Empecemos por lo básico. VPN son las siglas de Virtual Private Network, o red privada virtual que, a diferencia de otras palabras informáticas más complejas como DNS o HTTP, sí nos dan pistas bastante precisas sobre en qué consisten.
Una conexión VPN lo que te permite es crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de Internet. Es el componente “virtual” del que hablábamos antes. Obtienes las ventajas de la red local (y alguna extra), con una mayor flexibilidad, pues la conexión es a través de Internet y puede por ejemplo ser de una punta del mundo a la otra.
El uso más obvio de una conexión VPN es la interconectividad en redes que no están físicamente conectadas, como es el caso de trabajadores que están en ese momento fuera de la oficina o empresas con sucursales en varias ciudades que necesitan acceder a una única red privada.
Desde el punto de vista de la seguridad, permitir el acceso indiscriminado a la red propia de una empresa desde Internet es poco menos que una locura. Aunque el acceso esté protegido con una contraseña, podría ser capturada en un punto de acceso WiFi público o avistada por un observador malintencionado.
Por el contrario, el riesgo disminuye si el trabajador y la empresa se conectan mediante una conexión VPN. El acceso está protegido, la conexión está previsiblemente cifrada y el trabajador tiene el mismo acceso que si estuviera presencialmente ahí.
Existen diferentes tipos de conexion VPN disponibles y detallamos sus ventajas y sus inconvenientes:
PPTP
Desarrollado por un consorcio fundado por la Corporación Microsoft, el Túnel Punto a Punto crea una red privada virtual en redes dial-up, y ha sido el protocolo estándar para las VPN desde su nacimiento. El primer protocolo de VPN compatible con Windows, PPTP brinda seguridad ya que depende de varios métodos de autenticación, como MS_CHAP v2, que es el más común de ellos.
Cada dispositivo y plataforma con capacidad para VPN cuenta con PPTP de manera estándar, y como su configuración es relativamente sencilla, sigue siendo la opción principal para los proveedores de VPN y para las empresas. Además, su implementación requiere poca sobrecarga de cómputos, lo cual lo hace uno de los protocolos de VPN más rápidos disponibles actualmente.
Sin embargo, aunque ahora normalmente utiliza una encriptación de 128 bits, existen varias vulnerabilidades de seguridad, con la posibilidad de una autenticación MS-CHAP v2 no encapsulada como la más grave. Debido a esto, PPTP se puede decodificar en 2 días. Y aunque la falla ha sido emparchada por Microsoft, el mismo gigante informático recomienda a los usuarios de VPN utilizar en su lugar SSTP o L2TP.
Al ser PPTP tan poco seguro, no es una sorpresa que decodificar las comunicaciones encriptadas con PPTP sea casi el estándar en la NSA. Sin embargo, lo que es más preocupante es que esta última ha decodificado (o está en proceso de decodificar) grandes cantidades de datos más antiguos, que fueron codificados cuando el PPTP era considerado un protocolo seguro por los expertos en seguridad.
Pros
- Rápido.
- Cliente incorporado en casi todas las plataformas.
- Fácil de configurar.
Contras
- Está en peligro frente a la NSA
- No es completamente seguro
L2TP y L2TP/IPsec
El protocolo de túnel capa 2, a diferencia de otros protocolos de VPN, no proporciona privacidad ni codificación para el tráfico que pasa a través de él. Por esta razón, generalmente se implementa con un conjunto de protocolos llamados IPsec para encriptar datos antes de la transmisión, para proveer a los usuarios privacidad y seguridad. Todos los dispositivos y sistemas operativos modernos compatibles con VPN tienen L2TP/IPsec incorporado. La configuración es tan rápida y fácil como la de PPTP, pero pueden surgir problemas, ya que el protocolo utiliza el puerto UDP 500, que es un blanco que puede ser fácilmente bloqueado por cortafuegos NAT. Por eso, se puede requerir enrutamiento de puerto si se utiliza con un cortafuegos.
