[Dr.WoW] [No.23] Introducción a la tecnología VPN

104 0 0 0

Las necesidades de acceso inalámbrico de las grandes empresas no se limitan solo a las de la red de oficinas centrales de la empresa: las sucursales, las oficinas, los empleados móviles y las entidades asociadas también requieren acceso a los recursos de red de la sede de la empresa. Todo el mundo sabe que estas circunstancias requieren el uso de la tecnología de red privada virtual (VPN), pero elegir qué tecnología VPN usar requiere aún un poco de habilidad y conocimiento, y por lo tanto, compartiré parte de mi conocimiento sobre esto abajo.

Las redes privadas virtuales (VPN) se refieren a redes de comunicaciones virtuales privadas y dedicadas establecidas en redes públicas, y se utilizan ampliamente en escenarios de redes corporativas donde las organizaciones de sucursales y los empleados móviles se conectan a la red de la sede de su empresa.

 

¿Cómo se clasifican generalmente las redes VPN y las tecnologías VPN?

 

1 Clasificación VPN

1. Por la entidad que los construye.

 

Este tipo de clasificación se realiza según si el equipo de punto final de la red VPN (equipo clave) es proporcionado por un operador o por la propia empresa.

                                                                                                                                

 

·         Arrendar líneas de VPN del operador para construir una red VPN corporativa: como se muestra en la Figura 1-1, esto se refiere principalmente al alquiler de los servicios de línea VPN de multiprotocolo de conmutación de etiquetas (MPLS). Los ejemplos de esto incluyen los servicios de línea VPN de MPLS ofrecidos por China Unicom y China Telecom. La principal ventaja de las líneas VPN de MPLS en comparación con las líneas de transmisión arrendadas más tradicionales, como las líneas E1 o Jerarquía Digital Síncrona (SDH), es que los costos de arrendamiento de líneas son más bajos.

Figura 1-1 Líneas arrendadas del provedor VPN para construir una red VPN corporativa.


121239p4fr7l7cfl7flt87.png


·         Redes VPN creadas por el usuario: como se muestra en la Figura 1-2, el método más utilizado actualmente es construir una red VPN corporativa basada en Internet, utilizando tecnología como GRE, L2TP, IPSec, DSVPN, SSL y VPN. Al usar este tipo de plan, una empresa solo tiene que comprar los equipos y las tarifas de acceso a Internet, no hay una tarifa de alquiler de línea VPN. Además, las empresas disfrutan de un mayor poder de decisión sobre el control de la red y pueden realizar ajustes de red de manera más conveniente. Las VPN que voy a presentar son exactamente esta clase de VPN.

Figura 1-2 Red de VPN empresarial construida por el usuario


121248z4r4ci246droiu2l.png


2. Por el método de organización de la red.

 

·         VPN de acceso remoto: la Figura 1-3 muestra un escenario utilizado cuando un empleado móvil se conecta a la red mediante una marcación VPN. El empleado puede simplemente acceder a la red interna de la empresa en cualquier lugar con una conexión a Internet a través de un acceso telefónico remoto, lo que le permite acceder a los recursos de la red interna.

Figura 1-3 VPN de acceso remoto


121256o5pcypxxo1hpccvn.png


·         VPN de sitio a sitio: como se muestra en la Figura 1-4, este tipo de VPN se usa al interconectar las LAN de dos de las sucursales de una empresa desde diferentes ubicaciones.

Figura 1-4 VPN de sitio a sitio


121307xf8tdcv9f3sbgsi3.png


3. Por tipo de uso

·         VPN de acceso (acceso remoto): dirigidas a empleados móviles, permiten que un empleado móvil "pase por encima" de la red pública para obtener acceso remoto a la red interna de la empresa.

·         VPN de intranet: las VPN de intranet utilizan una red pública para interconectar las diversas redes internas de una empresa.

·         Redes privadas virtuales extranet: una red privada virtual (VPN) extranet utiliza una red privada virtual (VPN, por sus siglas en inglés) para ampliar la red de una empresa e incluir las oficinas de sus socios, lo que permite a diferentes empresas configurar una red privada virtual (VPN) usando Internet. La diferencia entre las VPN de la intranet y las VPNS de la extranet reside principalmente en la medida en que se concede acceso a los recursos de red de la sede de la empresa.

