En el siglo XXI, la feroz competitividad de las empresas obliga a que los empleados, en sus momentos de tranquilidad, relax o viaje se teletransporten a la oficina estén donde estén (always-on).

Afortunadamente (en otros tiempos sería mandatorio desplazarse a la oficina a horas intespestivas) existen diversas maneras de poner a disposición de los empleados los recursos de la empresa de forma segura desde Internet. Lograr este tipo de conectividad "como si estuvieras en la oficina" implica la implementación de lo que se conoce como Red Privada Virtual o VPN por sus siglas en inglés (Virtual Private Network).

Es objeto de este post el mencionar las posibilidades más utilizadas, con sus virtudes e inconvenientes. Lo haremos cronológicamente:


* Acceso RAS: En los tiempos iniciales (los más nostálgicos nos emocionamos al escuchar los pitidos de un módem), la única forma de conexión a las empresas se basaba en una transmisión de módem a módem. Como desventajas podemos mencionar la lentitud (el caudal máximo de transferencia de datos se medía en bps), inseguridad (relativa, puesto que no estaban tan extendidos los conceptos de cómo hacer hacking como actualmente), limitación de acceso a datos,... Eran los orígenes y era la única forma de no tener que ir a la oficina a comprobar si los backups se habían hecho correctamente, comprobar o reparar un servicio caído, etc... Posteriormente se dotó de más seguridad esta forma de acceso mediante mecanismos de call-back para evitar spoofing en el número de llamada, etc,...


* PPTP (Point-to-Point Tunneling Protocol): Nació como evolución de los anteriores. Se trataba de universalizar los accesos mediante cualquier tipo de conexión física en el extremo cliente de la conexión (módem, enlaces X.25, RDSI, Frame Relay, Ethernet...). La comunicación se establecería utilizando un mecanismo lógico que abstraería del tipo de artilugio físico para la comunicación: La pila TCP/IP. Eran los tiempos en los emergieron las arquitecturas cliente/servidor, por lo que PPTP era implementado como un servicio que corría en una máquina que, daba acceso a una red (LAN, MAN o WAN) con una autenticación previa o simplemente de forma anónima. Se puede establecer una analogía de servicios de red, de manera que PPTP es comparable a un DHCP remoto, de manera que cuando un usuario requiere los servicios de PPTP, éste le dota de una dirección IP válida, gateway por defecto, incluso en algunos casos DNS y rutas internas de comunicación. En definitiva, un mecanismo más preciso, más moderno que RAS y más seguro (dependiendo de las vulnerabilidades intrínsecas de TCP/IP así como fallos en las implementaciones de los diferentes fabricantes). Versiones más avanzadas de PPTP permitían incluso el cifrado de los datos como mecanismo de protección de la comunicación. Como implementaciones conocidas de servidor PPTP podemos citar la de Microsoft, PopTop ,...


* IPSEC (Internet Protocol Security): Es el protocolo de comunicación con el que todos asociamos a las VPNs Existen dos subtipos de VPNs basadas en IPSEC: Site-to-Site y Roaming Clients. Ambas se basan en utilizar un medio público y peligroso de transmisión como es Internet, para establecer un túnel cifrado entre los extremos, que permite establecer una comunicación segura y autenticada.

Las VPNs IPSEC Site-to-Site se crean mediante dos dispositivos cuyas direcciones IP son conocidas y fijas para ambos. Se utilizan de forma masiva para conectar oficinas principales con sucursales situadas a muchos (a veces de miles) kilómetros de distancia. Los usuarios acceden de forma transparente a recursos remotos sin ni siquiera conocer el entramado de redes que hay que pasar para llegar a los mismos.

Respecto a las VPNs Roaming, siguen un modelo cliente/servidor como el indicado anteriormente. Se hace necesaria la utilización de un mecanismo software cliente que establece una conexión contra un servidor de túneles VPN (del mismo fabricante que el software cliente) que proporciona la puerta de acceso a la red de la empresa. De la misma manera que en PPTP, el servidor nos proveerá de dirección IP interna en un interfaz virtual, gateway por defecto y/o rutas para acceder a recursos internos, mecanismos DNS (incluso en algunas ocasiones se fuerzan todas las resoluciones DNS a través del túnel). En este tipo de VPNs se garantiza la confidencialidad (túneles cifrados encapsulados a través de Internet), la integridad (los datos no pueden ser modificados puesto que se detectaría mediante las comprobaciones de integridad pertinentes), la autenticación (ya sea mediante usuario/contraseña o certificados importados en el software cliente) y el no repudio (los gestores de túneles VPN, descifran el tráfico y registran las trazas de la actividad de cada usuario de forma unívoca).

Como implementaciones de servidores de túneles IPSEC, podemos citar Microsoft, Cisco, Fortinet, Stonegate, NetASQ, Checkpoint, FreeSwan, OpenSwan...


* VPN-SSL: La necesidad de conectividad en cualquier parte, incluso en los que no contamos con el incómodo y pesado portátil de la empresa (donde tenemos nuestro cliente IPSEC), ha hecho que las empresas ofrezcan acceso a recursos internos (que no se encuentran per se publicados al exterior) mediante lo que se ha llamado VPNs SSL. Para ello se apoyan en un protocolo que es "clientless", puesto que cualquier navegador Web "habla" SSL.

Existen varias filosofías dentro del mundo de las VPN SSL, dependiendo del hardware utilizado y de la posibilidad de instalar software en la máquina cliente.

Se puede acceder a contenido interno de las empresas mediante una transformación de los recursos establecida por el propio gestor de túneles SSL, de manera que un contenido que no es publicado al exterior (no se hace NAT requeriendo autenticación previa, sino que se establece una traducción de direcciones en el dispositivo VPN, pero no hay rutas directas).
Si podemos instalar software en la máquina cliente, el propio portal de acceso por VPN-SSL puede detectarlo y ofrecernos la descarga e instalación de un software (relativamente ligero) que permite el establecimiento de una VPN de similares características a las mencionadas en las VPNs IPSEC en cuanto a confidencialidad, integridad, autenticación y no repudio, levantando un interfaz virtual con direccionamiento IP interno a la organización para permitir el acceso a los recursos autorizados “como si estudiéramos en la oficina”.
Como implementaciones de VPN-SSL la más extendida en el mundo libre es OpenVPN.
Fabricantes comerciales que implementen este tipo de solución podemos destacar: Stonesoft, Aventail, Juniper, Cisco, Checkpoint, entre otros…


Fuente: http://www.securitybydefault.com/2008/07/siempre-con-acceso-ests-donde-ests.html