Enviar este artículo a un amigo |  Guardar este artículo en Favoritos |  Traducir esta página |  Imprimir esta página

Hoy es miércoles, 8 de septiembre de 2010

Tags Tags: Actitud Apache (I) | Todo sobre la nueva versión de Windows (III)
Estás en: www.eurosoftware-2000.com | Unix - Linux | Seguridad | VPNs en Linux (II)

| Más

VPNs en Linux (II)

Publicado el 04/12/2009

Ir al indice de temas Seguridad


OpenVPN

SeguridadOpenVPN nace, según su autor, para cubrir la necesidad de un sistema de VPN más sencillo que IPSec. Basado en OpenSSL, corre en espacio de usuario, y lo que hace es encapsular el tráfico encriptado en paquetes "normales" (es decir que no es necesario modificar el kernel). Como corre en espacio de usuario, es mucho más fácil de portar de un sistema otro, y al basarse en OpenSSL, tiene todas sus ventajas, así como sus debilidades…
La única contra significativa de este producto es que sólo es capaz de realizar un túnel en un determinado puerto, es decir que si queremos realizar múltiples conexiones a un server, tendremos que arrancar en el mismo tantos otros procesos, escuchando cada cual en su puerto… La versión 2.0 (ahora en estado RC6) promete soportar múltiples conexiones, convirtiéndola así en una buena alternativa para escenarios de acceso remoto.
El sitio del producto (http://openvpn.net/) incluye información muy detallada acerca de la instalación, configuración, y mantenimiento. Hay paquetes disponibles para algunas distros, mantenidos en forma independiente.

Subir


PoPToP

Basado en el protocolo de encripción de bajo nivel de Microsoft Point-to Point Tunneling Protocol (PPTP), esta implementación tiene sus buenos fanáticos en el mundo Linux, básicamente porque al formar parte de la suite Windows NT desde la versión 4.0, hace las cosas fáciles como solución cross-platform. Además, PPTP no sólo hace túneles IP, sino además NETBEUI e IPX. Ahora bien, así como comparte estas virtudes, también sus falencias. MSCHAP, el protocolo de encripción utilizado por PPTP, ha mostrado ser extremadamente vulnerable. Esto ha sido parcialmente arreglado por el parche MSCHAPv2, pero para varios analistas, el protocolo simplemente no es confiable… A menos que se pueda configurar a todos los clientes y servidores para utilizar MSCHAPv2, no es recomendable instalar esta solución.
Bajo Linux, PPTP se implementa como dos aplicaciones separadas, PoPToP para la parte del servidor, y PPTP Client como cliente. En www.poptop.org/ y en http://pptpclient.sourceforge.net/ se encuentra información acerca de la instalación y configuración de ambas partes de esta suite.

Subir


Otras implementaciones

Hay otras tres implementaciones de túneles seguros, y si bien dos de ellas tienen serios problemas de seguridad, vale la pena mencionarlas.
CIPE (http://sites.inka.de/sites/bigred/devel/cipe.html) y vtun (http://vtun.sourceforge.net/) son conceptualmente iguales a OpenVPN, pero a diferencia de este, utilizan sus propios sistemas criptográficos, basados en MD5 y 3DES, en implementaciones a medida. El principal "pero" que se les achaca, y de ahí su escasa difusión, es que varios criptógrafos han mostrado serias fallas en estas implementaciones, las cuales, parece, distan mucho de solucionarse. Lo mismo le pasa a nuestro tercer "invitado", tinc (http://www.tinc-vpn.org/). El principal argumento de vtun es su simpleza, y la capacidad de administrar el tráfico y la compresión de datos. Tinc hace asimismo énfasis en la facilidad con que se escala la implementación en relación al crecimiento de los requerimientos de la red. Mientras que CIPE arguye ser una implementación destinada a crear routers VPN, y ofrece una versión que corre bajo Windows. Si vale la pena correr los riesgos con éstas implementaciones, eso sólo lo pueden decidir ustedes…
En conclusión, dado lo extendida de su implementación, lo estable de su código, y su potencia, IPSec, vía FreeS/WAN u OpenS/WAN, es la implementación más recomendable para la realización de una VPN. Sin embargo, en un futuro muy cercano, OpenVPN podría plantarles una dura batalla en el mercado de los usuarios que recién se inician a las redes privadas virtuales, o que no necesitan una solución de tanta potencia para sus necesidades. Stunnel y OPenSSH ayudan de manera rápida a implementar túneles seguros a una aplicación específica (un punto-a-punto en su sentido más estricto, podríamos decir), y, si se está dispuesto a aceptar los riesgos, PoPToP es una solución rápida para conectividad cifrada entre los mundos de Linux y Windows. Espero que este breve resumen los ayude a decidir qué implementación es la más conveniente a sus necesidades, o cuando menos, les despierte la curiosidad sobre un tema que en el futuro cercano será mucho más común que hoy en día.