fbpx
Wikipedia

OpenVPN

Octubre 28, 2021

OpenVPN es una herramienta de conectividad basada en software libre: SSL (Secure Sockets Layer), VPN Virtual Private Network (red virtual privada). OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. Resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas IEEE 802.11) y soporta una amplia configuración, entre ellas balanceo de cargas. Está publicado bajo la licencia GPL, de software libre.

OpenVPN
Información general
Tipo de programa VPN
Autor James Yonan
Desarrollador OpenVPN project / OpenVPN Technologies, Inc.
Lanzamiento inicial 1.1.0 / 10 de abril de 2002[1]
Licencia GNU GPL
Información técnica
Programado en C
Plataformas admitidas Multiplataforma
Versiones
Última versión estable 2.5.2 (info) 21 de abril de 2021 (6 meses y 7 días)
Archivos legibles
  • OpenVPN profile (var.1)
  • OpenVPN profile (with rem)
  • OpenVPN profile (var.2)
Archivos editables
  • OpenVPN profile (var.1)
  • OpenVPN profile (with rem)
  • OpenVPN profile (var.2)
Enlaces
Sitio web oficial
Repositorio de código
[editar datos en Wikidata]

Introducción

OpenVPN es un producto de software creado por James Yonan en el año 2001 y que ha estado mejorando desde entonces.

Ofrece una combinación de seguridad, facilidad de uso y riqueza de características.[2]

Es una herramienta multiplataforma que ha simplificado la configuración de VPN's frente a otras más antiguas y difíciles de configurar como IPsec y haciéndola más accesible para gente inexperta en este tipo de tecnología.

Por ejemplo: Supóngase que se necesita comunicar diferentes sucursales de una organización. A continuación se verá algunas soluciones que se han surgido para satisfacerla.

En el pasado las comunicaciones se realizaban por correo, teléfono o fax. Hoy en día hay factores que hacen necesaria la implementación de soluciones más sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo.

Dichos factores son:

  • La aceleración de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rápido de información.
  • Muchas organizaciones tienen varias sucursales en diferentes ubicaciones así como también tele trabajadores remotos desde sus casas, quienes necesitan intercambiar información sin ninguna demora, como si estuvieran físicamente juntos.
  • La necesidad de las redes de computación de cumplir altos estándares de seguridad que aseguren la autenticidad, integridad y disponibilidad.

Líneas dedicadas

Las necesidades antes mencionadas se satisfacían en principio colocando líneas dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de simple acceso a Internet. Se necesitaban conexiones físicas reales necesitando de un proveedor en cada sitio resultando en una solo línea de comunicación entre dos partes.

Por ejemplo, para una red de 4 nodos en la cual se buscase comunicación de todos con todos, habría que tender 6 líneas de comunicación.

Además, para dar conectividad a trabajadores domésticos o viajeros se implementaban servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante conexiones de módem o líneas ISDN2 donde la organización se comportaba como un proveedor de Internet (ISP).

 

Acceso mediante Internet y VPNs

Con la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologías. Surgió entonces la idea de utilizar a Internet como medio de comunicación entre los diferentes sitios de la organización. Surge así la idea de las VPN's que son “Virtuales” y “Privadas”. Virtuales porque no son redes directas reales entre partes, sino solo conexiones virtuales provistas mediante software sobre la red Internet. Además son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilización de modernos mecanismos de criptografía. Retomando el ejemplo anterior de una organización con cuatro sitios, ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis dedicadas de antes. Además los que se conectan temporalmente, también lo hacen mediante una conexión a Internet, mucho más barata y accesible desde muchos lugares, como por ejemplo de cibercafés.

Usos de las VPN

 

Las VPN se usan generalmente para:

  • Conexión entre diversos puntos de una organización a través de Internet.
  • Conexiones de trabajadores domésticos o de campo con IP dinámicas.
  • Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta información en forma privada pero no se les debe dar acceso al resto de la red interna.
  • Además brinda una excelente fiabilidad en la comunicación de usuarios móviles así como también al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada.

