REDES PRIVADAS VIRTUALES

Se entiende por VPN (Virtual Private Network) la construcción de una red privada (intranet) sobre otra red,
generalmente pública como Internet, de manera que se utiliza la red inicial como un enlace de nivel 2 para montar sobre él una red privada de nivel 3 (transportando protocolos de nivel 3 como IP, NetBEUI, IPX, SNA…).
Para conseguir esta abstracción se basa en el concepto de túnel que consiste en un enlace punto a punto virtual entre dos extremos construido sobre una red compleja, de manera que los dos extremos se comportan a nivel lógico como si estuvieran unidos directamente por un enlace punto a punto.
Los paquetes se encapsulan en un extremo del túnel dentro de otros paquetes para cruzar la red. En el otro extremo se desempaquetan los datos que pueden haber viajado comprimidos y cifrados (para que la red sea “privada”).
Desde el punto de vista de la seguridad, los protocolos que se utilizan para montar VPNs ofrecen:
● Autenticidad de los extremos. Cuando se utilizan certificados, se garantiza que tanto el emisor como el
receptor son quienes dicen ser.
● Cifrado de datos. Permite que no puedan ser comprendidos por extraños que los pudiera interceptar.
● Integridad de los datos. Asegura que los datos no puedan ser alterados en algún punto del recorrido sin que el receptor lo detecte.
● No repudio. Cuando un mensaje va firmado el emisor no puede negar su emisión.
Se puede utilizar VPN sobre una red pública para realizar dos tipos básicos de conexión:
● Acceso remoto. También llamada Remote Access VPN, client-gateway o usuario-red. Permite unir
virtualmente un equipo remoto a una red.
● Interconexión de redes. También llamada Site to Site VPN, Router to Router VPN, gateway-gateway o redred.
Permite unir virtualmente dos redes para crear una única red.
De manera similar, se puede utilizar VPN sobre una red privada para acceder a una subred protegida y/u oculta de dos maneras básicas:
● Acceso privado. Permite controlar el acceso a la subred oculta y cifrar el tráfico hacia dicha red.
● Interconexión de redes privadas. Permite unir dos subredes protegidas y/u ocultas cifrando el tráfico entre
ellas.
Para poder configurar cualquier VPN hace falta al menos un servidor de VPN por cada red que forma parte de la VPN, y un cliente de VPN por cada cliente de acceso remoto que se conecta a la misma. El servidor VPN es el encargado de autenticar la conexión (o delegar dicha función) y permitir la comunicación entre la red y el otro extremo de la VPN.


TAP/TUN
Para la realización de VPNs se utiliza habitualmente dos controladores virtuales de red llamados TAP y TUN. TAP (de "network tap") simula un dispositivo de red de nivel 2 y opera con paquetes Ethernet. TUN (de "network TUNnel") simula un dispsitivo de red de nivel 3 y opera con paquetes IP. TAP se utiliza para crear el puente de red y TUN para encaminar los paquetes por dicho puente.
VPN de acceso remoto En una conexión VPN de acceso remoto, el cliente, a través del protocolo IPCP (IP Control Protocol) de PPP (Point-to-Point Protocol) recibe del servidor VPN los parámetros de la configuración IP de su conexión virtual, incluyendo dirección IP, máscara de red y direcciones IP de los servidores DNS y WINS de la intranet.
Después de crear el túnel, el cliente pasa a tener 2 interfaces de red y 2 direcciones IP:
● La interfaz con la que conecta a la red principal (generalmente Internet) y que utiliza para conectar con el servidor VPN.
● La interfaz virtual PPP con la configuración IP que le ha dado el servidor de túneles y que establece una
ubicación virtual dentro de la red destino tambien el trafico hacia Internet -lo que permite usar los filtros y servidores de la red privada, normalmente a cambio de reducir el rendimiento-.
De la misma manera el servidor VPN se encarga de recibir el trafico destinado al equipo remoto y reenviarselo. Antes de las VPN para conseguir un acceso remoto a una red se utilizaban sistemas RAS (Remote Access Service) mediante PoPs (Point of Presence) de forma parecida al de las conexiones que ofrecian los proveedores de Internet (ISPs) a traves de modems telefonicos. De esta forma un cliente llama mediante modem telefonico al servidor RAS de su organizacion, se valida mediante un servidor RADIUS o TACACS y establece la conexion. Opcionalmente el servidor RAS puede configurarse para devolver la llamada, cargando el gasto de la misma a la organizacion.
Las principales ventajas de la conexion VPN frente a la conexion mediante RAS son:
● Para clientes de acceso remoto via modem supone una reduccion del coste de las llamadas, ya que conecta a un proveedor local de Internet y no a un servidor RAS de la organizacion remota.
● Reduccion del coste de los equipos y lineas de entrada (RDSI) que representa el RAS.
● Escalabilidad. Es mucho mas facil y barato de anadir servidores VPN que lineas de acceso y equipos de RAS.
● Permite acceso a mayor velocidad que la de un modem telefonico mediante el uso de cable modems, xDSL u otras redes.
Otra diferencia es que al usar RAS se dispone unicamente de una sola interfaz de red, la del cliente RAS o PPP.




VPN de Interconexión de redes
La conexion de redes a traves de Internet es una alternativa a las lineas alquiladas que permite reducir costes, ya que suele ser mas barato conectar las dos redes a Internet que alquilar una linea para unirlas, sobre todo si estan muy alejadas. Sin embargo esta alternativa tiene dos grandes inconvenientes, la falta de seguridad de Internet y el rendimiento, que es mucho menor que el de una linea dedicada. Para suplir el primero de ellos se utilizan las VPNs de interconexion de redes que ofrece seguridad en el tunel entre servidores VPN (no en las conexiones locales equiposervidor).  Otras ventajas:
● Toda la configuracion necesaria se realiza en los encaminadores o servidores VPN, de manera transparente al usuario.
● Permite transportar otros protocolos diferentes a IP que no pueden ser transportados sobre Internet si no es con tuneles (IPX, Appletalk , SNA, NetBEUI, etc).
● Se puede introducir compresion de datos para aprovechar mejor los enlaces.
● Se puede utilizar el mismo rango -publico o privado- de direcciones IP en todas las redes.