
Una de las maneras ms fiables de comunicacin remota son las Redes Privadas Virtuales o
VPN (Virtual Private Networks) por su sigla en Ingls. Se les llama privadas porque se
establecen exclusivamente (en principio, ya que como cualquier forma de comunicacin,
conlleva riesgos) entre el emisor y el receptor de la informacin. Son virtuales porque no se
necesita un cable o cualquier otro medio fsico directo entre los puntos comunicantes, la sesin
se establece usando una infraestructura pblica (existente ver figura 1), por tanto, es una
red no fsica y privada que viaja sobre una pblica y virtualmente extiende la red de la
empresa o el servicio hasta donde se encuentre el cliente o usuario del mismo.
Figura 1. Una VPN puede usar cualquier medio disponible
Muchos optan por alquilar una lnea exclusiva que garantice que los datos no viajan por nodos
pblicos, pero, aunque ms seguro, resulta mucho ms costoso que establecer la VPN sobre
una infraestructura que es de todos. Se puede pensar en Internet como un sistema de correo
extremadamente rpido y con presencia en cualquier lugar (ver figura 2). Los datos (los
mensajes que se envan) se mueven entre los destinatarios casi siempre a alta velocidad, pero
no deja de ser un sistema de envo y entrega de informacin. Lo que pocos se dan cuenta es
que, en Internet, se usan especie de postales en vez de sobres. Toda la informacin es
escrita en una postal (llamados paquetes de datos) en la que se ve el remitente, el
destinatario y los datos que se transportan. El emplear una VPN es como contratar un cartero
de confianza, y adems introducir nuestra informacin en un sobre bien cerrado.
Las VPN funcionan creando una conexin directa virtual entre dos mquinas por el que la
informacin viaja segura y confidencial. Esto se logra aplicando una tecnologa de tnel entre
los dos puntos. En realidad lo que se establece es un tnel, visto como un camino privado que
nadie puede ver. Pero en Internet, el tnel es una estructura lgica que encapsula los datos de
un protocolo (el conocido TCP/IP) en el cuerpo de otro tipo de protocolo (un protocolo como
los sobres) por ejemplo IPSec, que es el estndar hoy da, aunque existen otros, como PPTP y
L2TP.
Normalmente la comunicacin se puede establecer entre un usuario o cliente y una red LAN
(red interna) corporativa. De esta manera se podr trabajar como si se tuviera fsicamente
acceso a la red interna y los datos que se pueden alojar en bases de datos. En este caso, se
debe utilizar un servidor denominado Servidor de Acceso a la Red o NAS (Network Access
Server) en la red interna para dar acceso al exterior. Es como si este servidor aceptara
llamadas telefnicas de los clientes (se establece una comunicacin punto a punto privada) y
adems
se
debe
introducir
una
contrasea
especial
para
que
el
receptor
reciba
adecuadamente la informacin que se quiere transmitir (en este caso escuche lo que quiere
decir) esto se logra mediante el seguimiento de un proceso de autenticacin.
Disponibilidad de las VPNs
Desde Windows el procedimiento para utilizar el cliente, se puede crear una nueva conexin
desde el men "Conexiones de red y acceso telefnico", el asistente pregunta si se desea
establecer una conexin a una red privada a travs del mdem, o a travs de Internet. En
seguida queda establecida la configuracin y cada vez se que pulse aparecer el dilogo de
autenticacin que pide nombre de usuario y contrasea. As de sencillo para el cliente, y algo
ms complicado para el servidor, que puede ser Hardware, un aparato fsico exclusivamente
dedicado a esta funcin; o Software, un programa corriendo un computador.
Una VPN permite un bajo costo de implementacin. Por ejemplo, en cualquier sistema
operativo se puede encontrar software para establecer una sesin como cliente, porque
soportan el protocolo IPSec (Internet Protocol Security). Aunque sea una forma algo mas
lenta de comunicacin (es necesario cifrar y encapsular los datos) resulta insignificante con las
velocidades que nos brinda hoy la banda ancha. Es extremadamente escalable, con un slo
servidor, cualquier cliente puede conectarse desde cualquier lugar (acceso remoto), y, sobre
todo, presenta un alto grado de seguridad.
Secuencia de Conexin
- El cliente ejecuta su conexin privada.
Para configurarla (desde cualquier sistema operativo disponible) es necesario simplemente
conocer la direccin IP o nombre del servidor donde se ejecuta o reside el servidor. Cuando el
servidor recibe una peticin, reconoce que lo que se quiere establecer es una VPN, entonces
realiza una conexin a travs de la red pblica (Internet).
Cuando ambas mquinas ya confan una en la otra, se establecen un "tnel". Esto quiere decir
que mantienen una comunicacin constante entre ellas. Ahora la red local de la empresa ya
posee una extensin ms, que llega hasta el lugar del empleado.
3. Aspecto Importantes
Tomando de ejemplo el Servicio de enrutamiento y acceso remoto que brinda Windows 2000
Server el cual proporciona servicios de red privada virtual (VPN) para conexiones VPN de
acceso remoto y de enrutador a enrutador mediante el Protocolo de tnel punto a punto
(PPTP, Point-to-Point Tunneling Protocol) o el Protocolo de tnel de capa dos (L2TP, Layer
Two Tunneling Protocol) con seguridad de protocolo Internet IPSec.