Implementación de VPN

Supóngase que se tienen dos sitios de una organización conectados a Internet. En ambos se contará con un equipo de conexión a la red de redes que cumplirá la función de ruteo hacia y desde Internet así como firewall para protegerse de accesos no autorizados.

El software VPN debe estar instalado en ese firewall o algún dispositivo protegido por él. Uno de los sitios será el “servidor” y será el sitio que contiene la información y sistemas que queremos compartir, mientras que al otro lo llamaremos “cliente”. El servidor será entonces configurado para aceptar conexiones desde el cliente (y viceversa).

Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real, pero aún no es una VPN dado que falta implementar la “privacidad”, pues cualquier nodo intermedio de Internet puede leer la información que viaja sin protección.

Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas dueños de esas claves puedan acceder a los datos enviados por la VPN.

Todos los datos enviados del punto A al B deberán ser cifrados antes de ser enviados y descifrados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final.

Uno de los factores que diferencian a una implementación de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red.

Protocolos

Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red. Implementaciones de capa 2 - Enlace

El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no-IP, como por ejemplo IPX4 de Netware Systems.

Teóricamente, las tecnologías implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayoría de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexión con el otro lado del túnel.

Algunos ejemplos de estas tecnologías:

  • PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una extensión de PPP.

Su principal desventaja es que solo puede establecer un túnel por vez entre pares.

  • L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente, ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultáneas.
  • L2TP: Layer 2 Tunneling Protocol. Usado por Cisco y otros fabricantes, se ha convertido en estándar de la industria y combina las ventajas de PPTP y L2F y además eliminando las desventajas. Dado que esta solución no ofrece mecanismos de seguridad, para su uso deberá ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI.
  • L2Sec: Layer 2 Security Protocol. Desarrollado para proveer una solución con seguridad, utiliza para ellos SSL/TLS aunque impone una sobrecarga bastante grande en la comunicación para lograrlo.

Implementaciones de capa 3 - Red

IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar para protocolos no-IP como IPX o mensajes de broadcast.

Su principal ventaja es que puede ser usado prácticamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware.

Existen dos métodos principales usados por IPsec:

  • Modo Túnel. Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a través del túnel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final. En este modo, se protegen las direcciones IP de emisor y receptor así como el resto de los metadatos de los paquetes.
  • Modo Transporte. Solo la carga útil (payload) de la sección de datos es cifrada y encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso anterior, pero se exponen los metadatos a posibles atacantes que podrán ver quien se está comunicando con quien.

Implementaciones de capa 7 - Aplicación

También es posible establecer túneles en la capa de aplicación y de hecho son ampliamente utilizados hoy en día siendo algunas aproximaciones soluciones como SSL6 y TLS7. El usuario accede a la VPN de la organización a través de un navegador iniciando la conexión en un sitio web seguro (HTTPS-Secured website).

Además, existen otros productos como SSL-Explorer y otros que ofrecen una combinación de gran flexibilidad, seguridad fuerte y facilidad de configuración.

La seguridad es lograda mediante cifrado del tráfico usando mecanismos SSL/TLS, los cuales han probado ser muy seguros y están siendo constantemente sometidos a mejoras y pruebas.

Implementación OpenVPN

OpenVPN es una solución para VPN que implementa conexiones de capa 2 o 3, usa los estándares de la industria SSL/TLS para cifrar y combina todas las características mencionadas anteriormente en las otras soluciones VPN.

Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones. Sin embargo, en sistemas basados en Linux se puede implementar sin problemas mediante software.

Seguridad en VPN

 

Para cifrar datos se usan Passwords o claves de cifrado.

OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA.

Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando el mecanismo conocido como “clave simétrica” y dicha clave debe ser instalada en todas las máquinas que tomarán parte en la conexión VPN.

Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con la ventaja de la simplicidad.

Se verá a continuación ese método y otros que aportan mayor seguridad y facilidad de distribución.

