Una VPN IPSec proporciona acceso remoto seguro a través de una aplicación cliente en el sistema remoto y una terminación VPN que se encuentra en la red de la empresa. En muchos casos, el dispositivo de terminación VPN es también el firewall que protege la red corporativa a través de Internet, pero también puede ser un dispositivo independiente. Este dispositivo está configurado para permitir conexiones VPN que cumplan ciertos criterios de seguridad, como un nombre de grupo y contraseña (también conocido como un "secreto compartido"). Si el cliente no está configurado para adaptarse exactamente a la configuración del dispositivo VPN, no se conectará.
Los VPN PPTP (Point-to-point tunneling protocol) han existido desde que Microsoft implementó por primera vez el protocolo en Windows 95. Sin embargo, ha caído en desgracia en los últimos tiempos debido a problemas de seguridad con el propio protocolo. Algunos dispositivos VPN siguen siendo compatibles con las conexiones PPTP, al igual que todas las versiones de Windows desde Windows 95. Mac OS X y algunos smartphones también soportan conectividad PPTP.
Las VPNs SSL (Secure Sockets Layer) se pusieron de moda porque son generalmente conocidas como "clientes" VPNs. Esto significa que el equipo remoto no necesita tener un cliente preinstalado para conectarse a la red corporativa. En la mayoría de los casos, un túnel VPN SSL se crea cuando un usuario remoto abre un navegador de Internet y se conecta a una URL predefinida, comohttps://vpn.mycompany.com. Tenga en cuenta que si no tiene servicio de DNS de su proveedor, la dirección puede ser simplemente una dirección IP.
Cuando vaya a comprar una VPN, es posible que algunos productos ofrezcan varios tipos de opciones de conectividad VPN en un único dispositivo. También puede encontrar que algunos vendedores tienen su propio tipo de VPN, como QuickVPN, que es incompatible con otras normas VPN. Si bien estas soluciones pueden trabajar, pueden ser difíciles de mantener más adelante, y a menudo no son compatibles con muchos dispositivos de cliente, como diferentes versiones de PC y sistemas operativos móviles. Si está interesado en usar una de estas soluciones propietarias de VPN, asegúrese de que es compatible con todos los sistemas operativos que va a utilizar.
Uno de los detalles más importantes en la creación de una VPN es asegurarse de que su conexión a Internet tiene una dirección IP estática. Muchas conexiones empresariales por cable y DSL utilizan direccionamiento dinámico, lo que significa que la dirección IP de su conexión a Internet cambia de vez en cuando. Cuando cambia la dirección IP, los usuarios remotos no saben la nueva dirección, y por lo tanto no serán capaces de conectarse. La mayoría de proveedores empresariales de cable y ADSL tienen opciones de dirección IP estática, lo que asegurará que sus usuarios remotos siempre serán capaces de conectarse a la red. Asegúrese de solicitarle esta opción a su proveedor antes de seguir adelante con sus planes de VPN. Al mismo tiempo, asegúrese de que tiene suficiente ancho de banda ascendente para soportar a usuarios remotos. Si tiene una velocidad de subida lenta, tendrá un impacto significativo en la velocidad de la red para los usuarios remotos.
Llega un momento en la mayoría de las empresas en que las circunstancias hacen que uno o varios usuarios trabajen desde su casa a jornada completa o a tiempo parcial. En otros casos, poder utilizar recursos de la empresa desde su casa o (por desgracia) durante las vacaciones, puede ser conveniente para los dueños del negocio y para los empleados.
La mejor manera de proporcionar el acceso remoto, es con una VPN (Virtual Private Network o red privada virtual). Una VPN permite que una computadora que se encuentra fuera de la red corporativa se conecte a esa red como si estuviera en el interior del edificio, permitiendo que acceda a los recursos internos, tales como recursos compartidos de archivos, aplicaciones e impresoras. Algunos tipos de VPN requieren que la computadora externa use un cliente para acceder a la red, mientras que otras VPN utilizan SSL (Secure Sockets Layer) y pueden funcionar sin necesidad de instalar un cliente. Y algunas configuraciones de VPN pueden ofrecer estos dos métodos de conexión.
En operaciones muy pequeñas, como una oficina donde una sola persona tiene que conectarse a una computadora de la oficina desde su casa, una VPN completa puede no ser necesaria. En su lugar, una aplicación de acceso remoto al escritorio como LogMeIn o GoToMyPC puede conectar a ese usuario fuera del sitio, a la computadora de una empresa. Si las necesidades del negocio requieren múltiples conexiones remotas, sin embargo, usar una VPN completa puede ser una mejor idea.
