[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):

ıllı OpenVPN wiki: info, historia y vídeos

  OpenVPN 

OpenVPN, es un producto de software creado por James Yonan en el año dos mil uno y que ha estado mejorando desde ese momento.

Ofrece una combinación de seguridad, sencillez de empleo y riqueza de peculiaridades./P>

Es una herramienta multiplataforma que ha simplificado la configuración de VPN's en frente de otras más viejas y bastante difíciles de configurar como IPsec y haciéndola más alcanzable para gente inexperta en este género de tecnología.

Por ejemplo: Pongamos que precisamos comunicar diferentes sucursales de una organización. Ahora vamos a ver ciertas soluciones que se han ofrecido como contestación a esta clase de necesidades.

En el pasado las comunicaciones se efectuaban por correo, teléfono o bien fax. Actualmente hay factores que hacen precisa la implementación de soluciones más complejas de conectividad entre las oficinas de las organizaciones a lo largo del planeta.

Dichos factores son:

• La aceleración de los procesos de negocios y su coherente incremento en la necesidad de intercambio flexible y veloz de información.
  
• Muchas organizaciones tienen múltiples sucursales en diferentes localizaciones como asimismo tele trabajadores recónditos desde sus casas, quienes precisan intercambiar información sin demora, tal y como si estuviesen físicamente juntos.
  
• La necesidad de las redes de computación de cumplir altos estándares de seguridad que aseguren la autenticidad, integridad y disponibilidad.

Líneas dedicadas
Las necesidades ya antes mentadas se satisfacían de entrada poniendo líneas dedicadas entre las distintas localizaciones recónditas a un costo considerablemente mayor que el de simple acceso a Internet. Se precisaban conexiones físicas reales necesitando de un distribuidor en todos y cada lugar resultando en una solo línea de comunicación entre 2 partes.

Por ejemplo, para una red de cuatro nodos en la que se buscara comunicación de todos con todos, habría que tender seis líneas de comunicación.

Además, para dar conectividad a trabajadores familiares o bien viajantes se incorporaban servicios RAS1 para aquellos que precisaban conectarse provisionalmente a través de conexiones de módem o bien líneas ISDN2 donde la organización se comportaba como un distribuidor de Internet (ISP).

Acceso a través de Internet y VPNs

Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologías. Brotó entonces la idea de emplear a Internet como medio entre los diferentes sitios de la organización. Brota de este modo la idea de las VPN's que son “Virtuales” y “Privadas”. Virtuales pues no son redes directas reales entre partes, sino más bien solo conexiones virtuales proveídas a través de software sobre la red Internet. Además de esto son privadas pues solo la gente correctamente autorizada puede leer los datos transferidos por este género de red consiguiendo la seguridad a través de la utilización de modernos mecanismos de criptografía. Reanudando el ejemplo precedente de una organización con 4 sitios, ahora solo precisamos 4 conexiones a Internet en vez de las 6 dedicadas de ya antes. Además de esto los que se conectan provisionalmente, asimismo lo hacen a través de una conexión a Internet, considerablemente más económica y alcanzable desde muchos lugares, como por servirnos de un ejemplo de cibercafés.

Supongamos que se tienen 2 sitios de una organización conectados a Internet. En los dos se va a contar con un equipo de conexión a la red de redes que cumplirá la función de ruteo cara y desde Internet como firewall para resguardarse de accesos no autorizados. El software VPN ha de estar instalado en ese firewall o bien algún dispositivo protegido por él. Uno de los sitios va a ser el “servidor” y va a ser el lugar que contiene la información y sistemas que deseamos compartir, al tiempo que al otro lo vamos a llamar “cliente”. El servidor va a ser entonces configurado para admitir conexiones desde el usuario (y a la inversa). Llegado este punto vamos a haber conseguido tener 2 sitios comunicados como en una red directa real mas todavía no es una VPN puesto que falta incorporar la “privacidad”, puesto que cualquier nodo intermedio de Internet puede leer la información que viaja sin protección. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que a través de empleo de claves aseguren que solo equipos o bien personas dueños de esas claves puedan acceder a los datos mandados por la VPN. Todos y cada uno de los datos mandados del punto A al B habrán de ser cifrados ya antes de ser mandados y descifrados en el otro extremo para más tarde ser entregados generalmente a su receptor final. Uno de los factores que distinguen a una implementación de VPN de otra, son los mecanismos que empleen para cifrar y repartir claves a todos y cada uno de los miembros de dicha red.

Las soluciones de VPN pueden ser incorporadas a niveles diferentes del modelo OSI de red.

Implementaciones de capa dos - Enlace

El encapsulamiento a este nivel ofrece ciertas ventajas puesto que deja trasferencias sobre protocolos no-IP, como por servirnos de un ejemplo IPX4 de Netware Systems. En teoría, las tecnologías incorporadas en capa dos pueden tunelizar cualquier género de bultos y en la mayor parte de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el que se establece la conexión con el otro lado del túnel.

Algunos ejemplos de estas tecnologías:

• PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión de PPP.

Su primordial desventaja es que solo puede establecer un túnel por vez entre pares.

• L2F: Layer dos Forwarding. Desarrollado por la compañía Cisco primordialmente, ofrece mejores posibilidades que PPTP eminentemente en el empleo de conexiones simultáneas.