Cifrado simétrico y claves pre-compartidas

Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como un integrante más de la VPN.

Es por ello que mecanismos como IPsec cambian las claves cada cierto período, asociando a las mismas ciertos períodos de validez, llamados “tiempo de vida” o “lifetime”. Una buena combinación de tiempo de vida y longitud de la clave asegurarán que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y aún no ha sido terminado.

Cifrado asimétrico con SSL/TLS

SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los integrantes de la VPN.

Cada integrante tiene dos claves, una pública y otra privada.

La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a la contraparte quien conoce la clave privada que es imprescindible para descifrar los datos. El par de clave pública/privada es generado a partir de algoritmos matemáticos que aseguran que solo con la clave privada es posible leer los datos originales. Si se encontrase un modo de quebrar la seguridad que estos algoritmos proporcionan, todas las conexiones cuya integridad depende de ellos se verían potencialmente comprometidas.

 

Es de destacar que la clave privada debe permanecer secreta mientras que la clave pública debe ser intercambiada para que nos puedan enviar mensajes.

Seguridad SSL/TLS

Las bibliotecas SSL/TLS son parte del software OpenSSL que viene instalado en cualquier sistema moderno e implementa mecanismos de cifrado y autenticación basados en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN. Con un certificado firmado, el dueño del mismo es capaz de demostrar su identidad a todos aquellos que confíen en la autoridad certificadora que lo emitió.

Ventajas y Desventajas de OpenVPN

Ventajas OpenVPN provee seguridad, estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec.

Además ofrece otras ventajas comparativas, como son:

  • Posibilidad de implementar dos modos básicos, en capa 2 o capa 3, con lo que se logran túneles capaces de enviar información en otros protocolos no-IP como IPX o broadcast (NETBIOS).
  • Protección de los usuarios remotos. Una vez que OpenVPN ha establecido un túnel el firewall de la organización protegerá el laptop remoto aun cuando no es un equipo de la red local. Por otra parte, sólo un puerto de red podrá ser abierto hacia la red local por el remoto asegurando protección en ambos sentidos.
  • Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall. Si se posee acceso a Internet y se puede acceder a sitios HTTPS, entonces un túnel OpenVPN debería funcionar sin ningún problema.
  • Soporte para proxy. Funciona a través de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y además como servidor (simplemente esperando conexiones entrantes) o como cliente (iniciando conexiones).
  • Sólo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o UDP.
  • Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de firewall muy específicas.
  • Todos los conceptos de reglas, restricciones, reenvío y NAT10 pueden ser usados en túneles OpenVPN.
  • Alta flexibilidad y posibilidades de extensión mediante scripting. OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque.
  • Soporte transparente para IPs dinámicas. Se elimina la necesidad de usar direcciones IP estáticas en ambos lados del túnel.
  • Ningún problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas.
  • Instalación sencilla en cualquier plataforma. Tanto la instalación como su uso son muy simples.
  • Diseño modular. Se basa en un excelente diseño modular con un alto grado de simplicidad tanto en seguridad como red.

Desventajas

  • No tiene compatibilidad con IPsec que es el actual estándar para soluciones VPN.
  • Carencia de masa crítica.[cita requerida]
  • Todavía son, relativamente pocos, los que saben cómo usar OpenVPN.[3]
  • Inicialmente, solo se podía conectar con clientes en computadoras de escritorio o portátiles. Sin embargo, actualmente se cuenta con clientes para IOS y Android.[4]​ y hay compañías desarrollando dispositivos con clientes OpenVPN integrados y haciendo llegar esta tecnología a otros ámbitos como la automatización industrial, como Panasonic.[5]

