Introducción a las VPN una Visión Cisco

Open publication - Free publishing - More redes

Conexiónes de VPN en Windows 2000

Open publication - Free publishing - More conexiones

Protocolos de Seguridad y Servicios

IPSec

IPSec representa un conjunto de mecanismos de seguridad de alta calidad basado en claves criptográficas. Proporciona un canal seguro para los datos a través de la red ofreciendo para ello un control de acceso, así como una integridad en los datos transmitidos además de mecanismos de autenticación y confidencialidad. Los servicios IPSec se apoyan sobre el nivel IP lo que conlleva además un mecanismo de protección para el protocolo IP.

                Los servicios IPSec son llevados a cabo mediante el uso de dos protocolos de seguridad: Authentication Header (AH) y Encapsulating Security Protocol (ESP), así como mediante un conjunto protocolos necesarios para la gestión de llaves criptográficas, llamado  IKE(Internet Key Exchange).

                El protocolo AH proporciona únicamente mecanismos de autenticación. Los datos AH son insertados entre la cabecera IP y los datos referentes al paquete de nivel superior (TCP, UDP, ICMP), tal como se muestra en la figura 4.

En la figura 5 se ilustra la estructura del campo AH, cuyos campos son los siguientes:

·         Next Header (8 bits): Identifica el tipo de datagrama llevado (ej. TCP).

·         Payload Length (8 bits): Longitud del header AH en múltiplo de 32 bits.       El valor normal es 4 y no 6, ya que por convención se resta 2.

·         Reserved (16 bits): Este camplo es para uso futuro.

·         Security Parameters Index (32 bits): Este campo identifica a una SA (security association).

·         Sequence Number (32 bits): Es un contador que se incrementa monotonicamente.

·     Authentication Data (variable): Contiene el Integrity Check Value (ICV), o MAC, para ese datagrama

En la figura 5 se ilustra la estructura del campo AH, cuyos campos son los siguientes:

El protocolo ESP, en cambio, proporciona mecanismos de autenticación y además de encriptación. ESP hace uso de una amplia variedad de algoritmos de encriptación entre los cuales cabe destacar DES, 3DES, CAST128 y Blowfish.

                Tanto AH como ESP, dispone de dos modos de uso: modo transporte y modo túnel. En el modo transporte AH o ESP es insertado entre la cabecera IP y los datos de niveles superiores (TCP, UDP, ICMP). En el modo túnel en cambio, se añade una nueva cabecera IP que puede contener direcciones distintas, tales como las direcciones de los gateways de seguridad. La cabecera IP interna transporta las direcciones fuente y destino. En cuanto al proceso de inserción, es totalmente idéntico al realizado en el modo transporte.

                En la figura 6 se muestran los datagramas correspondientes y en la figura  7 se ilustra la estructura  del header ESP.

El protocolo de autenticación empleado con IPSec se encuentra especificado de acuerdo a la Security Association (SA) e incluye códigos de autenticación de mensajes (MAC) basados en algoritmos de encriptación simétrica como DES y funciones hash tales como MD5 y SHA-1.

                La SA utilizada para llevar a cabo la autenticación representa una conexión unidireccional para la cual se definen todos los servicios de seguridad que deben ser aplicados al tráfico de red. Las SAs pueden ser creadas tanto automá­ticamente como manualmente, empleando para ello el protocolo IKE (Internet Key Exchange), que es una variante de ISAKMP/Oakley (Internet Security Association and Key Management Protocol/Oakley Key Determination Proto­col). Este protocolo presenta tres características principales:

1.       Asegura que la comunicación IPSec y el intercambio de claves se lleve a cabo entre partes autenticadas.

2.       Negocia los protocolos, algoritmos, y claves que serán utilizados en la comunicación IPSec.

3.       Proporciona un método seguro para actualizar y renegociar asociaciones una vez que éstas han expirado.

IKE dispone de dos fases. En la primera, los hosts crean una asociación bidirecciona estableciendo con ello un canal seguro entre ellos. Ya en la segunda fase, este canal será empleado para realizar la negociación de las asociaciones IPSec.            

                IPSec utiliza el identificador de protocolo 51 en el paquete IP para AH y el identificador 50 para ESP. IPSec IKE (Internet key exchange) utiliza el puerto UDP 500.

