Capítulo 6. Redes privadas virtuales

Las organizaciones con varias oficinas satelitales a menudo se conectan con líneas dedicadas para proteger los datos confidenciales en tránsito. Por ejemplo, muchos negocios utilizan frame relay o líneas ATM Modo de Transferencia Asíncrono (Asynchronous Transfer Mode), como una solución de redes para enlazar una oficina con las otras. Esto puede ser una propuesta costosa, especialmente para negocios pequeños o medianos (SMBs) que desean extenderse sin tener que pagar los altos costos asociados a circuitos digitales dedicados de nivel corporativo.

Para resolver este problema, se desarrollaron las Redes privadas virtuales (VPNs). Siguiendo los mismos principios funcionales de los circuitos dedicados, las VPNs permiten una comunicación digital segura entre dos partes (o redes), creando una red de área amplia (WAN) a partir las Local Area Networks (LANs) existentes. La diferencia con respecto a frame relay o ATM está en el medio de transporte. Las VPNs transmiten sobre IP usando datagramas como la capa de transporte, haciendo un conducto seguro a través de la Internet hasta la dirección destino. La mayoría de las implementaciones de software libre de VPN incorporan estándares abiertos y encriptación para enmáscarar aún más el tránsito de datos.

Algunas organizaciones emplean soluciones de hardware VPN para aumentar la seguridad, mientras que otras utilizan las implementaciones basadas en software o protocolos. Hay muchos fabricantes con soluciones de hardware VPN tales como Cisco, Nortel, IBM y Checkpoint. Hay una solución libre de VPN basada en software para Linux llamada FreeS/Wan que utiliza una implementación estandarizada de IPSec (o Protocolo de Internet de Seguridad). Estas soluciones VPN, sin importar si están basadas en hardware o software, actúan como enrutadores especializados que se colocan entre la conexión IP desde una oficina a la otra.

Cuando un paquete es transmitido a un cliente, lo envía a través del enrutador o puerta de enlace, el cual posteriormente añade información de cabecera para el enrutamiento y autenticación llamado la Cabecera de autenticación (AH). Los datos son encriptados y encapsulados con instrucciones de descifrado y manejo llamado Encapsulating Security Payload (ESP). El enrutador VPN receptor extrae la información y la enruta a su destino (bien sea una estación de trabajo o un nodo en la red). Usando una conexión de red-a-red, el nodo receptor en la red local recibe los paquetes descifrados y listos para ser procesados. El proceso de encriptación/descifrado en una conexión VPN de red-a-red es transparente al nodo local.

Con tal nivel de seguridad, un cracker debe no sólo interceptar un paquete, sino además descifrarlo. Los intrusos que empleen el tipo de ataque "Hombre en el medio" entre un servidor y el cliente deben también tener acceso al menos a una de las llaves privadas para la autenticación de sesiones. Puesto que solamente emplean varias capas de autenticación y encriptación, las VPNes son una forma efectiva y segura de conectar nodos remotos múltiples para actuar como una única Intranet.

6.1. VPNs y Red Hat Enterprise Linux

Los usuarios de Red Hat Enterprise Linux tienen varias opciones en términos de implementar una solución de software para conectarse de forma segura a sus WAN. El Internet Protocol Security o IPsec es la implementación VPN compatible para Red Hat Enterprise Linux que resuelve de forma completa las necesidades de utilización de las organizaciones con sucursales o con usuarios remotos.