• L2TP: Layer dos Tunneling Protocol. Utilizado por Cisco y otros fabricantes, se ha transformado en estándar de la industria y combina los beneficios de PPTP y L2F y además de esto suprimiendo las desventajas. Puesto que esta solución no ofrece mecanismos de seguridad, para su empleo habrá de ser conjuntada con otros mecanismos normalmente incorporados en capa tres del modelo OSI.

• L2Sec: Layer dos Security Protocol. Desarrollado para proveer una solución de forma segura, usa para ellos SSL/TLS si bien impone una sobrecarga bastante grande en la comunicación para conseguirlo.

Implementaciones de capa tres - Red

IPsec es la tecnología más admitida en este punto y fue desarrollada como un estándar de seguridad de Internet en capa tres. IPsec se puede emplear para encapsular cualquier tráfico de capa tres mas no el tráfico de capas inferiores, con lo que no se va a poder emplear para protocolos no-IP como IPX o bien mensajes de broadcast. Su primordial ventaja es que puede ser utilizado prácticamente en cualquier plataforma existiendo una enorme pluralidad de soluciones tanto de software como de hardware.

Existen 2 métodos primordiales utilizados por IPsec:

• Modo Túnel. Todos y cada uno de los bultos IP son encapsulados en un nuevo bulto y mandados a través del túnel siendo desembalados en el otro extremo y más tarde dirigidos a su receptor final. En este modo, se resguardan las direcciones IP de transmisor y receptor como el resto de los metadatos de los bultos.

• Modo Transporte. Solo la carga útil (payload) de la sección de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso precedente, mas se exponen los metadatos a posibles atacantes que van a poder ver quien se está comunicando con quien.

Implementaciones de capa siete - Aplicación

También es posible establecer túneles en la capa de aplicación y en verdad son extensamente empleados en la actualidad siendo ciertas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organización mediante un navegador empezando la conexión en un sitio seguro (HTTPS-Secured website).

Además, hay otros productos como SSL-Explorer y otros que ofrecen una combinación de gran flexibilidad, seguridad fuerte y sencillez de configuración. La seguridad es conseguida a través de cifrado del tráfico utilizando mecanismos SSL/TLS, los que han probado ser segurísimos y son continuamente sometidos a mejoras y pruebas.

Implementación OpenVPN

OpenVPN es una solución para VPN que incorpora conexiones de capa dos o bien tres, utiliza los estándares de la industria SSL/TLS para cifrar y combina todas y cada una de las peculiaridades citadas previamente en las otras soluciones VPN. Su primordial desventaja de momento es que hay poquísimos fabricantes de hardware que lo integren en sus soluciones. No obstante, en sistemas basados en Linux se puede incorporar sin inconvenientes a través de software.

Para cifrar datos se emplean Contraseñas o bien claves de cifrado.

OpenVPN tiene 2 modos considerados seguros, uno basado en claves estáticas pre-compartidas y otro en SSL/TLS utilizando certificados y claves RSA.

Cuando los dos lados emplean exactamente la misma clave para cifrar y descifrar los datos, estamos utilizando el mecanismo conocido como “clave simétrica” y dicha clave ha de ser instalada en todas y cada una de las máquinas que van a tomar parte en la conexión VPN.

Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con el beneficio de la simplicidad.

Veremos ahora ese procedimiento y otros que aportan mayor seguridad y sencillez de distribución.

Cifrado simétrico y claves pre-compartidas

Cualquiera que tenga la clave va a poder descifrar el tráfico, con lo que si un atacante la consiguiese comprometería el tráfico completo de la organización puesto que tomaría parte como un miembro más de la VPN.

Es por este motivo que mecanismos como IPsec cambian las claves cada cierto periodo, asociando a exactamente las mismas algunos periodos de valía, llamados “tiempo de vida” o bien “lifetime”. Una buena combinación de tiempo de vida y longitud de la clave asegurarán que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando por último la consiga (por el hecho de que lo va a hacer), ya no le sirva por estar fuera de vigencia. IPSec usa su protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y todavía no ha sido terminado.

Cifrado asimétrico con SSL/TLS

SSL/TLS utiliza de las mejores tecnologías de cifrado para asegurar la identidad de los miembros de la VPN.

Cada miembro tiene 2 claves, una pública y otra privada.

La pública es distribuida y utilizada por cualquiera para cifrar los datos que van a ser mandados a la contraparte quien conoce la clave privada que es indispensable para descifrar los datos. El par de clave pública/privada es generado desde algoritmos matemáticos que aseguran que solo con la clave privada es posible leer los datos originales. Si se encontrara un modo de quebrar la seguridad que estos algoritmos dan, todas y cada una de las conexiones cuya integridad depende de ellos se verían potencialmente comprometidas.

Es de resaltar que la clave privada debe continuar segrega al tiempo que la clave pública ha de ser intercambiada a fin de que nos puedan mandar mensajes.

Seguridad SSL/TLS

Las bibliotecas SSL/TLS son una parte del software OpenSSL que viene instalado en cualquier sistema moderno y también incorpora mecanismos de cifrado y autentificación basados en certificados. Los certificados normalmente son emitidos por entidades de reconocida fiabilidad si bien asimismo podemos emitirlos mismos y emplearlos en nuestra VPN. Con un certificado firmado, el dueño del mismo es capaz de probar su identidad a todos los que confíen en la autoridad certificadora que lo emitió.

  ELIGE TU TEMA DE INTERÉS: 

---

Internet y Tecnologias

• Anterior
• Siguiente