                Como ejemplo, en una sesión Telnet con IPSec en modo transporte y protocolo ESP, el encabezado IP contiene el valor 51 en su campo Next Header y en el campo ESP, el campo Next Header contiene el valor 6 (TCP), mientras que en el encabezado TCP, Telnet queda identificado por el puerto 23.

                Si en cambio se usa el modo tunel, entonces el campo Next Header en ESP contiene el valor 4 (IP-in-IP), lo que significa que todo el paquete IP original es la carga útil.

PPTP - Point-to-Point Tunneling Protocol

PPTP es un protocolo de red creado por Microsoft que permite la realización de transferencias seguras desde clientes remotos a servidores emplazados en redes privadas, empleando para ello tanto líneas telefónicas conmutadas como Internet. En el escenario típico de PPTP, el cliente establecerá una conexión dial-up con el servidor de acceso a red (NAS) del proveedor del servicio, empleando para ello el protocolo PPP. Una vez conectado, el cliente establecerá una segunda conexión con el servidor PPTP (necesariamente Windows NT/2000) el cual estará situado en la red privada. Dicho servidor será utilizado como intermediario de la conexión, recibiendo los datos del cliente externo y transmitiéndolos al correspondiente destino en la red privada.

                PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan al servidor PPTP, son desen­samblados con el fin de obtener el paquete PPP y desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP especifica además una serie de mensajes de control con el fin de establecer, mantener y destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el interior de segmentos TCP. De este modo, los paquetes de control almacenan la cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.

                La autenticación PPTP está basada en el sistema de acceso de Windows NT/2000, en el cual todos los clientes deben proporcionar un par login/password. La autenticación remota de clientes PPTP es realizada empleando los mismos métodos de autenticación utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso a los RAS soporta los protocolos CHAP, MS-CHAP, y PAP. Los accesos a los recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para lo cual resulta recomendable utilizar el sistema de archivos NTFS para los recursos de archivos a los que deben acceder los clientes PPTP. En cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de secreto compartido en el cual sólo los extremos de la conexión comparten la clave. Dicha clave es generada empleando el estándar RSA RC-4 a partir del password del usuario. La longitud de dicha clave puede ser 128 bits o 40 bits.

L2F - Layer 2 Forwarding

El protocolo L2F, desarrollado por Cisco Systems, tiene como objetivo proporcionar un mecanismo de tunneling para el transporte de tramas a nivel de enlace (HDLC, PPP, SLIP, etc). El proceso de tunneling involucra tres protocolos diferentes: Protocolo pasajero, protocolo encapsulador, y protocolo portador. El protocolo pasajero representa el protocolo de nivel superior que debe encapsularse (PPP, SLIP, etc). A continuación, el protocolo encapsulador indica el protocolo que será empleado para la creación, mantenimiento y destrucción del túnel de comunicación. En este caso, el protocolo encapsulador será L2F. Por último, el protocolo portador será el encargado de realizar el transporte de todo el conjunto. Por lo general, este protocolo suele ser IP dadas sus capacidades de enrutamiento, su acople a los diferentes medios y su estandarización dentro del ámbito de Internet.

                Entre las principales ventajas que ofrece el protocolo L2F, cabe destacar el soporte multiprotocolo, la multiplexación de múltiples sesiones remotas (minimizando el número de túneles abiertos en un momento dado), y la gestión dinámica de los túneles, en la cual los recursos de los servidores de acceso a la red se minimizan al iniciar los túneles únicamente cuando existe tráfico de usuario. Además, por cada túnel L2F establecido, el proceso de seguridad genera una clave aleatoria como medida de prevención ante posibles ataques basados en falsificación de la fuente (spoofing). A su vez, en el interior de los túneles, cada una de las sesiones multiplexadas mantiene un número de secuencia para evitar problemas debidos a la duplicidad de paquetes.

L2TP - Layer 2 Tunneling Protocol

Creado como combinación de los protocolos L2F y PPTP, permite la creación de túneles a través de una gran variedad de redes (IP, SONET, ATM) para el transporte de tráfico PPP. Dado que el protocolo pasajero es PPP, L2TP hereda el mecanismo de autenticación de éste, al igual que los protocolos empleados para el control de la encriptación (ECP) y la compresión (CCP), además de incluir un soporte propio de autenticación que podrá ser empleado en ambos extremos del túnel.

