[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):
ıllı OpenVPN wiki: info, historia y vídeos
La información contenida en esta web debe ser considerada como información general, de carácter formativo, educativo o divulgativo, y no puede ser utilizada o interpretada como consejo o diagnótico médico, psicológico o de ningún otro tipo. Es posible que algunos datos mostrados no esten actualizados. Por ello, en caso de duda lo recomentable es consultar a un experto cualificado.
- Detalles
- Categoría: INTERNET
OpenVPN
OpenVPN, es un producto de software creado por James Yonan en el año dos mil uno y que ha estado mejorando desde ese momento. Ofrece una combinación de seguridad, sencillez de empleo y riqueza de peculiaridades./P> Es una herramienta multiplataforma que ha simplificado la configuración de VPN's en frente de otras más viejas y bastante difíciles de configurar como IPsec y haciéndola más alcanzable para gente inexperta en este género de tecnología. Por ejemplo: Pongamos que precisamos comunicar diferentes sucursales de una organización. Ahora vamos a ver ciertas soluciones que se han ofrecido como contestación a esta clase de necesidades. En el pasado las comunicaciones se efectuaban por correo, teléfono o bien fax. Actualmente hay factores que hacen precisa la implementación de soluciones más complejas de conectividad entre las oficinas de las organizaciones a lo largo del planeta. Dichos factores son: Líneas dedicadas Por ejemplo, para una red de cuatro nodos en la que se buscara comunicación de todos con todos, habría que tender seis líneas de comunicación. Además, para dar conectividad a trabajadores familiares o bien viajantes se incorporaban servicios RAS1 para aquellos que precisaban conectarse provisionalmente a través de conexiones de módem o bien líneas ISDN2 donde la organización se comportaba como un distribuidor de Internet (ISP). Acceso a través de Internet y VPNs Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologías. Brotó entonces la idea de emplear a Internet como medio entre los diferentes sitios de la organización. Brota de este modo la idea de las VPN's que son “Virtuales” y “Privadas”. Virtuales pues no son redes directas reales entre partes, sino más bien solo conexiones virtuales proveídas a través de software sobre la red Internet. Además de esto son privadas pues solo la gente correctamente autorizada puede leer los datos transferidos por este género de red consiguiendo la seguridad a través de la utilización de modernos mecanismos de criptografía. Reanudando el ejemplo precedente de una organización con 4 sitios, ahora solo precisamos 4 conexiones a Internet en vez de las 6 dedicadas de ya antes. Además de esto los que se conectan provisionalmente, asimismo lo hacen a través de una conexión a Internet, considerablemente más económica y alcanzable desde muchos lugares, como por servirnos de un ejemplo de cibercafés. Supongamos que se tienen 2 sitios de una organización conectados a Internet. En los dos se va a contar con un equipo de conexión a la red de redes que cumplirá la función de ruteo cara y desde Internet como firewall para resguardarse de accesos no autorizados. El software VPN ha de estar instalado en ese firewall o bien algún dispositivo protegido por él. Uno de los sitios va a ser el “servidor” y va a ser el lugar que contiene la información y sistemas que deseamos compartir, al tiempo que al otro lo vamos a llamar “cliente”. El servidor va a ser entonces configurado para admitir conexiones desde el usuario (y a la inversa). Llegado este punto vamos a haber conseguido tener 2 sitios comunicados como en una red directa real mas todavía no es una VPN puesto que falta incorporar la “privacidad”, puesto que cualquier nodo intermedio de Internet puede leer la información que viaja sin protección. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que a través de empleo de claves aseguren que solo equipos o bien personas dueños de esas claves puedan acceder a los datos mandados por la VPN. Todos y cada uno de los datos mandados del punto A al B habrán de ser cifrados ya antes de ser mandados y descifrados en el otro extremo para más tarde ser entregados generalmente a su receptor final. Uno de los factores que distinguen a una implementación de VPN de otra, son los mecanismos que empleen para cifrar y repartir claves a todos y cada uno de los miembros de dicha red. Las soluciones de VPN pueden ser incorporadas a niveles diferentes del modelo OSI de red. Implementaciones de capa dos - Enlace El encapsulamiento a este nivel ofrece ciertas ventajas puesto que deja trasferencias sobre protocolos no-IP, como por servirnos de un ejemplo IPX4 de Netware Systems. En teoría, las tecnologías incorporadas en capa dos pueden tunelizar cualquier género de bultos y en la mayor parte de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el que se establece la conexión con el otro lado del túnel. Algunos ejemplos de estas tecnologías: Su primordial desventaja