Comparación entre OpenVPN e IPsec VPN

IPsec OpenVPN
Estándar de la tecnología VPN No compatible con IPsec
Plataformas de hardware (dispositivos, aparatos) Solo en computadoras, pero en todos los sistemas operativos disponibles, ya comienzan a encontrarse dispositivos que cuentan con OpenVPN
Tecnología conocida y probada Probada y sigue en crecimiento
Muchas interfaces gráficas disponibles Sin interfaces gráficas profesionales, aunque ya existen algunos proyectos prometedores
Modificación compleja del stack IP Tecnología sencilla
Necesidad de modificaciones críticas al kernel Interfaces de red y paquetes estandarizados
Necesidad de permisos de administrador Ejecuta en el espacio del usuario y puede ser chroot-ed
Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre sí Tecnologías de cifrado estandarizadas
Configuración compleja y tecnología compleja Facilidad, buena estructuración, tecnología modular y facilidad de configuración
Curva de aprendizaje muy pronunciada Fácil de aprender e implementar (incluso para principiantes)
Necesidad de uso de múltiples puertos y protocolos en el firewall Utiliza sólo un puerto del firewall
Problemas con direcciones dinámicas en ambas puntas Trabaja con servidores de nombres dinámicos como DynDNS o No-IP con reconexiones rápidas y transparentes
Problemas de seguridad de las tecnologías IPsec SSL/TLS como estándar de criptografía
Control de tráfico (Traffic shaping)
Velocidad (más de 20 Mbps en máquinas de 1Ghz)
Compatibilidad con firewall y proxies
Ningún problema con NAT (ambos lados puede ser redes utilizando NAT)
Posibilidades para road warriors

Bibliografía

  • OpenVPN: Building and Integrating Virtual Private Networks – Markus Feilner – ISBN 1-904811-85
  • Sito web de OpenVPN.
  • Configurar Servidor y cliente OpenVPN en un EdgeRouter
  • OpenVPN vs IKEv2 vs PPTP vs L2TP/IPSec.

En Linux:

  • /usr/share/doc/openvpn
  • man openvpn

Referencias

  1. SourceForge.net - OpenVPN: openvpn-announce
  2. «Vpn como configurar». 
  3. Internet gratis Android, Netfree. «Como conectar Open VPN en Android». Consultado el 1 de junio de 2018. 
  4. «Funcionamiento y configuración de OpenVPN en dispositivos móviles (Android e iOS) - El Androide Feliz». El Androide Feliz. 27 de marzo de 2017. Consultado el 27 de marzo de 2017. 
  5. Panasonic

Enlaces externos

  •   Wikilibros alberga un libro o manual sobre OpenVPN.
  • Sitio web oficial de OpenVPN
  •   Datos: Q509075
  •   Multimedia: OpenVPN
  •   Libros y manuales: OpenVPN

