Los requisitos para VPN basadas en Internet se puede agrupar
en cuatro áreas principales: compatibilidad, interoperabilidad,
disponibilidad y, evidentemente, seguridad.
a)
Compatibilidad
Para que una VPN pueda utilizar Internet, debe ser compatible
con el protocolo de Internet (IP). Resulta obvia esta consideración con el fin
de poder asignar y, posteriormente, utilizar conjuntos de direcciones IP. Sin
embargo, la mayoría de redes privadas emplean direcciones IP privadas o
no-oficiales, provocando que únicamente unas pocas puedan ser empleadas en la
interacción con Internet. La razón por la que sucede esto es simple: la
obtención de un bloque de direcciones IP oficiales suficientemente grande como
para facilitar un subnetting resulta imposible. Las subredes simplifican
la administración de direcciones así como la gestión de los routers y
conmutadores pero malgastan direcciones muy preciadas.
Actualmente
existen tres técnicas básicas con las que poder obtener la compatibilidad
deseada entre las redes privadas e Internet: la conversión a direcciones
Internet mediante NAT (Network Address Traslation), la instalación de
pasarelas (gateways) IP, y el empleo de encapsulamiento (tunneling).
En la primera de
estas técnicas, las direcciones Internet oficiales coexistirán con las redes IP
privadas en el interior de la infraestructura de routers y conmutadores de las
organizaciones. De este modo, un usuario con una dirección IP privada puede
acceder al exterior por medio de un servidor de direcciones IP oficiales
mediante la infraestructura local y sin necesidad de emplear ningún tipo de
acción especial.
Por otro
lado, los gateways IP trabajan traduciendo de otro protocolo a IP y viceversa.
Normalmente, el gateway IP soporta los clientes asignados a un servidor dotado
de un sistema operativo de red (NOS) con un cierto protocolo nativo. El gateway
convierte el tráfico desde el protocolo nativo a IP y viceversa (por ejemplo
clientes Novell Netware con protocolo IPX).
Por
último, con el tunneling, la fuente encapsula los paquetes
pertenecientes a otro protocolo en datagramas IP con el fin de poder atravesar
la infraestructura de Internet. El proceso de encapsulación está basado en la
añadidura de una cabecera IP al datagrama original, el cual representa la carga
(payload). En el extremo remoto, el receptor desencapsula el datagrama
IP (eliminando la cabecera IP) y entrega el datagrama original intacto.
Dado que
la realización del tunel es relativamente simple, a menudo resulta la manera
más sencilla y económica de llevar a cabo redes privadas virtuales bajo
Internet.
b) Seguridad
Debe considerarse seriamente la seguridad cuando se usa
Internet. Las comunicaciones ya no van a estar confinadas a circuitos privados,
sino que van a viajar a través de Internet, que es considerada una red “demasiado pública” para
realizar comunicaciones privadas. Aunque
puede parecer poco probable que alguien monitoreando una línea consiga capturar
información y hacer uso de ella, la posibilidad existe. Sin embargo y
aplicando las correspondientes medidas de protección y seguridad, Internet
puede convertirse en una red altamente privada y segura. Para eso la encriptación es muy importante.
Cuando la información está encriptada, se requiere una clave para desencriptarla.
Los usuarios en cada extremo deben tener las claves adecuadas para encriptar y
desencriptar los datos. Si se está configurando una conexión con una sucursal
es fácil administrar este intercambio de claves. Sin embargo, si un usuario
remoto accede a la red corporativa, se necesita un modo de verificar quién es y
un modo de intercambiar las claves para la encriptación. Las claves públicas y
las firmas digitales son los que más de utilizan para este propósito.
c)
Disponibilidad
La disponibilidad viene motivada principalmente por dos variables:
una accesibilidad plena e independiente del momento y del lugar, y un
rendimiento óptimo que garantice la calidad de servicio ofrecida al usuario
final.
La
calidad de servicio (QoS – Quality of Service) hace referencia a la
capacidad que dispone una red para asegurar un cierto nivel de funcionamiento
extremo a extremo. La QoS puede venir dada como una cierta cantidad de ancho de
banda o un retardo que no debe sobrepasarse o bien como una combinación de
ambas. Actualmente, la entrega de datos en Internet es realizada de acuerdo al
mejor esfuerzo (best effort) lo cual no garantiza la calidad de servicio
demandada. No obstante y en un breve espacio de pocos años, Internet será capaz
de suplir esta carencia ofreciendo un soporte para la QoS a través de un
conjunto de protocolos emergentes entre los que cabe destacar DiffServ (Differential
Services), RSVP (Resource
ReSerVation Protocol) y RTP (Real Time Protocol). Por ahora, los
proveedores deberán seguir proporcionando la QoS de las VPNs haciendo uso del
tráfico CIR (Committed Information Rate) en Frame Relay u otras
técnicas.
d)
Interoperabilidad
Las implementaciones de los tres primeros requisitos han
provocado la aparición de un cuarto: la interoperabilidad. Los estándares sobre
tunneling, autenticación, encriptación y modo de operación ya mencionados
anteriormente son de reciente aparición o bien se encuentran en proceso de
desarrollo. Por esta razón, previamente a la adquisición de una tecnología VPN,
se debe prestar una cuidadosa atención a la interoperabilidad
extremo-a-extremo. Esta responsabilidad puede residir tanto en el usuario final
como en el proveedor de red, dependiendo de la implementación deseada. Una
manera de asegurar una correcta interoperabilidad radica en la elección de una
solución completa ofrecida por un mismo fabricante. En el caso de que dicho
fabricante no sea capaz de satisfacer todos los requisitos, se deberán limitar
los aspectos interoperacionales a un subconjunto que englobe aquellos que sean
esenciales, además de utilizar únicamente aquel equipamiento que haya sido
probado en laboratorios o bien sometido a campos de pruebas. En cualquiera de
los casos, se deberán seleccionar fabricantes que se acoplen totalmente a los
estándares VPN y adquirir únicamente aquel equipamiento que pueda ser
actualizado tanto mediante software, firmware o módulos plug-in, con el fin de
que puedan adecuarse a futuros estándares.
Una vez vista la relevancia que
presentan estas cuatro áreas para las VPN, se procederá a realizar una breve
descripción de los principales protocolos disponibles, los cuales permiten
alcanzar en general unos resultados satisfactorios, principalmente en las
áreas de seguridad y compatibilidad.
No hay comentarios:
Publicar un comentario