es que solo puede establecer un túnel por vez entre pares. Implementaciones de capa tres - Red IPsec es la tecnología más admitida en este punto y fue desarrollada como un estándar de seguridad de Internet en capa tres. IPsec se puede emplear para encapsular cualquier tráfico de capa tres mas no el tráfico de capas inferiores, con lo que no se va a poder emplear para protocolos no-IP como IPX o bien mensajes de broadcast. Su primordial ventaja es que puede ser utilizado prácticamente en cualquier plataforma existiendo una enorme pluralidad de soluciones tanto de software como de hardware. Existen 2 métodos primordiales utilizados por IPsec: Implementaciones de capa siete - Aplicación También es posible establecer túneles en la capa de aplicación y en verdad son extensamente empleados en la actualidad siendo ciertas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organización mediante un navegador empezando la conexión en un sitio seguro (HTTPS-Secured website). Además, hay otros productos como SSL-Explorer y otros que ofrecen una combinación de gran flexibilidad, seguridad fuerte y sencillez de configuración. La seguridad es conseguida a través de cifrado del tráfico utilizando mecanismos SSL/TLS, los que han probado ser segurísimos y son continuamente sometidos a mejoras y pruebas. Implementación OpenVPN OpenVPN es una solución para VPN que incorpora conexiones de capa dos o bien tres, utiliza los estándares de la industria SSL/TLS para cifrar y combina todas y cada una de las peculiaridades citadas previamente en las otras soluciones VPN. Su primordial desventaja de momento es que hay poquísimos fabricantes de hardware que lo integren en sus soluciones. No obstante, en sistemas basados en Linux se puede incorporar sin inconvenientes a través de software. Para cifrar datos se emplean Contraseñas o bien claves de cifrado. OpenVPN tiene 2 modos considerados seguros, uno basado en claves estáticas pre-compartidas y otro en SSL/TLS utilizando certificados y claves RSA. Cuando los dos lados emplean exactamente la misma clave para cifrar y descifrar los datos, estamos utilizando el mecanismo conocido como “clave simétrica” y dicha clave ha de ser instalada en todas y cada una de las máquinas que van a tomar parte en la conexión VPN. Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con el beneficio de la simplicidad. Veremos ahora ese procedimiento y otros que aportan mayor seguridad y sencillez de distribución. Cifrado simétrico y claves pre-compartidas Cualquiera que tenga la clave va a poder descifrar el tráfico, con lo que si un atacante la consiguiese comprometería el tráfico completo de la organización puesto que tomaría parte como un miembro más de la VPN. SSL/TLS utiliza de las mejores tecnologías de cifrado para asegurar la identidad de los miembros de la VPN. Cada miembro tiene 2 claves, una pública y otra privada. La pública es distribuida y utilizada por cualquiera para cifrar los datos que van a ser mandados a la contraparte quien conoce la clave privada que es indispensable para descifrar los datos. El par de clave pública/privada es generado desde algoritmos matemáticos que aseguran que solo con la clave privada es posible leer los datos originales. Si se encontrara un modo de quebrar la seguridad que estos algoritmos dan, todas y cada una de las conexiones cuya integridad depende de ellos se verían potencialmente comprometidas. Es de resaltar que la clave privada debe continuar segrega al tiempo que la clave pública ha de ser intercambiada a fin de que nos puedan mandar mensajes. Seguridad SSL/TLS Las bibliotecas SSL/TLS son una parte del software OpenSSL que viene instalado en cualquier sistema moderno y también incorpora mecanismos de cifrado y autentificación basados en certificados. Los certificados normalmente son emitidos por entidades de reconocida fiabilidad si bien asimismo podemos emitirlos mismos y emplearlos en nuestra VPN. Con un certificado firmado, el dueño del mismo es capaz de probar su identidad a todos los que confíen en la autoridad certificadora que lo emitió.
Las necesidades ya antes mentadas se satisfacían de entrada poniendo líneas dedicadas entre las distintas localizaciones recónditas a un costo considerablemente mayor que el de simple acceso a Internet. Se precisaban conexiones físicas reales necesitando de un distribuidor en todos y cada lugar resultando en una solo línea de comunicación entre 2 partes.
Es por este motivo que mecanismos como IPsec cambian las claves cada cierto periodo, asociando a exactamente las mismas algunos periodos de valía, llamados “tiempo de vida” o bien “lifetime”. Una buena combinación de tiempo de vida y longitud de la clave asegurarán que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando por último la consiga (por el hecho de que lo va a hacer), ya no le sirva por estar fuera de vigencia. IPSec usa su protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y todavía no ha sido terminado.
Cifrado asimétrico con SSL/TLS