En esta nota de aplicación te explicamos en qué se basan las redes privadas virtuales y cómo configurar cualquier router de Teltonika (RUT500, RUT900, RUT950, etc...).
Contacta con nosotros para más información: info@monolitic.com
1. NA - OpenVPN - 1608
1
Redes Privadas Virtuales
La aparición de las tecnologías de cifrado datos y autenticación de usuarios ha posibilitado
unificar varias redes locales remotas en una sola sin miedo a que los datos privados queden
expuestos en Internet. Este tipo de solución se conoce como Red Privada Virtual (VPN:
Virtual Private Network). Las VPN conectan equipos remotos, a través de la red pública
Internet, como si estuvieran en una sola red, permitiendo mantener las mismas políticas de
permisos, seguridad, intercambio de recursos, y demás funcionalidades que ofrece una red
local (LAN: Local Area Network).
A partir de aquí, el rango de aplicaciones es infinito. Pensemos en la flexibilidad laboral y la
posibilidad de trabajar desde casa conectado al puesto de trabajo mediante un escritorio
virtual. Otra aplicación común en las empresas es la conexión de las diferentes sedes como
si todos los trabajadores estuvieran alojados en un mismo edificio. Este tipo de uso se abstrae
aún más al pensar en infraestructuras de cadenas hoteleras o los edificios públicos,
centralizando toda la gestión de estos.
A nivel industrial destaca el control remoto de procesos, donde los equipos de control
situados en diferentes plantas de producción son gestionados desde un único
centro de control. En el sector de las comunicaciones, la gestión centralizada de
los diferentes repetidores y de infraestructura crítica requiere también una seguridad
especial que evite cualquier agujero de seguridad. También, en el mundo de la banca, la
comunicación de todas las sucursales y cajeros automáticos exige más que nunca
conexiones de máxima seguridad con algoritmos robustos y fiables de
autenticación y encriptación.
2. NA - OpenVPN - 1608
2
Aspectos claves de seguridad
Las VPN garantizan la seguridad en base a la identificación de usuarios, el cifrado de los
datos y la administración y actualización de claves de acceso. A partir de estos tres axiomas
aparecen algunas definiciones que conviene recordar:
- Autenticación: definición del usuario o equipo con acceso a la red.
- Integridad: garantía de que los datos recibidos no fueron modificados durante su
envío. Implica utilizar algoritmos de criptografía, denominados hash.
- Confidencialidad: garantía que los datos enviados sólo pueden ser interpretados por
el destinatario. Se consigue utilizando claves y algoritmos de cifrado.
- No repudio: todos los datos deben ir firmados, el emisor debe estar identificado.
- Control de acceso: todo usuario tiene únicamente acceso a los datos para los que
está autorizado.
- Registro: registro de la actividad, de forma que se pueda recuperar el sistema.
- Calidad del servicio: garantía del rendimiento de la red, garantizando una velocidad
de transmisión correcta.
Modelos de VPN
Se distinguen tres modelos de VPN: acceso remoto, punto a punto y VPN over LAN.
Las VPN de acceso remoto son las más conocidas. Un ejemplo habitual es el trabajador
que se conecta a los recursos de su empresa desde otro lugar, pudiendo acceder a los
mismos recursos que en su puesto de trabajo. En este caso, el servidor VPN crea el túnel
VPN una vez recibe la petición de un cliente y éste supera el proceso de
autenticación; finalizada la conexión, se destruye el túnel.
VPN de acceso remoto
3. NA - OpenVPN - 1608
3
El modelo VPN punto a punto, mantiene un túnel constante entre servidor y
cliente. Éste es el modelo típico utilizado para conectar diferentes sucursales de una
empresa con su sede central. En este caso, tanto el equipo servidor como el equipo cliente
serían dos routers.
VPN punto a punto
Las redes VPN over LAN aíslan zonas y servicios de una red de área local. El
funcionamiento es similar al de las VPN de acceso remoto, pero de forma interna.
Aplicaciones de este modelo es el incremento de seguridad en conexiones WiFi mediante
túneles cifrados y de autenticación o en redes privadas de empresa para garantizar la
privacidad de datos especialmente confidenciales como los financieros o de recursos
humanos.
Implementaciones de VPN
Para implementar una VPN es necesario disponer de un protocolo que se encargue de la
encriptación, la autenticación y/o enrutamiento. Los protocolos más conocidos son PPTP,
L2TP e IPSec. Si bien, también se puede implementar la VPN acudiendo a métodos como el
túnel GRE o a soluciones acabadas como OpenVPN. Esta última es, actualmente, la más
popular.
4. NA - OpenVPN - 1608
4
PPTP
El protocolo PPTP (Point to Point Tunneling Protocol) crea tramas basadas en el protocolo
PPP, encapsuladas en IP. La encriptación es básica, pero es fácil de usar y configurar, esto
es, de rápida implementación.
L2TP
L2TP (Layer 2 Tunneling Protocol) es similar a PPTP. De hecho, encapsula tramas PPP. Es
algo más eficiente pero también consume más recursos. No contempla cifrado, sino que se
apoya en otros protocolos como IPSec. Utiliza mensajes de control para la gestión del túnel
y mensajes de datos para transmitir la información. Este protocolo está disponible en la
mayoría de smartphones y ordenadores.