                Los túneles L2TP pueden llevarse a cabo tanto en redes públicas IP como no-IP. Esto provoca que tanto los paquetes de control como los paquetes de datos sean vulnerables frente a posibles ataques como snooping, denegaciones de servicio, modificaciones, o incluso interceptación de los procesos de negociación de la encriptación (ECP) y de la compresión (CCP) con el fin de provocar la supresión de los mecanismos de confidencialidad o en su caso, obtener el acceso a los passwords de los usuarios. Para evitar todas estas posibles situaciones, el protocolo de seguridad deberá proporcionar autenticación así como mecanismos para asegurar la integridad y la protección de los paquetes de control, además de la confidencialidad de todos los paquetes. Para poder alcanzar este nivel, es necesario implementar IPSec-ESP. No obstante, esta utilización de IPSec requiere un soporte para la todos los algoritmos de cifrado.

Firewalls y VPN

La mayoría  de las organizaciones hoy día protegen sus instalaciones mediante firewalls y filtros de paquetes. Estos dispositivos deben configurarse para que permitan pasar el tráfico VPN. En la figura 8 se muestra la configuración típica, donde el servidor VPN está colocado detrás del firewall, en la zona desmilitarizada (DMZ) o en la propia red interna. En la práctica muchos firewalls incorporan un servidor VPN (figura 9), pero desde el punto de vista lógico se puede considerar  que corresponde a la figura 8.

Las reglas del firewall deben permitir el tráfico PPTP, L2TP e IPSec en base a los puertos utilizados.

PPTP usa el puerto TCP 1723 y además usa GRE (generic route encapsulation) para el mantenimiento del tunel. GRE tiene el identificador de  protocolo 47 en el paquete IP.

L2TP usa el puerto UDP 1701 para L2TP. 

Requisitos para una VPN

Los requisitos para VPN basadas en Internet se puede agrupar en cuatro áreas principales: compatibilidad, interope­rabi­lidad, disponibilidad y, evidentemente, seguridad.

a) Compatibilidad

Para que una VPN pueda utilizar Internet, debe ser compatible con el protocolo de Internet (IP). Resulta obvia esta consideración con el fin de poder asignar y, posteriormente, utilizar conjuntos de direcciones IP. Sin embargo, la mayoría de redes privadas emplean direcciones IP privadas o no-oficiales, provocando que únicamente unas pocas puedan ser empleadas en la interacción con Internet. La razón por la que sucede esto es simple: la obtención de un bloque de direcciones IP oficiales suficientemente grande como para facilitar un subnetting resulta imposible. Las subredes simplifican la administración de direcciones así como la gestión de los routers y conmutadores pero malgastan direcciones muy preciadas.

Actualmente existen tres técnicas básicas con las que poder obtener la compatibilidad deseada entre las redes privadas e Internet: la conversión a direcciones Internet mediante NAT (Network Address Traslation), la instalación de pasarelas (gateways) IP, y el empleo de encapsulamiento (tunneling).

En la primera de estas técnicas, las direcciones Internet oficiales coexistirán con las redes IP privadas en el interior de la infraestructura de routers y conmutadores de las organizaciones. De este modo, un usuario con una dirección IP privada puede acceder al exterior por medio de un servidor de direcciones IP oficiales mediante la infraestructura local y sin necesidad de emplear ningún tipo de acción especial.

Por otro lado, los gateways IP trabajan traduciendo de otro protocolo a IP y viceversa. Normalmente, el gateway IP soporta los clientes asignados a un servidor dotado de un sistema operativo de red (NOS) con un cierto protocolo nativo. El gateway convierte el tráfico desde el protocolo nativo a IP y viceversa (por ejemplo clientes Novell Netware con protocolo IPX).

Por último, con el tunneling, la fuente encapsula los paquetes pertenecientes a otro protocolo en datagramas IP con el fin de poder atravesar la infraestructura de Internet. El proceso de encapsulación está basado en la añadidura de una cabecera IP al datagrama original, el cual representa la carga (payload). En el extremo remoto, el receptor desencapsula el datagrama IP (eliminando la cabecera IP) y entrega el datagrama original intacto.

