Garantizar la seguridad de la red con una VPN (red privada virtual)

Las redes privadas virtuales (VPNs) fueron creados para abordar dos problemas diferentes: el alto costo de líneas arrendadas dedicadas necesarios para las comunicaciones de sucursales y la necesidad de permitir a los empleados un método de seguridad de conexión a las redes de los de la sede cuando estaban en viaje de negocios fuera de la ciudad o trabajando desde casa.

¿Cómo funciona una VPN

Una VPN utiliza un protocolo especial para establecer un virtual canal entre dos máquinas o dos redes. Imagínese si usted podría soplar una burbuja de jabón en forma de un tubo y sólo tú y tu amigo podría hablar a través de él. La burbuja es temporal y cuando usted quiere tener otra conversación, usted tendría que crear otra burbuja. Eso es un poco como el canal de una VPN. Este canal es en realidad una sesión directa temporal. Esto es lo que comúnmente se conoce como túnel.

A continuación, el VPN también intercambia una serie de secretos compartidos para crear una clave de cifrado. El tráfico que viaja a lo largo del canal establecido es envuelto con un paquete de cifrado que tiene una dirección en el exterior del paquete, pero el contenido se oculta a la vista. Es algo así como un envoltorio de caramelo. Usted puede ver los dulces, pero no se sabe muy bien lo que el caramelo se ve como en el interior. Lo mismo ocurre con el tráfico cifrado. Los contenidos originales se oculta a la vista, pero no tiene suficiente información para llegar a su destino. Después de que los datos lleguen a su destino, el envoltorio se elimina de forma segura.

Configuración de una VPN

Puede configurar una VPN de dos maneras: La primera forma se usa normalmente entre las redes y los cortafuegos o routers cifrado para hacer el cifrar y descifrar el tráfico. En esta configuración no hay necesidad de software especial en las computadoras de escritorio o cliente. El segundo método es tener un firewall, un router cifrar o servidor VPN al final de destino y el software de cliente especial VPN en los equipos de escritorio o portátiles. Todo depende de si la VPN es una operación de dos vías o una operación de un solo sentido.

Determinar la relación

En una relación de dos vías tiene dos redes que quieren trabajar juntos y cada uno tiene básicamente la misma configuración VPN como el otro. La solicitud para establecer una conexión VPN puede venir de cualquier dirección. Ningún software especial que se necesita en los equipos de escritorio porque todo el cifrar y descifrar se realiza en los puntos de entrada y salida de la red. Ambas redes también tienen sistemas de gestión de claves para que puedan crear dos claves secretas para una sesión de VPN. Es importante que las dos redes tienen componentes VPN compatibles o no van a tener éxito en hablar el uno al otro.

En una relación de una sola vía, la red de destino tiene la configuración VPN y no existe un acuerdo con otra red para compartir. En ese caso, el equipo con ganas de hacer la conexión con la red tiene que tener el software de cliente VPN y la solicitud sólo puede ser hecho en una dirección - desde el cliente a la red. El software de cliente puede solicitar y autenticar en sí, pero los mecanismos secretos para preparar clave sólo están en la red. El equipo cliente tendrá una clave secreta almacenada en sí mismo, pero no puede crear nuevas claves.

En general, el sistema de un solo sentido se utiliza para los usuarios remotos que está marcando desde su casa o mientras están viajando en la carretera. Ellos dial-up a través de su proveedor de Internet y los mecanismos para establecer y mantener las conexiones VPN se todos contenidos en la red de destino. Si alguien con un ordenador portátil sin el software de cliente VPN trató de conectarse a la red de la empresa, que no llegaría muy lejos, porque no tendría el software de cliente o una clave secreta. Además, el usuario no autorizado no se cotiza en la base de datos de usuarios autorizados de la VPN. Sin embargo, una vez que alguien marca y se autentica, su acceso es el mismo que si estuvieran sentados en el mismo edificio que la red de destino.

¿Dentro o fuera?

Puede configurar la VPN punto final en varios lugares. El punto final es donde el tráfico VPN entre en su red. En algunos casos, el punto final es también el firewall como muchos firewalls vienen con capacidades de VPN en la actualidad. El punto final también puede estar en frente del firewall, en una DMZ de un lado para el firewall, o en el interior del firewall. Cada una de estas configuraciones tiene sus más y sus menos.

Si decide poner su VPN delante del servidor de seguridad, el mecanismo hace todo el cifrado y descifrado por su cuenta. Eso significa que no hay necesidad de permitir un túnel VPN abierto a través de su firewall. Todo el tráfico a través del servidor de seguridad habrán sido previamente filtrada y formateado por lo que el firewall puede leerlo. Sin embargo, si la VPN falla o es bajado, se le enfrenta con una situación en la que todo el tráfico se apaga sin cifrar, o ningún tráfico en todo salga. Depende de si su VPN fallará en la posición abierta o cerrada.

Una VPN en el cortafuegos podría parecer una buena solución porque, de nuevo, no es necesario salir de un túnel abierto a través del firewall. El servidor de seguridad se encargará de todo el cifrado, descifrado, y su trabajo regular del examen de tráfico. Este tipo de solución pone una enorme carga para el pobre servidor de seguridad, sin embargo. Cifrado y descifrado es mano de obra intensiva para un ordenador, como es el examen de tráfico, y que podría dar lugar a un cuello de botella para el tráfico.

Otro método es poner la VPN en el interior del firewall. Esto alivia el firewall y / o router de tener que manejar el cifrado y el descifrado del tráfico, pero usted tiene que permitir que un túnel VPN para pasar a través del firewall. Un servidor de seguridad no puede leer el tráfico cifrado y permitirá que el tráfico pase a través indiscutible. Por supuesto, el tráfico todavía se detendrá por el mecanismo de VPN, pero en ese momento, ya está en la red interna.

Asegurar el cliente

Probablemente la forma más fácil de romper la seguridad de una VPN es de obtener una bodega de un ordenador portátil que se utiliza para marcar en una conexión VPN. El ordenador portátil robado tendrá el software de cliente VPN, el ID de usuario y la clave secreta de todo almacenado en una máquina. El propietario de un portátil inteligente no se han guardado la contraseña para el túnel VPN en su computadora. Si lo ha hecho, el ladrón acaba metido un boleto gratis para pasear en su red!

Los usuarios que utilizan ordenadores portátiles para establecer conexiones VPN con la red necesitan recibir lecciones en el mantenimiento de una buena seguridad. Deben tener hasta al día el software antivirus instalado y asegurarse de que se ejecuta cada vez que inicien su equipo. Además, la computadora portátil debe tener un software de cortafuegos personal para este compromiso. Algunos clientes VPN ya incluyen firewalls personales, por lo que usted tendrá que consultar con su proveedor acerca de si el suyo lo hace o no lo hace. El firewall personal puede asegurar que sólo el cliente VPN está haciendo la conexión y que no es en realidad un programa de caballo de Troya disfrazado de cliente VPN. Otra buena precaución es permitir la contraseña del BIOS. De esa manera, si el equipo es robado, se puede ni siquiera ponerse en marcha sin la contraseña.