Octubre 28, 2021
openvpn, herramienta, conectividad, basada, software, libre, secure, sockets, layer, virtual, private, network, virtual, privada, ofrece, conectividad, punto, punto, validación, jerárquica, usuarios, host, conectados, remotamente, resulta, buena, opción, tecno. OpenVPN es una herramienta de conectividad basada en software libre SSL Secure Sockets Layer VPN Virtual Private Network red virtual privada OpenVPN ofrece conectividad punto a punto con validacion jerarquica de usuarios y host conectados remotamente Resulta una muy buena opcion en tecnologias Wi Fi redes inalambricas IEEE 802 11 y soporta una amplia configuracion entre ellas balanceo de cargas Esta publicado bajo la licencia GPL de software libre OpenVPNInformacion generalTipo de programaVPNAutorJames YonanDesarrolladorOpenVPN project OpenVPN Technologies Inc Lanzamiento inicial1 1 0 10 de abril de 2002 1 LicenciaGNU GPLInformacion tecnicaProgramado enCPlataformas admitidasMultiplataformaVersionesUltima version estable2 5 2 info 21 de abril de 2021 6 meses y 7 dias Archivos legiblesOpenVPN profile var 1 OpenVPN profile with rem OpenVPN profile var 2 Archivos editablesOpenVPN profile var 1 OpenVPN profile with rem OpenVPN profile var 2 EnlacesSitio web oficial Repositorio de codigo editar datos en Wikidata Indice 1 Introduccion 2 Usos de las VPN 3 Implementacion de VPN 4 Protocolos 5 Seguridad en VPN 6 Ventajas y Desventajas de OpenVPN 7 Comparacion entre OpenVPN e IPsec VPN 8 Bibliografia 9 Referencias 10 Enlaces externosIntroduccion EditarOpenVPN es un producto de software creado por James Yonan en el ano 2001 y que ha estado mejorando desde entonces Ofrece una combinacion de seguridad facilidad de uso y riqueza de caracteristicas 2 Es una herramienta multiplataforma que ha simplificado la configuracion de VPN s frente a otras mas antiguas y dificiles de configurar como IPsec y haciendola mas accesible para gente inexperta en este tipo de tecnologia Por ejemplo Supongase que se necesita comunicar diferentes sucursales de una organizacion A continuacion se vera algunas soluciones que se han surgido para satisfacerla En el pasado las comunicaciones se realizaban por correo telefono o fax Hoy en dia hay factores que hacen necesaria la implementacion de soluciones mas sofisticadas de conectividad entre las oficinas de las organizaciones a lo largo del mundo Dichos factores son La aceleracion de los procesos de negocios y su consecuente aumento en la necesidad de intercambio flexible y rapido de informacion Muchas organizaciones tienen varias sucursales en diferentes ubicaciones asi como tambien tele trabajadores remotos desde sus casas quienes necesitan intercambiar informacion sin ninguna demora como si estuvieran fisicamente juntos La necesidad de las redes de computacion de cumplir altos estandares de seguridad que aseguren la autenticidad integridad y disponibilidad Lineas dedicadasLas necesidades antes mencionadas se satisfacian en principio colocando lineas dedicadas entre las diferentes ubicaciones remotas a un costo mucho mayor que el de simple acceso a Internet Se necesitaban conexiones fisicas reales necesitando de un proveedor en cada sitio resultando en una solo linea de comunicacion entre dos partes Por ejemplo para una red de 4 nodos en la cual se buscase comunicacion de todos con todos habria que tender 6 lineas de comunicacion Ademas para dar conectividad a trabajadores domesticos o viajeros se implementaban servicios RAS1 para aquellos que necesitaban conectarse temporalmente mediante conexiones de modem o lineas ISDN2 donde la organizacion se comportaba como un proveedor de Internet ISP Acceso mediante Internet y VPNsCon la llegada de Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologias Surgio entonces la idea de utilizar a Internet como medio de comunicacion entre los diferentes sitios de la organizacion Surge asi la idea de las VPN s que son Virtuales y Privadas Virtuales porque no son redes directas reales entre partes sino solo conexiones virtuales provistas mediante software sobre la red Internet Ademas son privadas porque solo la gente debidamente autorizada puede leer los datos transferidos por este tipo de red logrando la seguridad mediante la utilizacion de modernos mecanismos de criptografia Retomando el ejemplo anterior de una organizacion con cuatro sitios ahora solo necesitamos cuatro conexiones a Internet en lugar de las seis dedicadas de antes Ademas los que se conectan temporalmente