No hay vulnerabilidades importantes relacionadas con la encriptación por IPsec, y puede ser seguro si se implementa adecuadamente. Sin embargo, las revelaciones de Edward Snowden dan fuertes indicios de que está en riesgo frente a la NSA. John Gilmore, que es el miembro fundador y especialista en seguridad de la Electric Frontier foundation, afirma que es probable que el protocolo sea debilitado intencionalmente por la NSA. Es más, como el protocolo LT29/IPsec encapsula los datos dos veces, no es tan eficiente en comparación con las soluciones basadas en SSL, y por lo tanto es un poco más lento que otros protocolos de VPN.
Pros
- Generalmente considerado seguro.
- Disponible en todos los dispositivos y sistemas operativos modernos.
- Fácil de configurar.
Contras
- Más lento que OpenVPN.
- Puede estar en riesgo frente a la NSA.
- Puede ser problemático si se usa con cortafuegos restrictivos.
- Es probable que la NSA haya debilitado el protocolo intencionalmente.
OpenVPN
OpenVPN, una tecnología de código abierto relativamente nueva, utiliza los protocolos SSLv3/TLSv1 y biblioteca OpenSSL junto con una combinación de otras tecnologías para brindar a los usuarios una solución de VPN confiable y potente. El protocolo tiene amplia capacidad de configuración y opera mejor en un puerto UDP, pero se puede configurar para que corra en cualquier otro puerto, lo que hace que sea extremadamente difícil de bloquear para Google y otros servicios similares.
Otra ventaja genial de este protocolo es que su biblioteca OpenSSL soporta una variedad de algoritmos criptográficos, tales como 3DES, AES, Camellia, Blowfish, CAST-128 y más, aunque Blowfish o AES son utilizados casi exclusivamente por proveedores de VPN. OpenVPN viene con una encriptación Blowfish de 128 bits incorporada. Generalmente se lo considera seguro, pero también tiene algunas debilidades conocidas.
En cuanto a la encriptación, AES es la tecnología más reciente disponible y se la considera de un “estándar de oro”. Eso es simplemente porque no tiene debilidades conocidas, tanto que ha sido adoptado incluso por el gobierno de los Estados Unidos y sus agencias para proteger datos “confidenciales”. Puede manejar archivos pesados comparativamente mejor que Blowfish gracias a su tamaño de bloque de 128 bits comparado con el de 64 bits de Blowfish. Sin embargo, ambos son códigos certificados por el NIST y aunque ahora podrían ser reconocidos ampliamente como un problema, hay algunos inconvenientes con ellos, y los veremos a continuación.
En primer lugar, la rapidez con la que se desempeña el protocolo OpenVPN depende del nivel de encriptación utilizado, pero normalmente es más rápido que IPsec. Aunque ahora OpenVPN es la conexión a VPN predeterminada para la mayoría de los servicios, aún no es compatible con cualquier plataforma. Sin embargo, es compatible con la mayoría de los programas de terceros, lo cual incluye a Android y iOS.
En cuanto a la configuración, es un poco complicada en comparación con la de L2TP/IPsec y PPTP, particularmente cuando se utiliza el programa genérico OpenVPN. No solo tienes que descargar e instalar el cliente, sino otros archivos de configuración adicionales que se necesitan para los ajustes y que debemos analizar. Varios proveedores de VPN enfrentan este problema de configuración debido a la provisión de clientes de VPN personalizados.
No obstante, tomando todos los factores en cuenta y considerando la información provista por Edward Snowden, parece que OpenVPN no ha sido debilitado ni puesto en peligro por la NSA. También se considera inmune a los ataques de la NSA debido a sus intercambios de claves efímeras. Sin duda, nadie conoce la totalidad de las capacidades de la NSA, pero los matemáticos y la evidencia indican con fuerza que OpenVPN, cuando se combina con un cifrado potente, es el único protocolo de VPN que se puede considerar seguro.
Pros
- Tiene la habilidad de superar la mayoría de los cortafuegos
- Muchas opciones de configuración
- Como es de código abierto, se puede investigar fácilmente cualquier ingreso clandestino
- Es compatible con varios algoritmos de codificación
- Muy seguro
Contras
- Puede ser un poco difícil de configurar
- Requiere programas de terceros
- El soporte para computadoras de escritorio es genial, pero necesita mejoras para los dispositivos móviles
Desde Kabila Asesores recomendamos OpenVPN la cual conocemos, configuramos e instalamos en muchos de nuestros clientes.