Dado que la realización del tunel es relativamente simple, a menudo resulta la manera más sencilla y económica de llevar a cabo redes privadas virtuales bajo Internet.

b) Seguridad

Debe considerarse seriamente la seguridad cuando se usa Internet. Las comunicaciones ya no van a estar confinadas a circuitos privados, sino que van a viajar a través de Internet, que es considerada una red “demasiado pública” para realizar comunicaciones privadas. Aunque pue­de parecer poco probable que alguien monitoreando una línea consiga captu­rar información y hacer uso de ella, la posibilidad existe. Sin embargo y aplicando las correspondientes medidas de protección y seguridad, Internet puede convertirse en una red altamente privada y segura. Para eso la encriptación es muy importante. Cuando la información está encriptada, se requiere una clave para desencrip­tarla. Los usuarios en cada extremo deben tener las claves adecuadas para encriptar y desencriptar los datos. Si se está configurando una conexión con una sucursal es fácil administrar este intercambio de claves. Sin em­bargo, si un usuario remoto accede a la red corporativa, se necesita un modo de verificar quién es y un modo de intercambiar las claves para la encriptación. Las claves públicas y las firmas digitales son los que más de utilizan para este propósito.

c) Disponibilidad

La disponibilidad viene motivada principalmente por dos variables: una accesibilidad plena e independiente del momento y del lugar, y un rendimiento óptimo que garantice la calidad de servicio ofrecida al usuario final.

La calidad de servicio (QoS – Quality of Service) hace referencia a la capacidad que dispone una red para asegurar un cierto nivel de funcionamiento extremo a extremo. La QoS puede venir dada como una cierta cantidad de ancho de banda o un retardo que no debe sobrepasarse o bien como una combinación de ambas. Actualmente, la entrega de datos en Internet es realizada de acuerdo al mejor esfuerzo (best effort) lo cual no garantiza la calidad de servicio demandada. No obstante y en un breve espacio de pocos años, Internet será capaz de suplir esta carencia ofreciendo un soporte para la QoS a través de un conjunto de protocolos emergentes entre los que cabe destacar DiffServ (Differential Services),  RSVP (Resource ReSerVation Protocol) y RTP (Real Time Protocol). Por ahora, los proveedores deberán seguir proporcionando la QoS de las VPNs haciendo uso del tráfico CIR (Committed Information Rate) en Frame Relay u otras técnicas.

d) Interoperabilidad

Las implementaciones de los tres primeros requisitos han provocado la aparición de un cuarto: la interoperabilidad. Los estándares sobre tunneling, autenticación, encriptación y modo de operación ya mencionados anteriormente son de reciente aparición o bien se encuentran en proceso de desarrollo. Por esta razón, previamente a la adquisición de una tecnología VPN, se debe prestar una cuidadosa atención a la interoperabilidad extremo-a-extremo. Esta responsabilidad puede residir tanto en el usuario final como en el proveedor de red, dependiendo de la implementación deseada. Una manera de asegurar una correcta interoperabilidad radica en la elección de una solución completa ofrecida por un mismo fabricante. En el caso de que dicho fabricante no sea capaz de satisfacer todos los requisitos, se deberán limitar los aspectos interoperacionales a un subconjunto que englobe aquellos que sean esenciales, además de utilizar únicamente aquel equipamiento que haya sido probado en laboratorios o bien sometido a campos de pruebas. En cualquiera de los casos, se deberán seleccionar fabricantes que se acoplen totalmente a los estándares VPN y adquirir únicamente aquel equipamiento que pueda ser actualizado tanto mediante software, firmware o módulos plug-in, con el fin de que puedan adecuarse a futuros estándares.

Una vez vista la relevancia que presentan estas cuatro áreas para las VPN, se procederá a realizar una breve descripción de los principales protocolos disponibles, los cuales permiten alcanzar en general unos resultados satisfactorios, principal­mente en las áreas de seguridad y compatibilidad.

Redes Privadas Virtuales

Introducción

Las organizaciones requieren de buenas redes de comunicación para sus operaciones y las grandes corporaciones acostumbran disponer de redes propias para conectar las sedes ubicadas en distintos puntos geográficos de forma confiable, rápida y económica.

Estas redes corporativas son consideradas privadas por el hecho que los medios de transmisión y de conmutación son propiedad de la organización, la cual se ocupa del diseño, instalación, operación y mantenimiento.

Pero hoy día las organizaciones se encuentran bajo constante presión para utilizar sus recursos con el fin de mejorar la productividad y la rentabilidad. Los gastos en telecomuni­caciones representan un alto porcentaje del total de costos y con tendencia a crecer, por lo que hay que evaluarlos cuidado­­samente. El alto costo necesario para implementar y mantener redes privadas está llevando a una situación insostenible. Las líneas de larga distancia, así como los servicios conmutados, representan una serie de necesidades diarias. El personal de soporte necesario para gestionar las tecnologías complejas conlleva un crecimiento continuo tanto en el número de personas como en su experiencia.