tambien lo hacen mediante una conexion a Internet mucho mas barata y accesible desde muchos lugares como por ejemplo de cibercafes Usos de las VPN Editar Las VPN se usan generalmente para Conexion entre diversos puntos de una organizacion a traves de Internet Conexiones de trabajadores domesticos o de campo con IP dinamicas Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacion en forma privada pero no se les debe dar acceso al resto de la red interna Ademas brinda una excelente fiabilidad en la comunicacion de usuarios moviles asi como tambien al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada Implementacion de VPN EditarSupongase que se tienen dos sitios de una organizacion conectados a Internet En ambos se contara con un equipo de conexion a la red de redes que cumplira la funcion de ruteo hacia y desde Internet asi como firewall para protegerse de accesos no autorizados El software VPN debe estar instalado en ese firewall o algun dispositivo protegido por el Uno de los sitios sera el servidor y sera el sitio que contiene la informacion y sistemas que queremos compartir mientras que al otro lo llamaremos cliente El servidor sera entonces configurado para aceptar conexiones desde el cliente y viceversa Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero aun no es una VPN dado que falta implementar la privacidad pues cualquier nodo intermedio de Internet puede leer la informacion que viaja sin proteccion Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas duenos de esas claves puedan acceder a los datos enviados por la VPN Todos los datos enviados del punto A al B deberan ser cifrados antes de ser enviados y descifrados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final Uno de los factores que diferencian a una implementacion de VPN de otra son los mecanismos que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red Protocolos EditarLas soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI de red Implementaciones de capa 2 EnlaceEl encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias sobre protocolos no IP como por ejemplo IPX4 de Netware Systems Teoricamente las tecnologias implementadas en capa 2 pueden tunelizar cualquier tipo de paquetes y en la mayoria de los casos lo que se hace es establecer un dispositivo virtual PPP5 con el cual se establece la conexion con el otro lado del tunel Algunos ejemplos de estas tecnologias PPTP Point to Point Tunneling Protocol Desarrollado por Microsoft es una extension de PPP Su principal desventaja es que solo puede establecer un tunel por vez entre pares L2F Layer 2 Forwarding Desarrollado por la empresa Cisco principalmente ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones simultaneas L2TP Layer 2 Tunneling Protocol Usado por Cisco y otros fabricantes se ha convertido en estandar de la industria y combina las ventajas de PPTP y L2F y ademas eliminando las desventajas Dado que esta solucion no ofrece mecanismos de seguridad para su uso debera ser combinada con otros mecanismos generalmente implementados en capa 3 del modelo OSI L2Sec Layer 2 Security Protocol Desarrollado para proveer una solucion con seguridad utiliza para ellos SSL TLS aunque impone una sobrecarga bastante grande en la comunicacion para lograrlo Implementaciones de capa 3 RedIPsec es la tecnologia mas aceptada en este punto y fue desarrollada como un estandar de seguridad de Internet en capa 3 IPsec se puede utilizar para encapsular cualquier trafico de capa 3 pero no el trafico de capas inferiores por lo que no se podra utilizar para protocolos no IP como IPX o mensajes de broadcast Su principal ventaja es que puede ser usado practicamente en cualquier plataforma existiendo una gran variedad de soluciones tanto de software como de hardware Existen dos metodos principales usados por IPsec Modo Tunel Todos los paquetes IP son encapsulados en un nuevo paquete y enviados a traves del tunel siendo desempaquetados en el otro extremo y posteriormente dirigidos a su destinatario final En este modo se protegen las direcciones IP de emisor y receptor asi como el resto de los metadatos de los paquetes Modo Transporte Solo la carga util payload de la seccion de datos es cifrada y encapsulada La sobrecarga entonces es sensiblemente menor que en el caso anterior pero se exponen los metadatos a posibles atacantes que podran ver quien se esta comunicando con quien Implementaciones de capa 7 AplicacionTambien es posible establecer tuneles en la capa de aplicacion