Figura 1-5 Acceso remoto VPN / intranet VPN / extranet VPN


121317cn3nns8ayql358yn.png


 

4. Por la capa de red en la que opera la tecnología VPN.

 

·         VPN basadas en la capa de enlace de datos: L2TP, L2F y PPTP. De estos, L2F y PPTP ya han sido reemplazados por L2TP, y este capítulo no detallará más estas dos tecnologías.

·         VPN basadas en la capa de red: GRE, IPSec y DSVPN

·         VPNs basadas en la capa de aplicación: SSL

 

 

2 tecnologías clave de VPN

El punto común de las tecnologías VPN basadas en Internet es que deben resolver los problemas de seguridad de la red VPN:

 

·         La ubicación geográfica desde la cual los empleados móviles se conectan a una red no es fija, y la ubicación en la que se encuentran con frecuencia no está protegida por las medidas de seguridad de la información de su empresa, por lo que debe existir una autenticación de acceso estricto para los empleados móviles. Esto implica la tecnología de autenticación de identidad. Además, también debe haber un control preciso sobre los recursos a los que pueden acceder los empleados móviles y la autoridad que se les otorga.

·         La autorización debe otorgarse de manera flexible a las empresas / personas asociadas en función de los nuevos desarrollos operativos, y también deben establecerse límites en la medida en que los socios pueden acceder a la red y en las categorías de datos que pueden transmitir. Se recomienda que la autenticación de identidad se realice para los socios. Después de la autenticación exitosa, se pueden usar políticas de seguridad para limitar los privilegios de acceso del socio.

·         Además, la transmisión de datos entre HQ y sus organizaciones filiales, socios y usuarios móviles debe ser segura, y el proceso para lograrlo implica el cifrado de datos y las tecnologías de validación de datos.

A continuación se ofrece una breve explicación de varias tecnologías clave que utilizan las VPN para resolver los problemas mencionados:

 

1. Tecnología Tunneling.

 

La tecnología Tunneling es una tecnología VPN fundamental y es similar a las tecnologías de conexión punto a punto. Como se muestra en la Figura 1-6, después de que la puerta de enlace VPN 1 recibe el paquete original, "encapsula" el paquete y luego lo transmite a través de Internet a la puerta de enlace VPN 2. La puerta de enlace VPN 2 luego "desencapsula" el paquete para obtener el paquete original.

 

Figura 1-6 Tecnología Tunneling.


121329assdrmm0c7l7c06q.png


El proceso de "encapsulación / desencapsulación" en sí mismo proporciona protecciones de seguridad para los paquetes originales "sin procesar" y, por lo tanto, cuando los paquetes encapsulados se transmiten en Internet, la ruta lógica que recorren se denomina "túnel". Los procesos de encapsulación / desencapsulación utilizados por diferentes tecnologías de VPN son completamente diferentes, y los procesos de encapsulación específicos se explicarán a continuación en detalle para cada tecnología de VPN.

 

2. Tecnologías de autenticación de identidad.

 

Estos se utilizan principalmente en conexiones remotas por empleados que trabajan de forma remota. Las puertas de enlace VPN de HQ autentican las identidades de los usuarios para confirmar que los usuarios que se conectan a la red interna son usuarios legítimos y no maliciosos.

 

Diferentes tecnologías VPN proporcionan diferentes métodos para la autenticación de identidad de usuario:

 

·         GRE: no es compatible con la tecnología de autenticación de identidad de usuario.

·         L2TP: se basa en la autenticación proporcionada por PPP (por ejemplo, CHAP, PAP o EAP). Al autenticar a los usuarios que acceden a la red, puede usar métodos de autenticación local o un servidor RADIUS de terceros para verificar las identidades de los usuarios. Después de la autenticación exitosa, a los usuarios se les asignan direcciones IP internas, y la autorización y la administración de los usuarios se realizan utilizando estas direcciones IP.

·         IPSec: admite la autenticación EAP de los usuarios cuando se utiliza IKEv2. La autenticación se puede realizar mediante métodos de autenticación locales o mediante un servidor RADIUS de terceros. Después de la autenticación exitosa, a los usuarios se les asignan direcciones IP internas, y la autorización y la administración de los usuarios se realizan utilizando estas direcciones IP.

