Captulo 9

Acceso remoto con VPN

Cada vez ms informacin viaja por Internet y otras redes WAN como las de telefona
mvil. Por ello es necesario en muchos casos establecer mtodos que nos permitan asegurar
la condencialidad de la informacin. Muchas organizaciones tienen ocinas distribuidas
por diferentes lugares geogrcamente separados, y la movilidad laboral, el teletrabajo o
empleados que trabajan desde la ocina del cliente o comerciales han supuesto que servicios
que antes eran internos deban ser accesibles desde fuera de la ocina habitual.

Todo esto ha hecho que la importancia de la criptografa, los tneles o las redes priva-
das virtuales sean un tema muy importante, mxime si consideramos que las alternativas
como una red fsica propia o una arrendada son muy caras.

9.1. Redes privadas virtuales

Una red privada virtual o VPN se puede ver como una extensin de una red privada
1

(por ejemplo una LAN) a travs de una red pblica (como Internet).

Adems de proporcionar seguridad pueden permitir que empleados desde una ubica-
cin remota accedan a servicios tpicos de una intranet. Tambin se utilizan para saltarse
restricciones geopolticas.

Una VPN se basa en el uso de tneles (encapsular un protocolo en otro) y cifrado del
trco para proporcionar una conexin punto a punto virtual.

Estos puntos ya fueron tratados en temas anteriores, pero introducimos aqu una lista
de protocolos de tunneling y las capas en las que trabajan:
L2F: Layer 2 Forwarding Protocol (Cisco) (capa 2).
L2TP: Layer 2 Tunneling Protocol (capas 2 y 3).
MPLS: Multi-Protocol Label Switching (capas 2 y 3).
IPSec: IP Secure (capa 3).
PPTP: Point-to-Point Tunneling Protocol (capa 3).
1
Virtual Private Network

Pgina 233 Creative Commons 4.0 cbna

Seguridad y Alta Disponibilidad Sergio Cuesta Vicente

GRE: Generic Routing Encapsulation (capa 3).

IP/IP: IP over IP (capa 3).
MPOA: Multi-Protocol Over ATM (capa 3).

En cuanto a la encriptacin se emplean algoritmos de criptografa simtrica y asim-

trica existiendo dos posibilidades que pueden combinarse como vimos: clave compartida
(PSK) y certicados digitales y PKI.

Para crear una VPN se usa una combinacin de elementos hardware y/o software. De
forma genrica podemos decir que la componen los siguientes elementos:
La red insegura (por ejemplo Internet).
Redes internas (seguras o no, por ejemplo una red wi de un hotel) que se comuni-
carn a travs de la red insegura anterior.
Servidores y clientes VPN.
Protocolos para crear la VPN (tneles y cifrado).

Al crear una VPN se busca asegurar la condencialidad, integridad, no repudio y au-

tenticacin y autorizacin.

9.2. Esquemas de conexin

Segn cmo se interconectan los sistemas o redes que que intervienen en la VPN es
posible diferenciar diferentes tipos de VPNs.

9.2.1. Servicios VPN o VPN personal

Son las que se utilizan como usuarios de Internet para poder saltarse restriciones geo-
polticas o para asegurarnos de que otros usuarios del mismo hotspot wi no intercepten
nuestras comunicaciones. Tienen el inconveniente de que debemos "arnos" del proveedor
del servicio lo que no siempre es fcil. (Figura 9.1)

Figura 9.1: Servicio VPN.

Pgina 234 Creative Commons 4.0 cbna

Seguridad y Alta Disponibilidad Sergio Cuesta Vicente

9.2.2. VPNs punto a punto (host-to-host)

Este tipo de VPN se crea entre dos equipos y solo permite la comunicacin entre ellos.
Este tipo puede usarse por ejemplo cuando un empleado tiene que acceder a un recurso
especco como un servidor concreto o una base de datos o para conectar dos servidores
que funcionan en modo espejo. (Figura 9.2)

Figura 9.2: VPN punto a punto.

9.2.3. VPNs de acceso remoto (remote access) (road warrior)

Estas VPNs sirven para conectar a un usuario a una red interna corporativa desde fuera
de la organizacin. El empleado desde el exterior se conectar a un gateway VPN que le
autenticar y a partir de ese momento ser como si estuviera en la LAN a efectos de uso
de los servicios. El usuario es consciente de que hay una VPN y de cmo usarla. (Figura
9.3)

Figura 9.3: VPN de acceso remoto.

Como curiosidad, el trmino road warrior (guerrero de la carretera) se aplica a personas

que viajan mucho por negocios.

Pgina 235 Creative Commons 4.0 cbna

Seguridad y Alta Disponibilidad Sergio Cuesta Vicente

9.2.4. VPN extremo a extremo (site-to-site)

En este caso se establece la conexin entre dos gateways VPN de dos redes remotas,
por ejemplo dos ocinas de la misma empresa en ubicaciones diferentes. El gateway de un
rama de la empresa negocia la creacin de una VPN con el de la sede central y establecen
un tnel seguro entre ellas. As las redes se vern "como si fueran una" para los usuarios
y los mismos servicios estarn disponibles en ambas. (Figura 9.4)

Figura 9.4: VPN extermo a extremo.

9.3. Nivel de red en el que opera una VPN

Las VPNs pueden ser creadas a nivel de enlace, de red o de transporte/aplicacin.

Esto es el nivel al se implementa la VPN pero tambin podramos hablar del nivel que
ofrece como servicio (nivel al que se implanta), diferenciando entre capa 2 (por la VPN
viajan paquetes de enlace como Ethernet, Frame Relay, ATM,...) o capa 3 (por la que
viajan paquetes de red como IP). Para entender mejor esto vamos a ver un ejemplo en el
se muestra cmo operara diferentes alternativas (Figura 9.5)

Teniendo en cuenta esta distincin vamos a comentar algunas de las tecnologas usadas
para crear VPNs:
SSL/TLS (OpenVPN): La VPN se implementa en el nivel de transporte y se puede
ofrecer tanto a nivel 2 como a nivel 3.
IPSec: Se implementa en el nivel de red. Normalmente ofrece un nivel 3 aunque es
posible congurarlo para ofrecer nivel 2.
SSH: Se implementa en el nivel de aplicacin y transporte (TCP). Ofrece tanto
redes de nivel 2 como de nivel 3.

Como en tantos otros casos que hemos visto, este tipo de soluciones puedes sufrir ex-
ploits o incluso quedarse obsoleto como le ha sucedido a PPTP (capa 2, hasta hace poco
2

2
Point-to-Point Tunneling Protocol

Pgina 236 Creative Commons 4.0 cbna

Seguridad y Alta Disponibilidad Sergio Cuesta Vicente

Figura 9.5: VPN: nivel al que se implementa y nivel ofrecido o al que se implanta.

la solucin ms popular) que en la actualidad es completamente inseguro y debera susti-

tuirse por alternativas como L2TP o IKEv2.

9.4. Hardware vs software

Como es habitual las soluciones hardware ofrecen un mayor rendimiento y son ms

fciles de congurar pero hacen que dependamos del fabricante, que perdamos exibilidad
y los costes se incrementan, mientras que los software dependen mucho de la seguridad del
sistema operativo antrin.

Ejemplos de fabricantes de soluciones hardware son:

SonicWall
Cisco
Juniper Networks

Ejemplos de soluciones software son:

OpenVPN
Servicio de enrutamiento y acceso remoto de Windows Server.
VTun

Pgina 237 Creative Commons 4.0 cbna

Seguridad y Alta Disponibilidad Sergio Cuesta Vicente

OpenSwan
FreeS/Wan
OpenSSH

9.5. Ventajas e inconvenientes del uso de VPNs

Ventajas:
Proporcionan acceso remoto desde diferentes ubicaciones.
Son ms baratos que otras soluciones como las lneas dedicadas o las arrendadas.
Proporcionan seguridad mediante autenticacin y cifrado.
Permiten aadir usuarios o ubicaciones de forma fcil haciendo que sean muy esca-
lables.

Inconvenientes:
Dependencia de la red pblica que se use, no solo en que est disponible el servicio
sino en aspectos como la QoS.
Merma en el rendimiento tanto por el uso de tneles con la encriptacin. Ambos
aspectos tienen que hacerse en un extremo y deshacerse en el otro. La sobrecarga
en el trco producida por los protocolos de tnel puede llegar hasta un 50 %.
La conguracin y la gestin son complejas.
La abilidad y la seguridad son menores que en una lnea dedicada.
Son muy dependientes de la tecnologa usada.

9.6. Bibliografa

Especialmente los Apuntes de "Seguridad y Alta Disponibilidad" de lvaro Garca

Snchez que son la base de estos y de los que he sacado gran parte de la informacin.

Cuadernillo de prcticas del curso "Seguridad en redes" de Pedro Pablo Gmez

Martn, septiembre, 2015.

Wikipedia

"Seguridad y Alta Disponibilidad" de Jess Costas Santos. Ed. Ra-Ma.

"Seguridad y Alta Disponibilidad" de Alfredo Abad Domingo. Ed. Garceta.

Pgina 238 Creative Commons 4.0 cbna