IPSec
IPSec (Internet Protocol Security) integra diferentes protocolos y estándares. A diferencia de
PPTP, dispone de algoritmos de cifrado avanzados, aunque presenta mayor complejidad de
configuración. Garantiza la privacidad, integridad y autenticación de los datos. Está en
constante evolución y mejora. Soporta dos modos: transporte y túnel. El modo transporte
crea una conexión entre dos puntos, mientras que el modo túnel puede enlazar dos redes
locales.
GRE Tunnel
Este método creado por CISCO encapsula hasta 20 protocolos de red distintos. No encripta
los datos de datos, tan sólo encapsula y envía las tramas, permitiendo establecer políticas
de routing y seguridad.
OpenVPN
OpenVPN es una aplicación de software de código abierto, muy popular, rápida, segura,
fiable y que ofrece el máximo rendimiento. Ofrece dos tipos de encriptación (Static Key y
certificados SSL/TLS) y dos modos de trabajo (TUN y TAP).
La encriptación Static Key se basa en cuatro claves compartidas previamente por ambos
nodos del túnel. Cada una de estas claves tiene una función asignada: envío, recepción,
encriptación y desencriptación. Los certificados SSL/TLS (Secure Sockets Layer / Transport
Layer Security) establecen una autenticación bidireccional, donde cada parte debe
autenticarse con su propio certificado, no sólo el cliente.
5. NA - OpenVPN - 1608
5
Si la certificación bidireccional se realiza con éxito, cada parte genera una clave de
encriptación/desencriptación aleatoria que envía al contrario. De esta forma, el par
encriptación/desencriptación es distinto en cada nodo.
El modo TUN se utiliza para routing con paquetes IP, mientras que el modo TAP es para
operar en modo bridge con tramas Ethernet.
VPN Passthrough
Otro concepto importante al seleccionar un router es VPN passthrough. Se trata de la
cualidad que dispone éste de ser transparente a una VPN. Al establecer una VPN entre dos
nodos, si uno de ellos está conectado a un router que no permita el tráfico de una VPN, no
es posible crear el túnel, pues éste bloquearía las tramas.
Ejemplo de configuración con OpenVPN
A continuación se muestra un ejemplo de configuración de una VPN con la interfaz
real de un router, en este caso, de una de las marcas punteras de Europa: Teltonika.
El RUT500 de Teltonika soporta OpenVPN, IPSec y
túneles GRE; pero, toda la gama de routers RUT9x
(RUT900/ RUT905/RUT950/RUT955) soportan no sólo
OpenVPN, IPsec y túneles GRE, sino también PPTP y L2TP.
También disponen de VPN passthrough, por tanto, son
válidos para implementar una VPN entre un nodo conectado
a un puerto LAN del router y un equipo remoto.
Teltonika RUT950
En este caso, por ser el método más extendido y rápido, se
presenta una VPN basada en OpenVPN entre el router y un
cliente Windows con encriptación Static Key.
Cabe destacar que los routers de Teltonika, como servidor OpenVPN son capaces de
establecer túneles con un máximo de 350 clientes, y soportan tanto encriptación Static Key
como SSL/TLS así como los modos TUN y TAP.
6. NA - OpenVPN - 1608
6
Configuración del cliente:
El primer paso es descargar e instalar el software desde la página web de OpenVPN, en el
siguiente enlace https://openvpn.net/index.php/open-source/downloads.html Entre las
diferentes opciones, se debe escoger la que coincida con el sistema operativo de nuestro
ordenador.
Una vez instalado, el siguiente paso es obtener la clave estática, ejecutando “Generate a
static OpenVPN key”.
Generación de la clave estática.
Esta acción debería haber generado un fichero key.txt en ‘C:Program FilesOpenVPNconfig’.
En esta misma carpeta, se debe crear el fichero ‘static.ovpn’ según el siguiente contenido:
remote 192.168.99.156
verb 3
proto udp
dev tun
ifconfig 10.8.0.6 10.8.0.5
10.8.0.5
key.txt
persist-key
persist-tun
El campo ’remote’ se refiere a la dirección IP del servidor con el que se establecerá la VPN.
El campo ‘ifconfig’ son las IP virtuales, remota y local, respectivamente. Finalmente, ‘key.txt’
apunta a la clave creada anteriormente.
7. NA - OpenVPN - 1608
7
Configuración del router como servidor:
Una vez se accede al interfaz del router a través del Navegador con la IP: 192.168.1.1 el
usuario: admin y la contraseña: admin01 se debe acceder a la pantalla OpenVPN del menú
‘Services’.
Listado de redes OpenVPN
En esta pantalla se añade una nueva configuración con el rol Server, indicando el nombre
que consideremos más apropiado. Cuando esté creado, aparecerá en el listado de Túneles,
en la parte superior. Allí, clicando en Edit, se configuran todos los parámetros. Se deberá
seleccionar autenticación Static Key, la dirección local y remota IP del túnel, la dirección IP
del cliente y la máscara de red, y añadir el fichero con la clave ‘key.txt’ creado en el cliente;
según el apartado anterior.
Pantalla de configuración.
8. NA - OpenVPN - 1608
8
Conexión del cliente al servidor:
Cuando tengamos configurados cliente y servidor ya es posible establecer la conexión desde
el cliente. Tan sólo es necesario ejecutar la aplicación ‘OpenVPN GUI’, desplegar el menú
contextual con el botón derecho y seleccionar ‘Connect’.
En este momento, ya estaremos conectados al router a través de una VPN.
No dudes en contactar con nosotros para ampliar información o para ayudarte a seleccionar
la mejor solución para tu aplicación: info@monolitic.com