VPN

De FdIwiki ELP
Saltar a: navegación, buscar

Una VPN (virtual private network) permite la creación de una red con cualidades similares a las redes de área local (LAN), salvo que los dispositivos no tienen por qué estar conectados a una red local física, sino que este funcionamiento se simula sobre Internet. Debido a esta localidad simulada, las VPNs tienen ventajas de seguridad y capacidad de configuración y administración.

Gracias a sus cualidades de seguridad, se suele usar en empresas para que los empleados puedan conectarse y manejar información confidencial desde sus dispositivos portátiles o unidades que no se encuentren localizadas en la infraestructura física de la empresa, como pueden ser diferentes ramas o grupos de trabajo localizados en diferentes oficinas. En el primer ejemplo, estaríamos hablando de una VPN de acceso remoto, mientras que en el segundo caso se diría que estamos usando una VPN sitio a sitio. Nos centraremos en la primera, que es la que se suele usar en propósitos de anonimato de usuarios.

Diagrama de una VPN de acceso remoto

Las VPN de acceso remoto sigue el siguiente diagrama: Vpn.jpg

Túnel VPN

El túnel en la conexión VPN es un modo de encapsulación de protocolos, en este caso protocolos que preservan seguridad, de modo que se pueda usar la comunicación sobre Internet tradicional más unos añadidos. El túnel sirve para poner una capa de abstracción al envió de paquetes, para simular una red local, además de poder añadir medidas de seguridad y encriptación.

Unos de los protocolos más comunes para tunelado en VPN son PPTP, L2TP/IPsec, SSTP o OpenVPN.

En los protocolos de túnel con seguridad integrada la comunicación entre el cliente y el servidor se ve precedida de un proceso de autentificación, y continua con un proceso de encriptación de los datos tunelados.

Usando VPNs como anonimizadores

Existen muchos servicios VPN ofertados actualmente con el propósito principal de ofrecer anonimidad a sus usuarios mientras usan Internet. Podemos ver que este uso es muy diferente al original de comunicarse con una intranet empresarial. El modo de uso es el siguiente:

  1. El usuario se conecta al servidor VPN
  2. El usuario surfea por la web, usa aplicaciones online, etc.
  3. Los paquetes enviados por el usuario van directamente al servidor VPN mediante un túnel seguro.
  4. La VPN procede a redirigir, con el método habitual, los paquetes del usuario a sus destinatarios, usando como IP origen la del servidor VPN.
  5. Las respuestas que vallan dirigidas al usuario son enviadas al servidor VPN, que recupera su destinatario real y las reenvía al usuario.

Para ampliar la seguridad y privacidad de sus clientes, los proveedores de VPNs ofrecen funcionalidades avanzadas de ocultación de datos. Por ejemplo:

  • No tomar registro de las transmisiones de datos realizadas ni metadatos de estas.
  • Situar servidores y empresas en países con legislación y gobiernos menos intrusivos.
  • Uso de servidores DNS propios para no liberar información a terceros.
  • Uso de múltiples servidores VPN intermedios en diferentes jurisdicciones para evitar vulnerabilidades de “poner todos los huevos en una misma cesta”.
  • Uso de obfuscación del trafico:
    • Encriptación de alto nivel (al menos 2048 bits).
    • Aleatorización de paquetes en el ancho de banda sobrante.
    • Enmascaramiento de los paquetes como servicios no bloqueados por los sistemas de censura.
  • En casos extremos, uso de un “warrant canary” (canario de seguridad), que avise a los usuarios de acceso por parte de organizaciones gubernamentales mediante vías legales.
  • En casos extremos, servicio de “dead man’s switch” (interruptor del hombre muerto). El propietario o propietarios del servicio han de poner una clave cada cierto tiempo (usualmente un día), para que el servicio funcione. Si no se introduce la clave, el sistema se “autodestruye”, borrando toda la información existente.

Clientes VPN móvil

Clientes para Android

Clientes para iOS

Enlaces externos