Como se ha dicho una VPN es la extensin de una red privada que incluye vnculos de redes
compartidas o pblicas como Internet. Con una red privada virtual, puede enviar datos entre
dos equipos a travs de una red compartida o pblica de forma que emula un vnculo privado
punto a punto, por lo tanto las funciones de red privada virtual consisten en crear y configurar
una red privada virtual.
Para emular un vnculo punto a punto, los datos se encapsulan o empaquetan con un
encabezado que proporciona la informacin de enrutamiento que permite a los datos recorrer
la red compartida o pblica hasta alcanzar su destino. Para emular un vnculo privado, los
datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red
compartida o pblica no se pueden descifrar si no se dispone de las claves de cifrado. El
vnculo en el que se encapsulan y cifran los datos privados es una conexin de red privada
virtual (VPN).
La figura 3 muestra el equivalente lgico de una conexin VPN.
Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN para
establecer una conexin de acceso remoto al servidor de una organizacin mediante la
infraestructura que proporciona una red pblica como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexin punto a punto entre el equipo (el cliente VPN) y
el servidor de la organizacin (el servidor VPN). La infraestructura exacta de la red compartida
o pblica es irrelevante dado que lgicamente parece como si los datos se enviaran a travs
de un vnculo privado dedicado (Tnel).
Las organizaciones tambin pueden utilizar VPN para establecer conexiones enrutadas con
oficinas o centros alejados geogrficamente o con otras organizaciones a travs de una red
pblica como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexin
VPN enrutada a travs de Internet funciona lgicamente como un vnculo de WAN (Wide Area
Network) dedicado.
Gracias al acceso remoto y a las conexiones a travs de routers una organizacin puede
utilizar VPN para realizar conexiones a larga distancia, o lneas concedidas para conexiones
locales o con un Proveedor de servicios Internet (ISP).
4. Tipos de tecnologa VPN disponible en Windows 2000
El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor de acceso remoto (el
servidor VPN) y, para realizar la autenticacin mutua, el servidor se autentica ante el cliente.
Los equipos que ejecutan Windows 2000, Windows NT versin 4.0, Windows 95 y Windows 98
pueden crear conexiones VPN de acceso remoto a un servidor VPN que ejecuta Windows 2000.
Los clientes VPN tambin pueden ser un cliente de Protocolo de tnel punto a punto (PTPP) o
un cliente de Protocolo de tnel de capa 2 (L2TP) con IPSec que no sean de Microsoft.
enrutador a travs de Internet. Una vez conectados, los enrutadores pueden reenviarse entre
s transmisiones de protocolos enrutadas o directas mediante la conexin VPN establecida.
Empleo de acceso telefnico WAN
En lugar de realizar una llamada de larga distancia para conectar con un NAS de la compaa o
externo, el enrutador de una oficina puede llamar a un ISP local. Mediante la conexin
establecida con el ISP local, el enrutador de la sucursal inicia una conexin VPN de enrutador a
enrutador con el enrutador de la oficina central a travs de Internet. El enrutador de la oficina
central acta como un servidor VPN y debe estar conectado a un ISP local mediante un acceso
WAN dedicado.
Es posible mantener conectadas ambas oficinas a Internet mediante una conexin WAN de
acceso telefnico. Sin embargo, esto slo es posible si el ISP admite el enrutamiento a clientes
mediante marcado a peticin; es decir, el ISP llama al enrutador del cliente cuando hay que
entregar un datagrama IP al cliente. Muchos ISP no admiten el enrutamiento de marcado a
peticin para clientes.
Redes privadas virtuales basadas en intranet
Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP
en la intranet de una organizacin.
los permisos apropiados pueden establecer una conexin VPN de acceso remoto con el
servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento.
Adicionalmente, para mantener la confidencialidad de los datos, se cifran todas las
comunicaciones realizadas a travs de la conexin VPN. Para aquellos usuarios que no tienen
permisos para establecer una conexin VPN, la red del departamento est oculta a la vista.
La figura 6 muestra el acceso remoto a travs de una Intranet.
enrutador. Las
organizaciones
que
tienen
departamentos
en
diferentes
ubicaciones, cuyos datos son altamente confidenciales, pueden utilizar una conexin VPN de
enrutador a enrutador para comunicarse entre s. Por ejemplo, el departamento financiero
podra necesitar comunicarse con el departamento de recursos humanos para intercambiar
informacin acerca de las nminas.
El departamento financiero y el departamento de recursos humanos estn conectados a la
intranet comn con equipos que pueden actuar como clientes VPN o servidores VPN. Una vez
establecida la conexin VPN, los usuarios de los equipos de ambas redes pueden intercambiar
datos confidenciales a travs de la intranet corporativa.
Aplicacin
Alternativa a
Conectividad Remota
Lneas dedicadas o
ISDN
Sitio e
Interna
Conectividad Negocio
VPN Extranet
a Negocio y
externa
cualquier
parte
Bajo Costo
Conectividad
Conectividad Sitio a
VPN Intranet
Beneficios
Acceso desde
Lnea dedicada
Extendida
Bajo Costo
Comercio Electrnico