En este contexto el problema que se plantea es: ¿cómo conseguir una solución que no requiera de mucho personal de soporte, que no dependa de un solo suplidor de equipos o de un solo proveedor de servicios y lo más importante de todo, que satisfaga las crecientes necesidades de los usuarios?

La red debe estar disponible permanentemente y además debe permitir añadir nuevos servicios y nuevos usuarios en una forma fácil y segura. La confiabilidad requiere la entrega de mensajes y servicios sin demora o interrupciones y a un costo razonable.

Una solución clásica es arrendar todo o parte de los medios de transmisión a una empresa operadora, que es lo que se conoce como líneas dedicadas alquiladas (leased lines), pero modernamente una de las soluciones más convenientes es lo que se conoce como VPN (Virtual Private Network).

Una VPN es una red que usa recursos de transmisión y conmutación compartidos, es decir públicos. En muchos casos, la red pública es Internet, pero también puede ser una red ATM/Frame Relay de un proveedor. La esencia de esta tecnología reside en que esa parte ‘pública’ no será accesible para nadie que no deseemos, así que se convierte en una red “privada virtual”, ya que no es “privada real”.

Una VPN tiene ciertas ventajas sobre una red “privada real”. Por ejemplo, ofrece una manera más efectiva en términos económicos para incorporar en la red corporativa sitios remotos más pequeños, los teletrabajadores y el personal móvil. Los ahorros se estiman aproximadamente entre un 20% y 40% para la interconexión de las sedes principales con sus sucursales, y un 60% u 80% para la conexión de los usuarios móviles.

                Otros de los aspectos importantes que se debe considerar y no de manera económica, son los aspectos técnicos que la corporación requiere para establecer una conexión punto a punto entre sus sucursales y los usuarios móviles:

·         Solicitar e instalar líneas telefónicas o troncales E1 a los proveedores de servicio.

·         Comprar, instalar y configurar equipos de acceso remoto, rack de módems, etc.

·         Instalar en los equipos portátiles software capacitados para establecer la interconexión. Monitorear los patrones de trafico sobre los puertos en los equipos de acceso remoto.

·         Suplir suficientes puertos de acceso en relación con el número de personal móvil utilizando el servicio.

·         Pagar los cargos telefónicos para las conexiones dial-up.

·         Mantenerse actualizado con los cambios tecnológicos del mercado.

En los años recientes se nota una fuerte tendencia a crear una red virtualmente privada utilizando Internet, ya que así se reducen todavía más costos y se logra conectividad global. Se habla entonces de intranet, donde se utilizan tecnologías de Internet a lo largo de la organización y de extranet, donde se extiende el acceso a clientes, socios, proveedores, etc. Estas son algunas de las posibles aplicaciones de las intranets y las extranets:

·         Recursos humanos: trámites de formularios, publicaciones corporativas, capacitación, procedimientos, guía interna de empleados.

·   Ventas: listas de precios, características de los productos, información sobre productos de la competencia.

·         Finanzas: información financiera, bursátil, procedimientos para presentación de inversiones.

·         Areas técnicas: manuales de operación y reparación de equipos, diagramas técnicos, procedimientos de provisión y mantenimiento de servicios.

·         Apoyo a grupos de trabajo: seguimiento y control de proyectos (groupware).

·         Apoyo a la gestión y toma de decisiones: información económica y de negocios, datos sobre el mercado y la competencia.

El costo de un enlace dedicado alquilado se incrementa con la distancia, como se ilustra en la figura 1(a). Sin embargo, Internet puede usarse para suministrar la parte de larga distancia de la conexión y reducir substancialmente el costo de los enlaces WAN, como se muestra en la figura 1(b).

Nótese que la configuración mediante VPN todavía usa una línea de 64 kb/s para llegar al proveedor local de servicios Internet al otro lado del enlace, pero la distancia es mucho menor. Los costos pueden disminuir de miles de dólares a cientos de dólares cada mes.

                La Figura 2 ilustra el viejo método de implementar el acceso remoto para teletrabajadores y usuarios móviles. Se configura un RAS (Remote Access Server) y un banco de módem para recibir llamadas. Se necesitan bastantes lí­neas telefónicas de entrada para cada módem, además de pagar los costos de todas las líneas si los usuarios remotos llaman desde sitios distantes.

