¿Qué son las Redes Privadas Virtuales (VPN)?

Con la proliferación de las conexiones a Internet cada vez más veloces, han ido aumentando los servicios que hemos podido ir disfrutando los usuarios. Cada vez es más viable realizar tareas que antes eran impensables.

Internet no es un concepto abstracto como piensan muchos. Ni mucho menos Internet es sólo Google. Internet no es más que la mayor red de datos que existe en el mundo, y es una red de redes. Es decir, es una estructura dispersa por todo el mundo, conectando cientos de miles o millares… de redes para formar una única red transitable.

Nosotros, como usuarios normales (y dejando al margen las redes móviles por simplificar), hacemos uso de esta red para poder acceder a cualquier recurso de Internet, ya sea para poder ver una página Web, para poder enviar un correo electrónico, un mensaje instantáneo, jugar, realizar videoconferencias… y lo mejor de todo, es que por lo general todo esto se lleva a cabo desde nuestra propia red doméstica (Red Privada), que a su vez está conectada a la Red de nuestro ISP (nuestro Proveedor de Internet), que a su vez está conectado y/o forma parte de lo que es Internet.

Aquí es donde quizás nace el concepto de Red Privada en contraposición de Red Pública. Desde un punto de vista amplio, nuestra propia red doméstica forma parte de Internet, siendo un extremo final de ella. Decimos que es una Red Privada porque por lo general los servicios que se encuentran en dicha red (Impresoras, Bases de Datos, Cámaras de Vigilancia, NAS…) son invisibles para cualquiera que no esté en nuestra propia Red. Los propios equipos que se encuentran en dicha Red son de hecho invisibles desde fuera de ella.

Ahora entenderemos qué tiene que ver todo esto. Así a modo de sumario vamos a ver:

• ¿Qué es una VPN?
• Usos habituales de una VPN
• Creación/conexión de una VPN
• Mitos y leyendas de las VPN

¿Qué es una VPN?

Siguiendo un poco lo que decíamos anteriormente, y antes de dar una definición “formal”, el cómo funciona Internet o cómo es posible esta separación entre Redes Privadas y Públicas, no es cosa de magia. Radica en el propio funcionamiento que rigen los protocolos de Internet. Así, cualquier dispositivo conectado a una red (siempre que sea una red IP, evidentemente), recibe una dirección que lo identifica dentro de dicha red (que llamamos Dirección IP).

Como cada dispositivo tiene una IP única, podemos comunicarnos con cualquier punto del mundo gracias a su dirección.

Tanto Internet como nuestra propia Red Privada funcionan igual, la única diferencia es que nuestra red usa unos bloques específicos IPs, llamadas Direcciones IPs Privadas. Son iguales funcionalmente al resto de direcciones IPs, lo único que las diferencia es que dichos bloques están reservados para uso exclusivo para las redes privadas, y por ello quedan fuera del espacio de direcciones accesibles de forma pública. Al contrario que sucede con cualquier otra IP que debe de ser única, como son bloques no accesibles desde fuera pueden ser reutilizados infinitas veces.

Bien, pero… ¿qué tiene que ver todo esto con las VPN? La respuesta es simple: Las redes privadas están aisladas de Internet, pero... ¿y si necesitásemos o quisiésemos poder acceder a ella de forma externa (sin estar físicamente conectados a ella)? Aquí es donde nace el concepto de Red Privada Virtual (Virtual Private Network – VPN). Podríamos definirlo simplemente como una tecnología/sistema que nos permite conectarnos de forma remota a una red privada, o extender esta más allá de sus confines locales. Es decir, nos permite conectarnos estemos donde estemos a dicha red privada, como si fuésemos un equipo local de ella, lo que nos permitiría poder usar los recursos de dicha red, o incluso unir dos redes privadas entre ellas.

Todos los equipos de una red poseen una dirección IP, y en las redes VPN sucede lo mismo. Un cliente VPN por ejemplo realiza su conexión a la red privada a través de protocolos específicos usando su IP pública, la que le asigna su ISP para poder cruzar Internet, pero a su vez, debajo de esa comunicación bidireccional entre el cliente VPN y la red privada de destino, existe otra “comunicación” debajo de dicha conexión que es la que lleva el tráfico local. De ahí que sea muy habitual usar el término de Túnel, donde la conexión VPN no sería más que un túnel creado por la conexión WAN, y debajo de dicho túnel circularía el tráfico local LAN.

Las conexiones VPN tienen además otra peculiaridad, la cual ha expandido su uso a nivel doméstico, y es que además de poder acceder a los recursos de la red local de destino, como a todos los efectos somos un “equipo más” de dicha red, podemos también hacer uso de la conexión WAN de dicha red. Esto lo veremos un poco más adelante.

No existe una tecnología VPN única. Como sucede con todas las tecnologías actuales, estas evolucionan o aparecen nuevas alternativas. A fin de cuentas, existen muchos mecanismos por los cuales podríamos crear un túnel como el que estamos hablando, las cuales casi siempre (por no decir siempre) se basan en encapsular el tráfico LAN dentro de otro protocolo superior.

