Principales Tipos de Redes Privadas Virtuales

Los principales tipos de redes privadas virtuales donde se pueden implementar son los siguientes: Redes Privadas Virtuales de Intranet Redes Privadas Virtuales de Acceso remoto Redes Privadas Virtuales de Extranet

Redes Privadas Virtuales de Intranet

Las VPN de Intranet estn conformadas por una oficina central y sucursales externas enlazadas a una red interna sobre una infraestructura compartida usando conexiones dedicadas. Gracias a las VPN de Intranet las empresas con sucursales distribuidas en diferentes puntos geogrficos pueden comunicarse entre s como si se formara una gran red. Normalmente solo se utiliza dentro de la red de la compaa y nicamente acceden los empleados de la misma. Los usuarios de la red que se hallan en cada lado de los lados del tnel pueden comunicarse entre s, como si se tratara de una sola red. Las VPN de Intranet suponen reduccin en costos frente a la tecnologa Frame Relay y lneas dedicadas, ya que generalmente utilizan Internet para reducir distancias, ocasionalmente grandes, entre las sucursales. En la figura 1 se muestra un ejemplo de VPN de Intranet.

Oficinas centrales Oficina remota

Oficina remota

Internet

Oficina remota

Figura 1 VPN de Intranet

1/11

Redes Privadas Virtuales de Acceso remoto

Este tipo de VPN naci de la necesidad de poder acceder a la red corporativa desde cualquier ubicacin, incluso mundial. Las VPN de acceso remoto proporcionan acceso a grandes distancias entre la Intranet o Extranet de una empresa y los usuarios mviles remotos. Un usuario mvil puede estar ubicado en algn punto geogrfico y puede acceder a los recursos de su red corporativa conectndose con cualquier proveedor de servicios de Internet (PSI) a travs de una llamada telefnica, un cable, una lnea DSL y conectarse a Internet, as puede acceder a los recursos de su red corporativa como son, correo interno, bases de datos, etc. Las VPN de acceso remoto pueden soportar las necesidades de los usuarios mviles, las extranets cliente a empresa, etctera. Una VPN de acceso remoto puede terminarse en dispositivos de extremo final. Un dispositivo de extremo final puede ser un router, firewall o un hub desplegado en el permetro de una red. Las VPN de acceso remoto utilizan tecnologas analgicas, de acceso telefnico, RDSI, lnea de suscriptor digital (ADSL), IP mvil y de cable para conectar de forma segura usuarios mviles, tele trabajadores y sucursales. En la figura 2 se muestra uno de los tipos de acceso ms comunes utilizando un PSI para poder acceder a la red.

Oficina remota Oficinas centrales Mvil

PSI
Internet Oficina remota

Mvil

Figura 2 VPN de acceso remoto

2/11

Redes Privadas Virtuales de Extranet

Las VPN de Extranet son casi idnticas a las VPN de Intranet con la diferencia que estas estn dirigidas a socios externos. Las VPN de Extranet enlazan clientes exteriores, proveedores, socios o comunidades de inters para una empresa, con el propsito de intercambiar informacin y realizar transacciones. Implementar una VPN de Extranet implica incrementar complejidad en lo referente a la autenticacin y el acceso, por medio de los tneles VPN y Firewalls, para que las empresas socias puedan acceder de forma segura a ciertos recursos especficos, sin tener por ello acceso a toda la informacin corporativa confidencial. La conexin se puede realizar por el protocolo HTTP y navegadores Web actuales, o se puede acordar otros tipos de conexin con servicios y protocolos diferentes, previamente de acuerdo con las partes involucradas. En la figura 3 se muestra un ejemplo de VPN de Extranet.

Proveedor Oficinas centrales

Socio de negocio Internet Oficina remota

Figura 3 VPN de Extranet

Ventajas de las Redes Privadas Virtuales

Son muchas las ventajas que puede ofrecer una VPN bien planeada, tal vez una de las principales tiene que ver con la utilizacin de redes pblicas como Internet ya que

3/11

permite que una compaa obtenga ahorros considerables en vez de utilizar una instalacin de lneas rentadas. Pero tambin existen otras ventajas relacionadas con la administracin, seguridad, consolidacin y transparencia. A continuacin se mencionaran algunas de estas ventajas. Una VPN permite disfrutar de una conexin a red con todas las caractersticas de la red privada a la que se quiere acceder. La tecnologa VPN es independiente, puede implementarse en diversas