VPN IPSec
Si un cliente está de acuerdo con los parámetros especificados por el dispositivo de VPN, el cliente puede realizar la conexión inicial, pero todavía debe autenticarse en la red antes de que pueda acceder a cualquier cosa. Por lo general, se trata de un nombre de usuario y contraseña que se ha configurado en el dispositivo VPN por sí mismo, o en la red con Microsoft Active Directory. En cualquier caso, los VPN IPSec requieren dos formas de autenticación antes de que un sistema remoto permita el acceso a la red corporativa. Y en la mayoría de los casos, la configuración del cliente remoto VPN puede ser distribuida a través de un archivo específico que se puede importar en el cliente. A continuación, el usuario puede conectarse a la VPN e ingresar su nombre de usuario y contraseña para acceder.
Algunos sistemas operativos vienen con clientes VPN IPSec ya instalados. Mac OS X, por ejemplo, tiene la capacidad de conectarse a Cisco y otros dispositivos VPN IPSec también lo presentan. Los sistemas Windows por lo general se basan en software VPN de terceros para proporcionar este servicio. Muchos de los dispositivos móviles también tienen soporte para conectividad genérica IPSec.
PPTP VPN
Aunque PPTP todavía está presente, y su dispositivo de terminación de VPN puede soportar el protocolo, es mejor mirar a IPSec o VPNs SSL (ver más abajo), ya que son más seguros.
VPNs SSL
Entonces, al usuario remoto se le preguntará por un nombre de usuario y contraseña. Una vez autenticado, el usuario puede ser dirigido a una página web que tiene un ícono para conectarse a la VPN. Al hacer clic en el ícono de descargará un pequeño applet del dispositivo VPN SSL que se ejecuta en la computadora del usuario y actúa como el cliente VPN. Esto significa que los usuarios no necesitan preinstalar el cliente como lo hacen con VPN IPSec, y no tendrán que volver a descargar elapplet cuando accedan a la VPN SSL en el futuro.
En algunos casos, este cliente es persistente, y se puede ejecutar sin necesidad de conectarse a la URL VPN SSL, pero otras implementaciones pueden requerir que el navegador funcione.
Esta forma de VPN permite una conectividad de red completa, como hace IPSec, pero puede ser más fácil de implementar para los usuarios remotos, ya que no necesitan un cliente IPSec “gordo” o la información de conexión IPSec. Por otro lado, también carece de la autenticación secundaria presente en IPSec, que puede ser una preocupación.
Comparar las opciones de VPN
Algunos dispositivos ofrecen tantas opciones de VPN IPSec y SSL, mientras que otras son estrictamente SSL o IPSec. Si el presupuesto de su negocio lo permite, es mejor comprar un dispositivo que proporcione ambos, ya que esto permitirá que una mayor variedad de tipos de dispositivos remotos se conecten a la red. Si todo lo que le preocupa es PC y Mac, entonces inclínese solo por SSL o IPSec, siempre que el proveedor soporte todas las versiones del sistema operativo en que se ejecuta.
En algunos casos, este dispositivo VPN se puede obtener por menos de 200 dólares, pero gastar un poco más en una solución más capaz probablemente lo beneficie a largo plazo, y potencialmente, reduzca el riesgo de fallas futuras en los equipos que puede afectar a la red.
Ejecución
Puede encontrar que el dispositivo elegido también funciona como un servidor de seguridad. Si ya tiene un firewall, puede utilizar este dispositivo, pero puede que tenga algunos problemas adicionales que enfrentar. Por ejemplo, si tiene una única dirección IP estática en una conexión de Internet de clase empresarial, el dispositivo VPN tendrá que estar conectado detrás de un firewall existente y la configuración se vuelve mucho más compleja. Sin embargo, si el firewall de su dispositivo VPN elegido es suficientemente capaz, puede que le resulte mejor utilizarlo en lugar del firewall – esto le ahorra el tiempo de conexión de la VPN detrás del firewall existente.
Configurar la VPN en sí es algo específico del proveedor, pero la mayoría de los dispositivos tienen una interfase de usuario basada en web que permite la configuración de las funciones tanto del firewall como de la VPN, e incluso puede tener un asistente de configuración fácil.
Una vez que su VPN está en funcionamiento, los usuarios remotos deben ser capaces de conectarse de forma segura a su red interna y utilizar todos los recursos que están disponibles como si estuvieran sentados en sus oficinas, a pesar de que puede haber miles de kilómetros de distancia.
Paul Venezia, PC World (US)