¿Qué es una Red Privada Virtual? ¿Cuántos tipos de RPV existen, y para qué se utilizan? ¿Cómo elegir el tipo más adecuado para responder a necesidades específicas? Hoy respondemos a estas y otras preguntas
Una Red Privada Virtual (RPV), en esencia, consiste en usar una red (IP), normalmente pública, pero con un nivel de abstracción tal que se usa solo como mecanismo de transporte entre extremos, y que servirá para construir una red privada. Pero el hecho de usar una red pública conlleva la necesidad de extremar la seguridad en las comunicaciones. Así, ambos conceptos, RPV y seguridad, tienden a fundirse en uno solo, independientemente de que el núcleo de la red que proporciona conectividad sea público o privado. A tales efectos, las conexiones entre los puntos reciben el nombre de “túneles”, precisamente porque ocultan la información privada que viaja a través de la red pública.
Dado que la seguridad, como decíamos, es un factor clave en las comunicaciones, es necesario conocer los distintos tipos de RPV. Solo así se puede elegir, con conocimiento de causa, cuál es el que mejor se adapta a cada escenario en concreto. Pero no todo el mundo posee conocimientos avanzados en IT como para sopesar la información relevante. Uno de los problemas, es orientarse entre la maraña de acrónimos asociados a las RPV, tan crípticos que pueden suponer una barrera infranqueable para la comprensión (GRE, L2TP, IPSec, DMVPN, GDOI, SSLVPN, WebVPN, y un largo etcétera).
En Teldat nos hemos propuesto desmenuzar estos tecnicismos en la medida de lo posible, explicándolos para que todo el mundo, con independencia de sus conocimientos técnicos, pueda entender lo que está en juego, y sea capaz de orientar sus decisiones.
RPV a nivel de red
Consiste en la implementación de la Red Privada Virtual a nivel 3 de la capa OSI, esto significa que máquinas y aplicaciones a ambos lados del túnel se ven entre ellas exactamente igual que lo harían mediante una conexión directa. Este tipo de RPV es transparente a cualquier protocolo y aplicación.
- GRE (Generic Router Encapsulation) y L2TP (Layer 2 Tunneling Protocol) son protocolos sencillos que permiten construir Redes Privadas Virtuales a nivel de red, si bien a pesar de ser protocolos perfectamente estandarizados y de probada compatibilidad, no se ha desarrollado sobre ellos un nivel de seguridad suficiente. Por esa razón, no son ampliamente usados, más que como un protocolo auxiliar para la interconexión de la RPV.
- IPSec (Internet Protocol Security) es una alternativa estándar sobre la que sí se ha desarrollado un nivel de seguridad adecuado. De hecho, es el estándar en protocolo de seguridad en RPVs y, por tanto, es usado ampliamente en los routers de la periferia de red.
- DMVPN (Dynamic Multipoint Virtual Private Networks) es una arquitectura de RPV basada en el uso simultáneo de GRE e IPSec. El primero (GRE), es usado para la conectividad, mientras que el segundo se emplea para la seguridad. Aquí, la principal ventaja de GRE es que permite enviar información de routing, de modo que los extremos del túnel se informan entre ellos de las redes privadas, lo cual reduce el esfuerzo de configuración para construir RPV. Y lo hace reduciendo el número de puntos: DMVPN se basa en uno, central (Hub) al que se conectan el resto de puntos remotos (Spokes), y que distribuye la información de routing entre todos ellos. DMVPN está basado en la RFC2332 NBMA Next Hop Resolution Protocol (NHRP).
- GETVPN (Group Encrypted Transport Virtual Private Networks) or GDOI (Group Domain Of Interpretation) es un mecanismo adicional a IPSec, que facilita la gestión de claves. También basado en RFC e interoperable, se basa en un servidor central que genera y envía claves a todos los puntos. GETVPN no realiza túneles, razón por la cual, solo funciona si el direccionamiento de los hosts es público.
Los routers de las oficinas remotas establecen RPV a nivel de red, de forma transparente a las máquinas de la red local, aunque también es posible encontrar implementaciones (IPSec y L2TP, principalmente) en hosts, bien como parte del sistema operativo (Windows, Linux, Android, iOS), bien como servicios de red adicionales desarrollados por terceros.
RPV a nivel de aplicación
Se implementan estableciendo una Red Privada Virtual sin que los routers intermedios, ni la pila de red del host, intevengan en el proceso. Se basa en el protocolo SSL (Socket Security Layer) desde una sesión HTTP. En su versión más básica (clientless), el servidor SSL mantiene, a través de la red pública, una sesión segura con el navegador HTTP del cliente, y presenta recursos de la red interna (aplicaciones, servidores de ficheros, etc.) en formato web. Por esa razón, recibe el nombre de “HTTP Reserve Proxy”.
Una versión más avanzada (Full Network Access), descarga en el cliente un applet que crea interfaces virtuales para interceptar el tráfico privado a intercambiar entre el cliente y la red privada. De este modo, se consigue establecer, de forma efectiva, una RPV entre el host y la red privada conectada al servidor.
SSL es una implementación original de Netscape. La versión 3.0 ha sido estandarizada por IETF, adquiriendo el nombre de TLS 1.0 (Transport Layer Security). La parte estandarizada comprende el protocolo de seguridad, pero no las funcionalidades HTTP Reserve Proxy, ni los applets, que son propietarios.
Qué Red Privada Virtual es mejor
Depende de las necesidades a satisfacer. Las Redes Privadas Virtuales, a nivel de aplicación, son la solución para interconectar de forma individual una máquina, desde cualquier punto de la red pública, fuera de las oficinas. Por ejemplo usuarios móviles que se conectan con sus dispositivos portátiles desde internet (PCs, tablets, teléfonos, etc.) o incluso desde PCs públicos. Los servidores de RPV a nivel de aplicación suelen encontrarse en las oficinas centrales, y no en los routers de acceso.
Para establecer RPVs entre distintas sedes de una empresa la solución son las RPVs a nivel de red desde los routers de acceso de cada sede, donde IPSec es el estándar de facto.
Teldat es líder en interoperabilidad en tecnologías de RPV de red (L2TP, GRE, DMVPN, GETVPN e IPSEC). Le ofrecemos el asesoramiento que necesite sobre RPV de red. Contamos con amplias referencias por parte de grandes clientes. Porque la mejor forma de ganarnos su confianza, es ofrecerle un servicio de élite.