plataformas de sistemas operativos como UNIX, Windows, Linux, etc. Las VPN cuenta con una diversificacin de conexiones, puede utilizarse en lneas rentadas, enlaces Frame Relay, ATM, RDSI, T1 o Wireless. Otra de las ventajas de las Redes Privadas Virtuales se debe a que la responsabilidad de su funcionamiento recae sobre el proveedor de servicios, lo cual libera a la empresa de los costos y recursos necesarios para operar y mantener una infraestructura de red, algo de especial valor para empresas que cuentan con configuraciones de red de gran complejidad. El cliente VPN adquiere totalmente la condicin de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de una computadora en esa red privada, pudiendo acceder a la informacin publicada para esa red privada: bases de datos, documentos internos, etc. a travs de un acceso pblico. Las VPN al utilizar Internet como medio de comunicacin reducen los costos drsticamente en comparacin a las lneas dedicadas o infraestructuras de marcacin interna. Las VPN ofrecen flexibilidad al poder optar por mltiples tecnologas y proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos del negocio. Aumenta la conectividad geogrfica. Con el uso de Internet se puede conectar a la LAN de su compaa desde cualquier punto del planeta siempre y cuando exista un proveedor de servicios de Internet (ISP) en esa rea. Seguridad mejorada. Una VPN ofrece mltiples elementos de seguridad, reduce riesgos como falseamiento IP, la prdida de confidencialidad y la inyeccin de paquetes.

4/11

Facilidad de ampliacin. Conforme los proveedores de red incrementan el ancho de banda en sus redes, las VPN pueden crecer y aprovechar este ancho de banda. Beneficios en el diseo de red. El administrador de red no tiene que lidiar con problemas en el diseo como las de una WAN sobre lneas rentadas, como flujo de trfico entre departamentos ubicados en distintos puntos geogrficos, y creacin de conductos adecuados para este trfico, ni con las cuentas de acceso de usuarios remotos por marcacin y cargas adicionales de instalar enlaces redundantes en caso de que falle el enlace de comunicacin principal. Con la arquitectura RPV todo el trabajo se reduce, todo lo que se requiere es una conexin a Internet, y el PSI se encarga del transporte.

Asignacin de prioridades de trfico. Debido a que una VPN ofrece acceso a una Intranet, Extranet o servidores internos de una organizacin, varios proveedores ofrecen asignacin de trfico a travs de sus productos VPN.

Es posible asignar que tipo de trfico puede pasar libremente, con el fin de conservar el ancho de banda, mientras que otro tipo de trfico queda en cola de espera. Esto aade gran flexibilidad a la utilizacin de trfico de una compaa mediante su enlace con Internet.

Desventajas de las Redes Privadas Virtuales

Implementar tecnologa VPN implica ciertos costos adicionales por parte de la organizacin, que se podra considerar como desventaja. Estos costos adicionales estn involucrados con los aspectos de implementacin, mantenimiento, costo de las licencias y algunos cargos de telecomunicaciones que no se eliminan por completo. A continuacin se mencionan los ms significativos. Equipo VPN. La gran variedad de equipos que existen para implementar VPN pueden representar un problema a la hora de la implementacin, hay que saber que tipo de hardware y software se implementar o se aadir, como puede ser routers, concentradores, servidores, cableado, etc. Todo esto se tiene que multiplicar por el nmero de sitios que se tienen y se obtendr un costo aproximado. Licencias. Las licencias son otro tipo de desventaja que se puede observar en las VPN, este tipo de licencia tiene un costo para el tipo de producto que se requiera y dependen del proveedor. Algunos proveedores cobran por el nmero de usuarios simultneos que pasan a travs de un dispositivo de red. Mientras que otros aaden una cuota de licencia

5/11

simple al router, permitiendo conexiones VPN ilimitadas, otras basan sus cuotas de licencias en el nmero de tneles que se pueden crear. Administracin y Mantenimiento. Si el encargado del mantenimiento y administracin de la VPN es su PSI, entonces esto incluye un costo extra por el servicio. Por ejemplo, si surge un problema con el hardware hay que tomar en cuenta el tiempo en que se llevara repararlo y el precio de repararlo. Generalmente los proveedores ofrecen lneas de mantenimiento con precios variables y pueden abarcar los fines de semana, es otro gasto que se incurre con el uso de esta tecnologa.

Arquitecturas de las Redes Privadas Virtuales

Las distintas infraestructuras de red y los diferentes requisitos organizacionales exigen diferentes tipos de arquitecturas. En este punto se describen las principales arquitecturas que existen en el mercado de las VPN as como sus principales funciones en cuestiones de seguridad, autorizacin, acceso a usuarios, la interoperabilidad con la red interna, con los clientes y proveedores externos, para ofrecer una solucin a las organizaciones interesadas en implementar la tecnologa VPN.