y de hecho son ampliamente utilizados hoy en dia siendo algunas aproximaciones soluciones como SSL6 y TLS7 El usuario accede a la VPN de la organizacion a traves de un navegador iniciando la conexion en un sitio web seguro HTTPS Secured website Ademas existen otros productos como SSL Explorer y otros que ofrecen una combinacion de gran flexibilidad seguridad fuerte y facilidad de configuracion La seguridad es lograda mediante cifrado del trafico usando mecanismos SSL TLS los cuales han probado ser muy seguros y estan siendo constantemente sometidos a mejoras y pruebas Implementacion OpenVPNOpenVPN es una solucion para VPN que implementa conexiones de capa 2 o 3 usa los estandares de la industria SSL TLS para cifrar y combina todas las caracteristicas mencionadas anteriormente en las otras soluciones VPN Su principal desventaja por el momento es que hay muy pocos fabricantes de hardware que lo integren en sus soluciones Sin embargo en sistemas basados en Linux se puede implementar sin problemas mediante software Seguridad en VPN Editar Para cifrar datos se usan Passwords o claves de cifrado OpenVPN tiene dos modos considerados seguros uno basado en claves estaticas pre compartidas y otro en SSL TLS usando certificados y claves RSA Cuando ambos lados usan la misma clave para cifrar y descifrar los datos estamos usando el mecanismo conocido como clave simetrica y dicha clave debe ser instalada en todas las maquinas que tomaran parte en la conexion VPN Si bien SSL TLS claves RSA es por lejos la opcion mas segura las claves estaticas cuentan con la ventaja de la simplicidad Se vera a continuacion ese metodo y otros que aportan mayor seguridad y facilidad de distribucion Cifrado simetrico y claves pre compartidasCualquiera que posea la clave podra descifrar el trafico por lo que si un atacante la obtuviese comprometeria el trafico completo de la organizacion ya que tomaria parte como un integrante mas de la VPN Es por ello que mecanismos como IPsec cambian las claves cada cierto periodo asociando a las mismas ciertos periodos de validez llamados tiempo de vida o lifetime Una buena combinacion de tiempo de vida y longitud de la clave aseguraran que un atacante no pueda descifrar la clave a tiempo haciendo que cuando finalmente la obtenga porque lo hara ya no le sirva por estar fuera de vigencia IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y aun no ha sido terminado Cifrado asimetrico con SSL TLSSSL TLS usa una de las mejores tecnologias de cifrado para asegurar la identidad de los integrantes de la VPN Cada integrante tiene dos claves una publica y otra privada La publica es distribuida y usada por cualquiera para cifrar los datos que seran enviados a la contraparte quien conoce la clave privada que es imprescindible para descifrar los datos El par de clave publica privada es generado a partir de algoritmos matematicos que aseguran que solo con la clave privada es posible leer los datos originales Si se encontrase un modo de quebrar la seguridad que estos algoritmos proporcionan todas las conexiones cuya integridad depende de ellos se verian potencialmente comprometidas Es de destacar que la clave privada debe permanecer secreta mientras que la clave publica debe ser intercambiada para que nos puedan enviar mensajes Seguridad SSL TLSLas bibliotecas SSL TLS son parte del software OpenSSL que viene instalado en cualquier sistema moderno e implementa mecanismos de cifrado y autenticacion basados en certificados Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque tambien podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN Con un certificado firmado el dueno del mismo es capaz de demostrar su identidad a todos aquellos que confien en la autoridad certificadora que lo emitio Ventajas y Desventajas de OpenVPN EditarVentajas OpenVPN provee seguridad estabilidad y comprobados mecanismos de cifrado sin sufrir la complejidad de otras soluciones VPN como las de IPsec Ademas ofrece otras ventajas comparativas como son Posibilidad de implementar dos modos basicos en capa 2 o capa 3 con lo que se logran tuneles capaces de enviar informacion en otros protocolos no IP como IPX o broadcast NETBIOS Proteccion de los usuarios remotos Una vez que OpenVPN ha establecido un tunel el firewall de la organizacion protegera el laptop remoto aun cuando no es un equipo de la red local Por otra parte solo un puerto de red podra ser abierto hacia la red local por el remoto asegurando proteccion en ambos sentidos