Xarxa privada virtual

Una xarxa privada virtual, XPV o VPN (de les inicials de virtual private network) és una tecnologia de xarxa que permet una extensió de la xarxa local sobre una xarxa pública o no controlada, com per exemple Internet.^[1]

En són exemples comuns: connectar dues o més sucursals d'una empresa utilitzant com a vincle Internet, permetre als membres de l'equip de suport tècnic la connexió des de casa al centre de còmput, o que un usuari pugui accedir al seu equip domèstic des d'un lloc remot, com ara un hotel, utilitzant en tots els casos la infraestructura d'Internet.

Característiques bàsiques de la seguretat modifica

Per fer-ho possible de manera segura és necessari proporcionar els mitjans per garantir l'autenticació, integritat i confidencialitat de tota la comunicació:

Autenticació i autorització: Qui hi ha a l'altre costat? Usuari/equip i quin nivell d'accés ha de tenir.
Integritat: que les dades enviades no han estat alterades. Per a això s'utilitzen funcions Hash. Els algorismes de hash més comuns són els message digest (MD2 i MD5) i el Secure Hash Algorithm (SHA).
Confidencialitat: encara que algú accedís a la informació, aquesta només pot ser interpretada pels destinataris. Es fa ús d'algorismes de xifrat com Data Encryption Standard (DES), Triple DES (3DES) i Advanced Encryption Standard (AES).
No repudi: qualsevol missatge va signat de tal forma qui el signa no pot negar haver-lo emès.

Requeriments bàsics modifica

Identificació d'usuari: les VPN han de verificar la identitat dels usuaris i restringir l'accés a aquells que no es troben autoritzats.
Codificació de dades: les dades a transmetre a través de la xarxa pública (Internet) han de ser xifrades prèviament, per garantir que no siguin llegides per tercers. Aquesta tasca es realitza amb algorismes de xifrat com DES o 3DES que només poden ser llegits per l'emissor i receptor.
Administració de claus: les VPN han d'actualitzar les claus de xifrat per als usuaris.
Nou algoritme de seguretat SEAL

Tipus de VPN modifica

Bàsicament hi ha tres arquitectures de connexió VPN:

VPN d'accés remot modifica

És potser el model més utilitzat actualment. Permet als usuaris connectar-se amb l'empresa des de llocs remots (oficines comercials, domicilis, hotels, avions preparats, etc.) utilitzant Internet. Una vegada autenticats tenen un nivell d'accés molt similar al que tenen en la xarxa local de l'empresa. Moltes empreses han reemplaçat amb aquesta tecnologia la seva infraestructura dial-up (mòdems i línies telefòniques).

VPN punt a punt modifica

Aquest esquema s'utilitza per connectar oficines remotes amb la seu central de l'organització. El servidor VPN, que posseeix un vincle permanent a Internet, accepta les connexions via Internet provinents dels llocs i estableix el túnel VPN. Els servidors de les sucursals es connecten a Internet utilitzant els serveis del seu proveïdor local d'Internet, típicament mitjançant connexions de banda ampla. Això permet eliminar els costosos vincles punt a punt tradicionals (realitzats comunament mitjançant connexions de cable físiques entre els nodes), sobretot en les comunicacions internacionals. El més comú utilitzar la tecnologia de túnel o tunneling .

Tunneling modifica

La tècnica de tunneling consisteix a encapsular un protocol de xarxa sobre un altre (protocol de xarxa encapsulat) creant un túnel dins d'una xarxa d'ordinadors. L'establiment d'aquest túnel s'implementa incloent una PDU determinada dins d'una altra PDU amb l'objectiu de transmetre des d'un extrem a l'altre del túnel sense que sigui necessària una interpretació intermèdia de la PDU encapsulada. D'aquesta manera s'encaminen els paquets de dades sobre nodes intermedis que són incapaços de veure en clar el contingut d'aquests paquets. El túnel queda definit pels punts extrems i el protocol de comunicació emprat, que entre altres, podria ser SSH.

VPN over LAN modifica

Aquest esquema és el menys difós però un dels més poderosos per utilitzar dins de l'empresa. És una variant del tipus "accés remot" però, en comptes d'utilitzar Internet com a mitjà de connexió, utilitza la mateixa xarxa d'àrea local (LAN) de l'empresa. Serveix per aïllar zones i serveis de la xarxa interna. Aquesta capacitat el fa molt convenient per millorar les prestacions de seguretat de les xarxes sense fils (WiFi).

Un exemple clàssic és un servidor amb informació confidencial, com les nòmines de sous, situat darrere d'un equip VPN, el qual proveeix una autenticació addicional i el xifrat, fent possible que només el personal de recursos humans habilitat pugui accedir a la informació.

Un altre exemple és la connexió a xarxes WIFI fent ús de túnels xifrats IPSEC o SSL que a més de passar pels mètodes d'autenticació tradicionals (WAP, WEP, MACaddress, etc.) afeigeixen les credencials de seguretat del túnel VPN creat a la LAN interna o externa.

Implementacions modifica

El protocol estàndard de fet és l'IPSEC, però també tenim PPTP, L2F, L2TP, SSL/TLS, SSH, etc. cadascun amb els seus avantatges i desavantatges pel que fa a seguretat, facilitat, manteniment i tipus de clients suportats.