Redes Privadas Virtuales basadas en Firewall

Una de las arquitecturas ms importantes es la de las VPN basadas en Firewall o Cortafuego. Las VPN son un proceso muy efectivo para proteger nuestra informacin que viaja sobre redes pblicas como Internet, pero no ofrecen proteccin para la propia red. Un Firewall o cortafuegos es un sistema de seguridad, normalmente una combinacin de hardware y software que est destinado a proteger la red de una organizacin frente a amenazas externas que proceden de otra red, incluyendo Internet. 1 Hoy en da es difcil encontrar una compaa que utilice Internet sin este sistema de proteccin, as que una Firewall es el complemento perfecto de una VPN para ofrece una mayor seguridad en la propia red. Una ventaja de aprovechar un firewall de una organizacin que ya los tiene implementados, es que se les puede instalar el software VPN y as se puede lograr un solo punto de entrada a la red. Esta es una de las configuraciones ms fciles y comunes de implementar.
1

Fundamentos de Redes plus, curso oficial de certificacin MCSE, varios autores, Editorial McGraw Hill, Espaa 2000, P.400

6/11

Otra de las configuraciones ms comunes que existen es colocar el servidor VPN tras un firewall, como se muestra en la figura 4 en donde el firewall est conectado a Internet y el servidor VPN es otro recurso ms conectado a una zona desmilitarizada (DMZ). La DMZ es un segmento de una red IP que generalmente contiene recursos disponibles a los usuarios de Internet tales como servidores Web y de FTP. El servidor VPN tiene una interfase hacia la DMZ y una interfase hacia la intranet. Los paquetes deben llegar al servidor VPN protegindolo completamente frente a Internet. Una solucin basada en firewall puede ofrecer ventajas como: Proporciona niveles altos de seguridad y rendimiento La VPN est completamente protegida frente a Internet Si se ubica el servidor VPN tras un Firewall entonces slo habr un equipo que controle todo el acceso a y desde Internet Las restricciones de red del trfico VPN estn ubicadas nicamente en el servidor VPN lo que es ms fcil crear conjuntos de normas. a travs del firewall dedicado,

DMZ

Internet
Servidor VPN

Red interna Servidor Web

Firewall

Figura 4 VPN sencilla basada en Firewall

Existen diferentes productos de firewall en el mercado, el producto vara desde firewall dedicados hasta hbridos (dispositivos con tecnologa integrada de firewall y cifrado VPN) y la eleccin de uno de estos depende de las necesidades de la organizacin.

7/11

Redes Privadas Virtuales basadas en Router

Las VPN basadas en routers es ideal para aquellas organizaciones que hayan invertido en routers y adems tienen una gran experiencia en ellos. Al igual que las VPN basadas en firewall existen varios proveedores de esta solucin y existen diferentes tipos de VPN basadas en router que manejan los proveedores. En una, el software se agrega al router para que el sistema de cifrado ocurra, en otra se le instala una tarjeta al router y as se endosa el proceso de cifrado al CPU del router a la tarjeta adicional. En cualquiera de estos dos tipos hay que tener en cuenta el desempeo, ya que al aadirle procesos de cifrado al enrutamiento, se agrega una carga ms pesada al router, especialmente si este esta manejando una gran cantidad de rutas o implementando un algoritmo de enrutamiento intensivo. O existen proveedores que ofrecen routers dedicados con tecnologa VPN implementada, as proporcionan una solucin de enrutamiento completa. La mayora de este software ofrece VPN con capacidades de firewall, deteccin de intrusos y una fcil administracin. La mayora de este tipo de software VPN aade fuerte autenticacin de cifrado a travs de certificados digitales. En la figura 5 se muestra un VPN sencilla basada en router donde los datos se cifran desde el origen hacia el destino

Internet

Figura 5 VPN sencilla basada en router

Un problema que puede surgir en las VPN basadas en router es la interoperabilidad, hay que tener especial cuidado en el tipo de tecnologa que se implementa en el router, como puede ser PPTP, L2TP, IPSec, etc. Por ejemplo, si se requiere conectarse a otra organizacin y sus routers estn configurados con distinta tecnologa a la de su empresa, surge el problema de interoperabilidad y no se podr establecer la conexin VPN.

