Su capacidad para proporcionar conectividad de bajo costo y segura para usuarios remotos y redes ha sido inigualable, es correcto hablaremos de las redes privadas virtuales (VPN), en esta guía, cubriremos los modelos y protocolos VPN básicos que se utilizan actualmente en las empresas y proporcionaremos una visión de cómo pueden evolucionar en un futuro no muy lejano.
Las redes privadas virtuales (VPN) han sido un elemento básico de la conectividad remota de la empresa durante más de dos décadas, ya que reemplazaron a los antiguos sistemas Frame Relay y los sistemas de acceso telefónico. Podriamos decir que para la mayoría de las empresas son una herramienta diaria y su existencia es casi imprescindible, revisemos que tipos existen:
- VPN de acceso remoto
Revisemos rápidamente los dos tipos principales de conectividad VPN. El primer tipo es una forma de VPN basada en un cliente o en acceso remoto. Esto es cuando un dispositivo cliente como un PC, una tableta o un smartphone se conecta a una red remota a través de Internet. Una vez que un usuario inicia una conexión a una red remota, ese usuario debe autenticarse antes de que se conceda acceso específico a la red. VPN de acceso remoto es ideal para los usuarios que trabajan desde casa o de viaje, porque las conexiones son dinámicas en el lado del cliente, lo que significa que el dispositivo se puede encontrar con diferentes direcciones IP en cualquier lugar en Internet.
- VPN de sitio a sitio
El segundo tipo de VPN es la VPN de sitio a sitio, estos tipos de conexiones se utilizan para ampliar el acceso transperente de red a una ubicación remota o a una red de terceros. Éstas son conexiones estáticas; si una dirección IP cambia debido a un cambio de oficina o un cambio en los proveedores de servicios de Internet, la configuración del túnel VPN debe actualizarse manualmente para reflejar esos cambios. Esto contrasta con la naturaleza dinámica de una VPN basada en cliente, que permite cambios dinámicos en la dirección IP de origen del cliente.
- VPNs IPsec y SSL
En una VPN de acceso remoto, es probable que se ejecute en dos tipos de protocolo diferentes. El primero es el clásico IPsec (Internet Protocol Security), que requiere software cliente. Una vez que un usuario está autenticado y conectado a la red remota a través de un túnel VPN, el acceso puede ser restringido pero sólo a un nivel básico de IP. Debido a la falta de granularidad inherente a VPN's de acceso remoto basadas en IPsec, muchos departamentos de TI han migrado a una tecnología VPN SSL que permite a los administradores restringir el acceso de usuarios en el nivel de aplicación. Otra ventaja de las VPNs de acceso remoto basadas en SSL es que no necesariamente se requiere que instale software de terceros en puntos finales como lo es con las VPN basadas en IPsec.
- IPsec y DMVPN
Para la conectividad VPN de sitio a sitio, las empresas utilizan una mezcla de túneles IPsec y una tecnología denominada VPN dinámica multipunto (DMVPN).
Los túneles IPsec son una solución de bajo costo para sitios remotos críticos que los usan como una conexión de respaldo que inicia cuando falla el enlace WAN dedicado primario tal como un T1 o un MPLS. El túnel VPN forma y mantiene automáticamente la conectividad entre las dos redes hasta que se restaura el enlace primario. El problema con el uso de IPsec VPN es que es estrictamente una tecnología estática punto a punto, por lo tanto, las redes VPN basadas en IPsec se construyeron en gran medida como redes hub-and-spoke. Esto funciona, pero se vuelve ineficaz si se rutea el trafico de un spoke a otro a través del hub. Aquí es donde el DMVPN ayuda
DMVPN agrupa varias tecnologías, incluyendo los túneles GRE multipunto y el Next Hop Resolution Protocol (NHRP), para diferenciarse de las conexiones punto a punto y en su lugar permitir una arquitectura de malla dinámica. DMVPN permite la conexión dinámica y directa de un túnel GRE entre dos spokes. Por lo tanto, elimina complejas configuraciones estáticas y reduce los posibles cuellos de botella de tráfico en los puntos finales del hub VPN.
- Nuevas tecnologías VPN
Incluso con las tecnologías VPN más capaces de hoy en día, siguen sucumbiendo al hecho de que si utilizan Internet para la conectividad entre ubicaciones, es imposible optimizar rutas de datos basadas en situaciones como congestión o degradación. Para solucionar este problema, varios proveedores de red están fusionando la seguridad de VPN con la flexibilidad e inteligencia de SD WAN.
Esta tecnología emergente crea un marco que puede identificar rápidamente caminos problemáticos y redirigir el tráfico alrededor de esas áreas, lo que permite a los usuarios finales utilizar la ruta óptima en tiempo real para proporcionar el mejor rendimiento. Las SD WAN pueden proporcionar un rendimiento de nivel carrier usando una combinación de Internet de bajo costo y opciones de conectividad WAN privadas. Si bien algunos proveedores de red están permitiendo el despliegue y el control de soluciones VPN inteligentes locales, hay muchos otros que proporcionan estas tecnologías como servicios basados en la nube.
Las tecnologías VPN ciertamente han progresado en las últimas dos décadas, antes eran conexiones sencillas, no inteligentes que cumplian unicamente con el trabajo y poco confiables se han transformado en soluciones altamente adaptativas que pueden proporcionar un rendimiento WAN tipo carrier a una fracción del costo. Dado que la conectividad WAN es una carga de costos cada vez mayor para los departamentos de TI se espera ver más y más organizaciones empresariales eligiendo una opción VPN inteligente de próxima generación en un futuro próximo.
LAS VPN TRADICIONALMENTE SON REALIZADAS POR UN FIREWALL QUIERES SABER SI EL QUE POSEES TE AYUDA EN UNA ESTRATEGIA DE CIBERSEGURIDAD INTEGRAL DA CLICK EN LA IMAGEN Y EVALÚALO:
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Andrew Froelich/ Network Computing/2016