Actualment hi ha una línia de productes en creixement relacionada amb el protocol SSL/TLS, que intenta fer més amigable la configuració i operació d'aquestes solucions.

Les solucions de maquinari gairebé sempre ofereixen millor rendiment i facilitat de configuració, tot i que no tenen la flexibilitat de les versions per programari. Dins d'aquesta família tenim als productes de Fortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Symantec, Nokia, US Robotics, D-link, etc.

Les aplicacions VPN per a programari són les més configurables i són ideals quan sorgeixen problemes d'interoperativitat en els models anteriors. Òbviament el rendiment és menor i la configuració més delicada, perquè s'hi suma el sistema operatiu i la seguretat de l'equip en general. Aquí tenim per exemple les solucions natives de Windows, GNU/Linux i els Unix en general. Per exemple productes de codi obert com OpenSSH, OpenVPN i FreeS/Wan.

En ambdós casos es poden utilitzar solucions de firewall ("tallafocs"), obtenint un nivell de seguretat alt per a la protecció en detriment del rendiment.

Avantatges modifica

Integritat, confidencialitat i seguretat de dades.
Les VPN redueixen els costos i són senzilles d'utilitzar.
Facilita la comunicació entre dos usuaris en llocs distants.

Tipus de connexió modifica

Connexió d'accés remot modifica

Una connexió d'accés remot és realitzada per un client o un usuari d'un ordinador que es connecta a una xarxa privada, els paquets enviats a través de la connexió VPN són originats al client d'accés remot, aquest s'autentifica al servidor d'accés remot, i el servidor s'autentifica davant del client.

Connexió VPN router a router modifica

Una connexió VPN encaminador a encaminador (router en anglès) és realitzada per un encaminador, i aquest al seu torn es connecta a una xarxa privada. En aquest tipus de connexió, els paquets enviats des de qualsevol encaminador no s'originen en els encaminadors. L'encaminador que realitza la trucada s'autentifica davant l'encaminador que respon i aquest al seu torn s'autentica davant l'encaminador que realitza la trucada i també serveix per a la intranet.

Connexió VPN firewall a firewall modifica

Una connexió VPN firewall a firewall és realitzada per un d'ells,el qual es connecta a una xarxa privada. En aquest tipus de connexió, els paquets són enviats des de qualsevol usuari a Internet. El firewall que realitza la trucada s'autentifica davant del que respon i aquest al seu torn s'autentifica davant del que truca.

VPN en entorns mòbils modifica

La VPN mòbil s'estableix quan el punt de terminació de la VPN no està fix a una única adreça IP, sinó que es moue entre diverses xarxes com poden ser les xarxes de dades d'operadors de telefonia mòbil o diferents punts d'accés d'una xarxa Wifi.^[2] Les VPNs mòbils s'han emprat en seguretat pública permetent a les forces d'ordre públic accedir a aplicacions crítiques com bases de dades d'identificació de criminals encara que la connexió es mogui entre diferents subxarxes d'una xarxa mòbil.^[3] També s'utilitzen en la gestió d'equips tècnics i en organitzacions sanitàries^[4] entre altres indústries. Cada vegada més, les VPNs mòbils són adoptades per professionals que necessiten connexions fiables.^[5] S'utilitzen per moure's entre xarxes sense perdre la sessió de l'aplicació o la sessió segura a la VPN. En una VPN tradicional no es poden suportar aquestes situacions perquè es produeixen desconnexió de les aplicacions, time outs^[2] o fallades, i fins i tot es poden causar fallades en el dispositiu.^[4]

Vegeu també modifica

Referències modifica

↑ Markus Feilner. Open VPN: building and operating virtual private networks. Packt Publishing Ltd, 2006. ISBN 9781904811855 [Consulta: 17 abril 2011].
↑ ^2,0 ^2,1 Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com, 16 de juliol de 2006
↑ Willett, Andy. "Solving the Computing Challenges of Mobile Officers", www.officer.com, maig 2006.
↑ ^4,0 ^4,1 Cheng, Roger. "Lost Connections", The Wall Street Journal, 11 desembre 2007
↑ Cheng, Roger. «"Lost Connections"». The Wall Street Journal, 11-12-2007.^{[Enllaç no actiu]}

Enllaços externs modifica

Lista de proveïdors de VPN (anglès)
Computer

[Feilner2006-1] Markus Feilner. Open VPN: building and operating virtual private networks. Packt Publishing Ltd, 2006. ISBN 9781904811855 [Consulta: 17 abril 2011].

[searchmobilecomputing.techtarget_1-2] 2,0 ^2,1 Phifer, Lisa. "Mobile VPN: Closing the Gap", SearchMobileComputing.com, 16 de juliol de 2006

[3] Willett, Andy. "Solving the Computing Challenges of Mobile Officers", www.officer.com, maig 2006.

[wsj_1-4] 4,0 ^4,1 Cheng, Roger. "Lost Connections", The Wall Street Journal, 11 desembre 2007

[wsj_1(2)-5] Cheng, Roger. «"Lost Connections"». The Wall Street Journal, 11-12-2007.^{[Enllaç no actiu]}

[1]

[2]

[3]

[4]

[5]