8/11

Redes Privadas Virtuales basada en acceso remoto

Este tipo de solucin o arquitectura es adecuado cuando la compaa tiene muchos usuarios externos que estn ubicados en diferentes puntos geogrficos. Este tipo de VPN permite a los usuarios estar en continuo movimiento y conectados a su red corporativa usando una red pblica disponible como Internet tambin puede ser, una lnea de marcacin, una lnea ISDN , una red X.25, etc. Ya sean trabajadores o socios, los clientes VPN tratan de establecer una conexin con la organizacin empleando dispositivos que puede ser desde una computadora porttil (Laptop) o dispositivos como, asistentes personales digitales (PDA), Telfonos celulares. Estos dispositivos deben de cumplir con ciertos requerimientos, como: El equipo porttil debe cargar software VPN, tiene que establecer la opcin de configuracin del software VPN para que indique la direccin IP pblica del dispositivo VPN y necesita conseguir la clave del dispositivo VPN. Este software se ejecuta en los dispositivos de los usuarios remotos, algunos dispositivos ya lo traen instalado y otros se les pueden instalar con los diferentes proveedores que existen para los dispositivos mviles. En el caso de los telfonos celulares es posible que se tenga que instalar software especial en el servidor de autenticacin. La conexin se realiza por medio de tneles a los servidores internos de la compaa o desde una lnea de acceso por marcacin como ISDN hacia un servidor de autenticacin. El servidor de acceso instalado en la red, ya sea router, firewall, o un servidor de autenticacin dedicado independiente, ser el encargado de permitir el acceso a los recursos de la red. Estos dispositivos de acceso remoto reduce la cantidad de costosos equipos de lneas rentadas y de acceso por marcacin remota.

Redes Privadas Virtuales proporcionada por un proveedor de servicios de red

Una manera ms sencilla de conectar la organizacin a Internet y obtener los beneficios de una VPN, es contratar estos servicios a un proveedor. Es una manera de reducir costos de infraestructura, operacin y mantenimiento. El proveedor ser el encargado de proporcionar una solucin VPN para la organizacin.

9/11

Al escoger este tipo de solucin, se debe de tener especial cuidado en recalcar que tipo de responsabilidades abarca el proveedor, el PSI instalar dispositivos en la red de la organizacin y se har responsable de las comunicaciones y buen funcionamiento asociadas a ese dispositivo, pero se debe de tener especial cuidado en cuestiones como: Control de cambios.- Cualquier cambio de control de acceso que se requiera realizar se debe prever con un tiempo de anticipacin para notificarle al proveedor, ya que lleva de 4 hasta 24 horas realizar este proceso de control de cambio. Utilizacin de la red.- El PSI es el encargado de manejar la VPN, pero no de instalar capacidades de supervisin de red para la compaa. Se debe de conocer cmo funciona la red, si la compaa empieza a crecer se necesitara ms ancho de banda y por consecuencia requerir ms servicios VPN, se deber estar listo para realizar una actualizacin. Seguridad.- Se debe conocer quien tiene el control de la base de datos de usuarios que permitir crear el tnel VPN hacia la organizacin, si se encuentra en el dispositivo del proveedor o en algn otro dispositivo, si se encuentra en el dispositivo del proveedor se debe de conocer el tiempo que se requiere para que una autorizacin se vuelva efectiva. Esto es importante, por ejemplo, en el caso de un empleado despedido. En Mxico una de las compaas que ofrece este tipo de solucin es la multinacional AT&T, ofrece servicio de administracin y mantenimiento con tecnologa de dispositivos Cisco para los tres tipos de VPN.

Redes Privadas Virtuales basadas en Software y Hardware

Las VPN basadas en software son prcticamente programas para establecer programas de un host a otro, generalmente utilizan el modelo cliente - servidor. En este tipo de arquitectura el trfico sale del anfitrin, se cifra o encapsula, dependiendo de la VPN instalada, y se enruta a su destino. Lo mismo ocurre para alguien que esta intentando conectarse a la red interna. En este tipo de arquitectura se necesitar contar con una buena administracin de claves y llaves pblicas, ya que si se utiliza el modelo cliente a servidor, cada estacin posiblemente podra tener su propio par de claves privada / pblica. En el caso de las VPN basadas en hardware, son dispositivos independientes a los que se les a agregado algoritmos de tecnologa VPN, estos dispositivos son generalmente ms rpidos en los procesos de cifrado / descifrado que los dispositivos de software. Los

10/11

dispositivos actuales contienen procesadores internos dedicados, que manejan la autentificacin, el tipo de tecnologa y otros tipos de funciones VPN y muchas veces proporcionan un firewall al hardware. Al igual que en la figura 5 un dispositivo VPN se puede ubicar por detrs del firewall de la red interna. Conforme los datos pasan por estos dispositivos, se mantienen intactos o se cifran, dependiendo de la configuracin del dispositivo. Este tipo de dispositivos tienen la ventaja de una fcil administracin, generalmente se pueden configurarse y mantenerse con el uso de un explorador Web. Los dispositivos VPN suelen ser ms caros que las VPN basadas en software, debido a que un VPN hardware es una opcin ms realista para las grandes empresas que para las sucursales o pequeas empresas, debido a la gran variedad de funciones que ofrecen como alto rendimiento, cargas masivas del cliente, redundancia y balanceo de cargas, son nicamente posibles con este tipo de hardware VPN.

11/11