·         DSVPN: no es compatible con la tecnología de autenticación de identidad de usuario.

·         SSL VPN: admite autenticación local, autenticación basada en certificados y autenticación basada en servidor de usuarios de acceso. Además, los usuarios que buscan conectarse a una red también pueden autenticar la identidad del servidor VPN SSL para confirmar la legitimidad del servidor VPN SSL.

3. Tecnología de cifrado.

 

El cifrado es el proceso de convertir un mensaje de texto simple en un mensaje de texto cifrado. Como se muestra en la Figura 1-7, esto hace que incluso si los hackers interceptan y capturan un paquete, no tienen forma de saber el significado real del paquete. El objetivo del cifrado puede ser paquetes de datos o paquetes de protocolo, lo que permite mejorar la seguridad del protocolo tanto para los paquetes de protocolo como para los paquetes de datos.

 

Figura 1-7 Cifrado de datos

 


121341sdd3ca5rra0c55cz.png


 

Los protocolos GRE y L2TP no proporcionan tecnología de cifrado por sí mismos, por lo que generalmente se combinan con los protocolos IPSec, que se basan en la tecnología de cifrado de IPSec.

·         IPSec: admite el cifrado de paquetes de datos y paquetes de protocolo.

·         DSVPN: admite el cifrado de paquetes de datos y paquetes de protocolo después de configurar un marco de seguridad IPSec.

·         SSL VPN: admite el cifrado de paquetes de datos y paquetes de protocolo.

 

 

 

4. Tecnologías de validación de datos.

 

La tecnología de validación de datos realiza inspecciones de la integridad de los paquetes y descarta los paquetes falsificados y los paquetes que han sido manipulados. ¿Cómo se realiza esta validación? Al utilizar un tipo de tecnología de "Digest", que se muestra en la Figura 1-8 (la figura solo muestra el proceso de validación; en circunstancias normales, la validación se utiliza junto con el cifrado). La tecnología "Digest" usa principalmente la función hash para convertir un paquete largo en un paquete corto. La validación de paquetes se realiza en los extremos de envío y recepción, y solo se aceptan paquetes con resúmenes idénticos.

 

Figura 1-8 Validación de datos



121349qrureddb2xnkneue.png


·         GRE: solo proporciona validación de suma de comprobación simple y validación de palabras clave, pero se puede utilizar junto con el protocolo IPSec, lo que permite utilizar la tecnología de validación de datos de IPSec.

·         L2TP: no proporciona la tecnología de validación de datos en sí, pero puede usarse junto con los protocolos IPSec, lo que permite que se use la tecnología de validación de datos IPSec.

·         IPSec: admite la validación completa de datos y la validación de origen de datos.

·         DSVPN: admite la validación completa de datos y la validación de la fuente de datos después de que se configura un marco de seguridad IPSec.

·         SSL VPN: admite la validación completa de datos y la validación de fuentes de datos.

3 Resumen

La Tabla 1-1 es un breve resumen de las tecnologías de seguridad utilizadas comúnmente y los escenarios de uso para las VPNs GRE, L2TP, IPSec y SSL VPNs.

 

Protocolo

Alcance de la protección

Escenario de uso

Autenticación de identidad de    usuario

Encriptación y Validación

GRE

Datos en la capa IP   y superiores

Intranet VPN

No soportado

Validación simple   de palabras clave y validación de suma de comprobación admitida

L2TP

Datos en la capa   IP y superiores

Acceso VPN

Extranet VPN

Admite   autenticación CHAP, PAP y EAP basada en PPP

No soportado

IPSec

Data at the IP layer and above

Access VPN

Intranet VPN

Extranet VPN

Pre-shared key or certificate-based authentication and IKEv2's EAP   authentication supported

Soportado

DSVPN

Datos en la capa IP y superiores

Intranet VPN

Extranet VPN

No soportado

Se admite después de configurar un   marco de seguridad IPSec

SSL VPN

Datos específicos   de la capa de aplicación.

Access VPN

Nombre de usuario   / contraseña o autenticación de certificado soportada

Soportado

 

Esta sección ha proporcionado una introducción simple a las VPN. Si estos conceptos básicos no son suficientes, a continuación se incluye una introducción más detallada del uso, la configuración y los principios detrás de cada tipo de tecnología VPN.



  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje