Xarxa privada virtual

De Viquipèdia
Dreceres ràpides: navegació, cerca

Una xarxa privada virtual , XPV , o VPN de les sigles en anglès de Virtual Private Network , és una tecnologia de xarxa que permet una extensió de la xarxa local sobre una xarxa pública o no controlada, com per exemple Internet.[1]

Exemples comuns són, la possibilitat de connectar dues o més sucursals d'una empresa utilitzant com a vincle Internet, permetre als membres de l'equip de suport tècnic la connexió des de casa al centre de còmput, o que un usuari pugui accedir al seu equip domèstic des un lloc remot, com ara un hotel. Tot això utilitzant la infraestructura d'Internet.

Característiques bàsiques de la seguretat[modifica | modifica el codi]

Per fer-ho possible de manera segura és necessari proporcionar els mitjans per garantir l'autenticació, integritat i confidencialitat de tota la comunicació:

  • Autenticació i autorització: Qui està de l'altre costat? Usuari/equip i quin nivell d'accés ha de tenir.
  • Integritat: que les dades enviades no han estat alterats. Per a això s'utilitza funcions de Hash . Els algorismes de hash més comuns són els Message Digest (MD2 i MD5) i el Secure Hash Algorithm (SHA).
  • Confidencialitat: Atès que només pot ser interpretada pels destinataris de la mateixa. Es fa ús d'algorismes de xifrat com Data Encryption Standard (DES), Triple DES (3DES) i Advanced Encryption Standard (AES).
  • No repudi: és a dir, un missatge ha d'anar signat, i el que el signa no pot negar que el missatge el va enviar ell o ella.

Requeriments bàsics[modifica | modifica el codi]

  • Identificació d'usuari: les VPN han de verificar la identitat dels usuaris i restringir el seu accés a aquells que no es troben autoritzats.
  • Codificació de dades: les dades que es van a transmetre a través de la xarxa pública (Internet), abans han de ser xifrats, perquè així no puguin ser llegits. Aquesta tasca es realitza amb algorismes de xifrat com DES o 3DES que només poden ser llegits per l'emissor i receptor.
  • Administració de claus: les VPN han d'actualitzar les claus de xifrat per als usuari s.
  • Nou algorisme de seguretat SEAL

Tipus de VPN[modifica | modifica el codi]

Bàsicament hi ha tres arquitectures de connexió VPN:

VPN d'accés remot[modifica | modifica el codi]

És potser el model més utilitzat actualment, i consisteix en usuari sobre proveïdors que es connecten amb l'empresa des de llocs remots (oficines comercials, domicilis, hotels, avions preparats, etc) utilitzant Internet com a vincle d'accés. Una vegada autenticats tenen un nivell d'accés molt similar al que tenen en la xarxa local de l'empresa. Moltes empreses han reemplaçat amb aquesta tecnologia la seva infraestructura dial-up (mòdem si línies telefòniques).

VPN punt a punt[modifica | modifica el codi]

Aquest esquema s'utilitza per connectar oficines remotes amb la seu central de l'organització. El servidor VPN, que posseeix un vincle permanent a Internet, accepta les connexions via Internet provinents dels llocs i estableix el túnel VPN. Els servidors de les sucursals es connecten a Internet utilitzant els serveis del seu proveïdor local d'Internet, típicament mitjançant connexions de banda ampla. Això permet eliminar els costosos vincles punt a punt tradicionals (realitzats comunament mitjançant connexions de cable físiques entre els nodes), sobretot en les comunicacions internacionals. És més comú el següent punt, també anomenat tecnologia de túnel o tunneling .

Tunneling [modifica | modifica el codi]

Article principal: Tunneling

La tècnica de tunneling consisteix a encapsular un protocol de xarxa sobre un altre (protocol de xarxa encapsulat) creant un túnel dins d'una xarxa d'ordinadors. L'establiment d'aquest túnel s'implementa incloent una PDU determinada dins d'una altra PDU amb l'objectiu de transmetre des d'un extrem a l'altre del túnel sense que sigui necessària una interpretació intermèdia de la PDU encapsulada. D'aquesta manera s'encaminen els paquets de dades sobre nodes intermedis que són incapaços de veure en clar el contingut d'aquests paquets. El túnel queda definit pels punts extrems i el protocol de comunicació emprat, que entre altres, podria ser SSH.

VPN over LAN[modifica | modifica el codi]

Aquest esquema és el menys difós però un dels més poderosos per utilitzar dins de l'empresa. És una variant del tipus "accés remot" però, en comptes d'utilitzar Internet com a mitjà de connexió, utilitza la mateixa xarxa d'àrea local (LAN) de l'empresa. Serveix per aïllar zones i serveis de la xarxa interna. Aquesta capacitat ho fa molt convenient per millorar les prestacions de seguretat de les xarxes sense fils (WiFi).

Un exemple clàssic és un servidor amb informació sensible, com les nòmines de sous, situat darrere d'un equip VPN, el qual proveeix autenticació addicional més l'agregat del xifrat, fent possible que només el personal de recursos humans habilitat pugui accedir a la informació.

Un altre exemple és la connexió a xarxes WIFI fent ús de túnels xifrats IPSEC o SSL que a més de passar pels mètodes d'autenticació tradicionals (WAP, WEP, MAcaddress, etc.) Agreguen les credencials de seguretat del túnel VPN creat a la LAN internes o externes.

Implementacions[modifica | modifica el codi]

El protocol estàndard de fet és el IPSEC, però també tenim PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cadascun amb les seves avantatges i desavantatges pel que fa a seguretat, facilitat, manteniment i tipus de clients suportats.

Actualment hi ha una línia de productes en creixement relacionada amb el protocol SSL/TLS, que intenta fer més amigable la configuració i operació d'aquestes solucions.

  • Les aplicacions VPN per programari són les més configurables i són ideals quan sorgeixen problemes d'interoperativitat en els models anteriors. Òbviament el rendiment és menor i la configuració més delicada, perquè se suma el sistema operatiu i la seguretat de l'equip en general. Aquí tenim per exemple a les solucions natives de Windows, GNU/Linux i els Unix en general. Per exemple productes de codi obert com OpenSSH, OpenVPN i FreeS/Wan.

En ambdós casos es poden utilitzar solucions de firewall ("barrera de foc" o "tallafocs" en castellà), obtenint un nivell de seguretat alt per la protecció que brinda, en detriment del rendiment.

Avantatges[modifica | modifica el codi]

  • Integritat, confidencialitat i seguretat de dades.
  • Les VPN redueixen els costos i són senzilles d'utilitzar.
  • Facilita la comunicació entre dos usuaris en llocs distants.

Tipus de connexió[modifica | modifica el codi]

Connexió d'accés remot[modifica | modifica el codi]

Una connexió d'accés remot és realitzada per un client o un usuari d'una ordinador que es connecta a una xarxa privada, els paquets enviats a través de la connexió VPN són originats al client d'accés remot, i aquest es autentifica al servidor d'accés remot, i el servidor s'autentifica davant del client.

Connexió VPN router a router[modifica | modifica el codi]

Una connexió VPN router a router és realitzada per un router, i aquest al seu torn es connecta a una xarxa privada. En aquest tipus de connexió, els paquets enviats des de qualsevol router no s'originen en els routers. El router que realitza la trucada s'autentifica davant el router que respon i aquest al seu torn s'autentica davant el router que realitza la trucada i també serveix per a la intranet.

Connexió VPN firewall a firewall[modifica | modifica el codi]

Una connexió VPN firewall a firewall és realitzada per un d'ells, i aquest al seu torn es connecta a una xarxa privada. En aquest tipus de connexió, els paquets són enviats des de qualsevol usuari a Internet. El firewall que realitza la trucada es autentifica davant el qual respon i aquest al seu torn s'autentifica davant qui truca ..

Vegeu també[modifica | modifica el codi]

Nota[modifica | modifica el codi]

  1. Markus Feilner. Open VPN: building and operating virtual private networks. Packt Publishing Ltd, 2006. ISBN 9781904811855 [Consulta: 17 abril 2011].