                La Figura 3 muestra cómo cambian las cosas al llevar los servicios de ac­ceso remoto al ISP. Ahora se tiene una línea para acceder al ISP y los usuarios remotos usan Internet para acceder a la red corporativa.

Básicamente, la tecnología VPN conforma un canal de comunicacio­nes encriptado seguro a través de Internet para oficinas remotas, usuarios móviles y socios comerciales. En lugar de alquilar una línea dedicada (circui­to) entre dos sitios, es a menudo mucho mejor crear un circuito virtual a través de una red pública. Todo aquel que use la red comparte los costos, en oposición a las líneas alquiladas dedicadas para las cuales la organización paga todos los costos aunque pudiera no utilizarla el 100% del tiempo.

Un aspecto importante de las VPN por medio de Internet es que ellas enriquecen las comunicaciones, facilitando flexibilidad de comunicación entre clientes, proveedores, socios de negocio y otros, lo cual permite a los usuarios establecer comunicación con cualquier socio de negocio, no sólo algunos.

Pero Internet no está diseñada para ofrecer la calidad de servicio ni la seguridad que se requiere en muchas aplicaciones. Estos aspectos y otros son los que se deben considerar cada vez que vayan a enviar datos importantes de una corporación vía una red en la cual nadie tiene prácticamente el control. En todo caso, si se transmite información sensible al retardo o urgente, VPN sobre Internet no ser la mejor solución porque puede encontrar problemas de rendimiento debido a los retardos.

Métodos de Acceso Remoto

Métodos de Acceso Remoto

Conceptualmente, el acceso remoto se puede llevar a cabo de 2 maneras distintas:

1.       Control remoto. Con este método, un usuario se conecta a una computadora remota y toma control de ella. Esta computadora ejecuta todas las órdenes del usuario y solamente la información actualizada del teclado, del ratón y de la pantalla se transfieren por la línea. Si la computa­dora remota forma parte de una red (por ejemplo una LAN), entonces el usuario puede también tener acceso a esa red. 

2.       Nodo remoto. Con este método, un usuario se convierte en un nodo remoto de la red a través de un dispositivo de acceso remoto. El procesamiento se realiza sobre la computadora del usuario. Por ejemplo, si se hace clic sobre  un archivo de texto en un directorio, ese archivo es transferido y luego abierto en la PC del usuario.

                 Este segundo método simula mejor una conexión directa con la red y se usa mucho para tener acceso a servidores Web y FTP. Imagínese un sitio Web privado que incluye noticias y boletines de la compañía junto a páginas donde los usuarios remotos puedan acceder a archivos o servidores internos o consultar bases de datos corporativas. Se habla de intranet (para uso del personal interno) y de extranet (para uso de clientes, proveedores, etc.)

                Los protocolos Web son muy eficientes y muchos usuarios están ya familiarizados con el uso de exploradores Web para acceder a la información. Los exploradores Web han llegado a ser una clase de “cliente universal”, por lo que aprovechar esta tecnología reduce enormemente los costos de entrenamiento.

              Hoy día existe una amplia gama de soluciones para proveer el acceso remoto, según el tipo de conectividad que disponga el usuario (línea telefónica conmutada, ADSL, modem de TV por cable, etc.) y según el protocolo de comunicación (terminal, TCP/IP, etc.). 

                    La conectividad a través de la red telefónica conmutada se logra por medio de modems en ambos extremos. Por ejemplo, un usuario desde su casa podría tener acceso remoto al computador de su oficina (o al revés) si en ambos PC instala un módem y un programa de acceso remoto como PCanywhere. Pero para que en una empresa se puedan atender varias conexiones simultáneamente, se utiliza un RAS (remote access server), el cual puede ser un equipo específico o un servicio incluido en el servidor Windows NT/2000. Los usuarios remotos y móviles llaman a un grupo de módem que están disponibles desde el servidor, tal como se muestra en la figura.

                  Una vez conectado e iniciada la sesión, los usuarios pueden tener acceso a archivos y bases de datos de servidores o recursos compartidos como si estuviesen trabajando en la estación de trabajo local. Se puede permitir o bien el acceso sólo al servidor al que llaman o bien el acceso a la red conectada al servidor. Los usuarios también pueden tener accesor a servidores NetWare e impresoras sobre la red interna.