Conexiones OpenVPN pueden ser realizadas a traves de casi cualquier firewall Si se posee acceso a Internet y se puede acceder a sitios HTTPS entonces un tunel OpenVPN deberia funcionar sin ningun problema Soporte para proxy Funciona a traves de proxy y puede ser configurado para ejecutar como un servicio TCP o UDP y ademas como servidor simplemente esperando conexiones entrantes o como cliente iniciando conexiones Solo un puerto en el firewall debe ser abierto para permitir conexiones dado que desde OpenVPN 2 0 se permiten multiples conexiones en el mismo puerto TCP o UDP Las interfaces virtuales tun0 tun1 etc permiten la implementacion de reglas de firewall muy especificas Todos los conceptos de reglas restricciones reenvio y NAT10 pueden ser usados en tuneles OpenVPN Alta flexibilidad y posibilidades de extension mediante scripting OpenVPN ofrece numerosos puntos para ejecutar scripts individuales durante su arranque Soporte transparente para IPs dinamicas Se elimina la necesidad de usar direcciones IP estaticas en ambos lados del tunel Ningun problema con NAT Tanto los clientes como el servidor pueden estar en la red usando solamente IPs privadas Instalacion sencilla en cualquier plataforma Tanto la instalacion como su uso son muy simples Diseno modular Se basa en un excelente diseno modular con un alto grado de simplicidad tanto en seguridad como red Desventajas No tiene compatibilidad con IPsec que es el actual estandar para soluciones VPN Carencia de masa critica cita requerida Todavia son relativamente pocos los que saben como usar OpenVPN 3 Inicialmente solo se podia conectar con clientes en computadoras de escritorio o portatiles Sin embargo actualmente se cuenta con clientes para IOS y Android 4 y hay companias desarrollando dispositivos con clientes OpenVPN integrados y haciendo llegar esta tecnologia a otros ambitos como la automatizacion industrial como Panasonic 5 Comparacion entre OpenVPN e IPsec VPN EditarIPsec OpenVPNEstandar de la tecnologia VPN No compatible con IPsecPlataformas de hardware dispositivos aparatos Solo en computadoras pero en todos los sistemas operativos disponibles ya comienzan a encontrarse dispositivos que cuentan con OpenVPNTecnologia conocida y probada Probada y sigue en crecimientoMuchas interfaces graficas disponibles Sin interfaces graficas profesionales aunque ya existen algunos proyectos prometedoresModificacion compleja del stack IP Tecnologia sencillaNecesidad de modificaciones criticas al kernel Interfaces de red y paquetes estandarizadosNecesidad de permisos de administrador Ejecuta en el espacio del usuario y puede ser chroot edDiferentes implementaciones de distintos proveedores pueden ser incompatibles entre si Tecnologias de cifrado estandarizadasConfiguracion compleja y tecnologia compleja Facilidad buena estructuracion tecnologia modular y facilidad de configuracionCurva de aprendizaje muy pronunciada Facil de aprender e implementar incluso para principiantes Necesidad de uso de multiples puertos y protocolos en el firewall Utiliza solo un puerto del firewallProblemas con direcciones dinamicas en ambas puntas Trabaja con servidores de nombres dinamicos como DynDNS o No IP con reconexiones rapidas y transparentesProblemas de seguridad de las tecnologias IPsec SSL TLS como estandar de criptografiaControl de trafico Traffic shaping Velocidad mas de 20 Mbps en maquinas de 1Ghz Compatibilidad con firewall y proxiesNingun problema con NAT ambos lados puede ser redes utilizando NAT Posibilidades para road warriorsBibliografia EditarOpenVPN Building and Integrating Virtual Private Networks Markus Feilner ISBN 1 904811 85 Sito web de OpenVPN Sitio web de Ubuntu Configurar Servidor y cliente OpenVPN en un EdgeRouter OpenVPN COMO OpenVPN vs IKEv2 vs PPTP vs L2TP IPSec En Linux usr share doc openvpn man openvpnReferencias Editar SourceForge net OpenVPN openvpn announce Vpn como configurar Internet gratis Android Netfree Como conectar Open VPN en Android Consultado el 1 de junio de 2018 Funcionamiento y configuracion de OpenVPN en dispositivos moviles Android e iOS El Androide Feliz El Androide Feliz 27 de marzo de 2017 Consultado el 27 de marzo de 2017 PanasonicEnlaces externos Editar Wikilibros alberga un libro o manual sobre OpenVPN Sitio web oficial de OpenVPN Datos Q509075 Multimedia OpenVPN Libros y manuales OpenVPN Obtenido de https es wikipedia org w index php title OpenVPN amp oldid 138878394, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos