Capítulo 6. Redes privadas virtuales

Las organizaciones con varias oficinas satelitales a menudo se conectan con líneas dedicadas para proteger los datos confidenciales en tránsito. Por ejemplo, muchos negocios utilizan frame relay o líneas ATM Modo de Transferencia Asíncrono (Asynchronous Transfer Mode), como una solución de redes para enlazar una oficina con las otras. Esto puede ser una propuesta costosa, especialmente para negocios pequeños o medianos (SMBs) que desean extenderse sin tener que pagar los altos costos asociados a circuitos digitales dedicados de nivel corporativo.

Los ingenieros han desarrollado una solución costo-efectiva a este problema en la forma de Redes privadas virtuales (VPNs). Siguiendo los mismos principios funcionales de los circuitos dedicados, las VPNs permiten una comunicación digital segura entre dos partes (o redes), creando una red de área amplia (WAN) a partir de las LANs existentes. La diferencia con respecto a frame relay o ATM está en el medio de transporte. Las VPNs transmiten sobre IP usando datagramas (UDP) como la capa de transporte, haciendo un conducto seguro a través de la Internet hasta la dirección destino. La mayoría de las implementaciones de software libre de VPN incorporan estándares abiertos y encriptación para enmáscarar aún más el tránsito de datos.

Algunas organizaciones emplean soluciones de hardware VPN para aumentar la seguridad, mientras que otras utilizan las implementaciones basadas en software o protocolos. Hay muchos fabricantes con soluciones de hardware VPN tales como Cisco, Nortel, IBM y Checkpoint. Hay una solución libre de VPN basada en software para Linux llamada FreeS/Wan que utiliza una implementación estandarizada de IPSec (o Protocolo de Internet de Seguridad). Estas soluciones VPN actúan como enrutadores especializados que se colocan entre la conexión IP desde una oficina a la otra.

Cuando un paquete es transmitido a un cliente, lo envía a través del enrutador o puerta de enlace, el cual posteriormente añade información de cabecera para el enrutamiento y autenticación llamado la Cabecera de autenticación (AH). Los datos son encriptados y encapsulados con instrucciones de descifrado y manejo llamado Encapsulating Security Payload (ESP). El enrutador VPN receptor extrae la información y la enruta a su destino (bien sea una estación de trabajo o un nodo en la red). Usando una conexión de red-a-red, el nodo receptor en la red local recibe los paquetes descifrados y listos para ser procesados. El proceso de encriptación/descifrado en una conexión VPN de red-a-red es transparente al nodo local.

Con tal nivel de seguridad, un cracker debe no sólo interceptar un paquete, sino además descifrarlo (la mayoría de las VPNs emplean el Estándar de encriptación triple [3DES] de 168-bit). Los intrusos que empleen el tipo de ataque Hombre en el medio entre un servidor y el cliente deben también tener acceso a las llaves intercambiadas para la autenticación de sesiones. Las VPNes son una forma efectiva y segura de conectar nodos remotos múltiples para actuar como una única Intranet.

6.1. VPNs y Red Hat Enterprise Linux

Los usuarios y administradores de Red Hat Enterprise Linux tienen varias opciones en términos de implementar una solución de software para conectar y asegurar sus WAN. Existen, sin embargo, dos métodos para implementar conexiones VPN que son actualmente soportadas en Red Hat Enterprise Linux. Una solución equivalente que se puede utilizar como un sustituto seguro al uso de VPN incluye usar OpenSSH como un túnel entre dos nodos remotos. Esta solución es una alternativa a Telnet, rsh y otros protocolos de comunicación remotos, pero no resuelve completamente las necesidades de usabilidad de todos los usuarios corporativos y oficinas sucursales. Otras dos soluciones incluidas en Red Hat Enterprise Linux que se apegan un poco más a la definición de una VPN es Crypto IP Encapsulation (CIPE) y el Protocolo Internet de Seguridad (IPsec).