                Para mejorar el rendimiento, RAS utiliza compresión de datos por software. El software de compresión suministra un mejor rendimiento que la compresión hardware realizada por los módem, por lo que se debería desactivar la compresión en el modem del usuario.

                RAS emplea protocolos de acceso remoto para transportar los paquetes de datos sobre la red. Los paquetes se estructuran en tramas y se envían por el enlace. El soporte primario es usualmente el Protocolo punto a punto (PPP), pero también se aceptan otros. 

La conexión puede utilizar todos los protocolos que estén mutuamente disponibles en ambos sistemas, por lo que si TCP/IP e IPX se están ejecutando sobre el servidor y el cliente, ambos protocolos están disponibles para ser usados.

                Cuando el número de líneas es grande, los pares telefónicos se pueden reemplazar con enlaces digitales E1 hacia la empresa telefónica, por cable o por microondas. Cada E1 suministra 30 canales de 64 kbps. En este caso es también posible colocar el RAS en la propia sede de la operadora telefónica, tal como hacen los proveedores de acceso a Internet (ISP).

                Una solución que se usa cada vez con mayor frecuencia para el acceso remoto es a través de Internet. En tal caso el usuario se conecta al RAS de su  ISP y de allí a la red de la empresa, la cual está conectada a Internet a través de un enlace dedicado, tal como se muestra en la figura 2. 

Aspectos de seguridad

         Una preocupación importante para el acceso remoto es la seguridad, ya que los activos de información deben estar a salvo de intrusos que pueden intentar penetrar. Un hacker armado con un equipo de discado automático puede hacer cientos de llamadas al día buscando una señal de módem al que conectarse. Luego se centrará en cómo lograr el acceso. Si logra averiguar un nombre de usuario y contraseña válidos, puede entrar al sistema y robar información confidencial o causar otros daños. 

              Una solución a este problema es configurar el módem para que responda no al primer repique, sino después de varios. Si su conexión no es rápida, el hacker probablemente procederá a intentar un nuevo número. Otra forma es la rellamada (callback), que consiste en colgar y esperar a ser llamado a un numero prefijado. Con esta modalidad también el usuario se ahorra el costo de la duración de la llamada, sobre todo si es de larga distancia.

                La seguridad para el acceso remoto es muy compleja y se fundamenta en los siguientes aspectos:

·         Autenticación de los usuarios

·         Control de acceso a los recursos de acuerdo al perfil de cada usuario

·         Cifrado de la información que se transmite

·         Auditoría de los accesos para administrar y llevar un control del uso.

La autenticación se hace tradicionalmente mediante contra­señas. Para mayor seguridad, se pueden utilizar contraseñas dinámicas, tokens, tarjetas inteligentes o certificados digitales.

                El cifrado de información se hace para proteger la confidencialidad contra escuchas, en el caso de que la comunicación sea interceptada.

                Modernamente hay técnicas que permiten crear un canal seguro sobre una red pública no segura como Internet. Esto es lo que se conoce también como VPN (red privada virtual)

Introducción Acceso Remoto

1.  Acceso Remoto

Introducción

            En el mundo moderno es cada vez más importante el poder conectarse a la red interna de una organización desde sitios remotos. La gente se lleva el trabajo a casa o sale de viaje con su laptop y necesita tener acceso a la red de su empresa para revisar el correo electrónico, preparar informes de ventas y presupuestos, leer boletines y avisos, y en general realizar actividades que requieran de recursos informáticos.

                Todo esto forma parte del teletrabajo, conocido en inglés como distance working,  telework o telecommuting, que es una forma de trabajo a distancia, lejos de la oficina, utilizando medios electrónicos. Es decir que el empleado en vez de viajar todos los días entre la casa y la oficina, se conecta a través de teléfono, celular, fax, modem, ADSL, etc.

                Existen beneficios significativos tanto para la compañía como para sus empleados si éstos trabajan en sus casas. Para los teletrabajadores, una de las mayores ventajas es un estilo de trabajo más flexible, pero también hay ciertos ahorros por menores costos de viajes y en gastos personales (ropa, zapatos, etc.). Ellos desempeñan sus funciones sin moverse de casa, disponiendo y organizando su tiempo, con lo que pueden realizarse mejor en otros campos (familiar, amistades, hobbies).

                Para las empresas hay por lo general una ganancia significativa en productividad. Esto en parte es debido al hecho que los teletrabajadores son más competentes en el manejo del tiempo y se concentran mejor en las tareas que están realizando, trabajando usualmente un mayor número de horas que su contraparte en la oficina tradicional. Las empresas también se benefician por el ahorro en espacio, parti­cularmente en las oficinas céntricas cuyos costos son elevados. De hecho una de las áreas de mayor crecimiento en el teletrabajo es el uso de oficinas satélites, ubicadas cerca de la casa del empleado. Esta solución ofrece muchas de la ventajas del teletrabajo completo y al mismo tiempo garantiza unas características más parecidas a una oficina tradicional.

                Hoy día las empresas de alta tecnología encuentran  dificultad para obtener y conservar su fuerza de trabajo más calificada. Estudios recientes muestran que va a ocurrir una declinación significativa en la calidad y cantidad de personal especializado en el sector teleinformático. Para manejar esta situación, los empleadores deberán desarrollar estrategias a fin de permitir que el trabajo sea llevado donde se encuentra la persona y no que la persona vaya donde se encuentra el trabajo. Los beneficios para la empresa son fácilmente computables en términos de costos de reemplazo, sobre todo el conseguir otra persona y su entrenamiento. Para aquellas empresas cuya actividad principal es prestar un servicio, los costos de reemplazo pueden ser considerablemente mayores, ya que la pérdida de un empleado puede causar también la degradación del servicio a los clientes.

         El teletrabajo también es interesante para los gobiernos que buscan formas de reducir el congestionamiento automovilístico, la contaminación atmosférica y el calentamiento global. Según un estudio, si en  Estados Unidos se sustituyera el 10-20% del transporte por: trabajo desde la casa, compras a distancia, videoconferencia e intercambio electrónico de datos (EDI), entonces se podría eliminar: el ir y venir diariamente en vehículos para 6 millones de personas, 3 millardos de viajes de compras por año, 13 millones de viajes de negocios por año, más de 600 millones de millas recorridas por camiones y aviones por año. Solamente en viajes y transporte se ahorrarían 23 millardos de dólares por año, es decir 15 millardos más de los ahorros anuales estimados con el uso de combustibles alternativos.

                El teletrabajo da mayor autonomía y da la posibilidad de ser uno mismo su propio jefe. Existen cada vez más campos donde es posible desarrollar esta modalidad laboral: Asesoría, consultoría, traducción, comercio, contabilidad, medicina, enseñanza, trabajo secretarial, arquitectura, edición, ingeniería, segui­miento de valores bursátiles, siendo el comercio electró­nico uno de los más apreciados y remunerados.

                Sin embargo el teletrabajo también presenta algunas desventajas. Los teletrabajadores a menudo sufren de un sentimiento de aislamiento y de no ser considerados como parte de un grupo. Hay dificultad para motivarlos y hacerles partícipes de los objetivos de la organización. También puede haber un cierto resentimiento por parte de los empleados convencionales los cuales creen que deben absorber algunas de las tareas que antes realizaba el teletrabajador, el cual según ellos se queda muy tranquilo en su casa. Se requiere una fuerte autodisciplina, así como un ambiente de trabajo adecuado en casa para que el trabajo a distancia pueda ser usado efectivamente como un sustituto para la oficina. La confianza con el supervisor inmediato es muy importante.

               Es evidente que no todos los trabajos se prestan para este nuevo tipo de actividad. La experiencia ha mostrado que se requiere satisfacer la mayor parte de las siguientes condiciones:

·         No hace falta una interacción frecuente de cara a cara.

·         Se puede realizar a través de medios de comunicación electrónica.

·         Se puede medir fácilmente el rendimiento.

·         Gran parte del trabajo puede ser realizado indepen­dientemente  de los demás empleados.

·         Hay poca necesidad de material y equipos que se encuentran en la oficina principal.

·         Hay un alto grado de confianza entre los supervisores y los empleados.

             El acceso remoto es entonces un medio invalorable para los teletrabajadores y empleados móviles, pero hoy día hay muchos otros campos de aplicación, por ejemplo para el mantenimiento de redes y sistemas de computación. El administrador y el personal técnico de soporte al usuario pueden conectarse a un sitio remoto para diagnosticar y resolver fallas, reconfigurar equipos e instalar o actualizar software.

Otra aplicación es la conexión de una sucursal a la sede principal de una empresa.