Esto toma gran importancia si tenemos en cuenta un detalle que hasta ahora se ha omitido: La seguridad. Dentro de una red local, estamos expuestos a fin de cuenta a los propios dispositivos de esta, pero tenemos la seguridad de que, al estar nuestra red independizada de Internet, no estamos expuestos a ella. Pero una VPN por lo general cruza Internet, y no sería nada recomendable que los datos enviados por dicho “túnel” viajasen por internet como texto plano (sin cifrar), o incuso más importante, sin que existiesen mecanismos de autentificación entre el origen y el destino de dicho túnel. Estas dos necesidades han propiciado dicha evolución/creación de esta tecnología.

No podemos explicar todas las tecnologías VPN que existen, pero a tenor de su uso, podríamos destacar las siguientes:

• PPTP: Usa el protocolo superior GRE para crear el túnel. Su uso está muy extendido por ser una implementación muy sencilla y eficiente. Por el contrario, es un protocolo inseguro y no recomendable cuando la sensibilidad de los datos hay que tenerla en cuenta. Aunque puede usar encriptación MPPE, se ha demostrado numerosas veces que es vulnerable.

• L2TP y L2TP/IPSec: En este caso se encapsula todo L2TP en paquetes UDP. L2TP en sí mismo no posee cifrado de ningún tipo, de ahí que se use por lo general en conjunción con IPSec. IPSec por otro lado en sí mismo no es una tecnología VPN, sino un conjunto de protocolos para dotar seguridad a otros. Lo que sucede es que su uso mayoritario ha sido en redes VPN. Al contrario que con PPTP, L2TP no se ha usado tan extensamente, quizás por ser más complejo su uso, un protocolo menos eficiente… y por existir mejores alternativas. Aunque eso no significa que a día de hoy esté ni mucho menos en desuso.

• OpenVPN: Posiblemente se haya convertido en la tecnología VPN más extendida. Su alta configurabilidad le ha permitido poder usarse en prácticamente todos los escenarios posibles. Se basa en el establecimiento de túneles por medio de TLS/SSL en principio, haciendo uso de certificados digitales para ello. Esto hace más compleja su configuración inicial, pero por otro lado lo hace mucho más seguro. Posee un gran rendimiento, aunque su principal desventaja es que PPTP o L2TP son estándares, mientras que OpenVPN no lo es por sí mismo, mientras que la mayoría de dispositivos poseen soporte nativo para PPTP/L2TP, para OpenVPN suele ser necesario un cliente propio.

Usos habituales de una VPN

Hemos explicado un poco el motivo del nacimiento de las redes VPN, que a fin de cuentas radica en la necesidad de poder acceder a una red privada de forma externa. Pero esto tiene a su vez implicaciones que hacen que las redes VPN en muchos casos se usen para fines totalmente diferentes.

Hay 3 usos fundamentales por los que se crean las redes VPN:

• Acceso remoto a los recursos de una red privada
• Interconexión de dos redes privadas entre sí
• Ocultación del origen de las conexiones para el destino

Acceso remoto a los recursos de una red privada

Por lo general, tanto usuarios domésticos como pequeña y grandes empresas hacen uso de ello. Básicamente es la razón de ser de las redes VPN. En este escenario sencillamente deseamos acceder a servicios y recursos que tenemos en una red privada. Dado que la red privada es inaccesible desde fuera de ella, es necesario establecer una VPN para hacer uso de ellos como si estuviésemos físicamente en dicha red. Hay que entender que, aunque la mayoría de servicios que tenemos dentro de nuestra red pueden ser expuestos uno a uno individualmente hacia Internet, esto genera un problema de seguridad y privacidad enorme, sobre todo ciertos servicios como pudiesen ser cámaras de seguridad, servidores de bases de datos o de aplicaciones, repositorios, servidores de correo electrónico… Es por ello que, por lo general, sea muy común el uso “obligatorio” de VPN para acceder a ciertos recursos.

En este escenario un dispositivo hace de “cliente VPN” que realiza la conexión, y en el otro extremo un servidor VPN que permite establecerla. Una vez que el cliente VPN establece la conexión y es verificado por el servidor VPN, este por lo general le asignará al cliente una IP y otra configuración, y de puertas para dentro tratará la conexión VPN como si fuese un dispositivo más de su propia red local. Desde entonces, tanto el Cliente VPN como cualquier equipo de la red privada a la que se accede se tratarán como si compartiesen la misma red, al margen de que el servidor VPN esté haciendo de puente entre el cliente VPN y la red interna.

A nivel “doméstico”, por ejemplo, suele ser común el uso de VPN para acceder a servidores Multimedia o NAS que tenemos en nuestra red desde el exterior. Sí, la mayoría de ellos permiten como digo exponerlos hacia fuera, pero aun protegidos con credenciales en algunos casos, es “peligroso” de cara a la privacidad y a la seguridad. Otros ejemplos podrían incluir acceso a las impresoras, o incluso el poder hacer uso de la telefonía VoIP de nuestros domicilios.

A nivel “empresarial”, por otro lado, es extremadamente habitual los accesos remotos a equipos, accesos a las bases de datos y demás servidores. Exponer estos hacia el exterior sería algo completamente absurdo, siendo las conexiones VPN herramienta habitual diaria. No hay muchas empresas de medio o largo calado que no usen conexiones VPN para estos fines. Si la red VPN se establece y configura adecuadamente, es segura. De ahí la gran importancia de la tecnología VPN usada. Para una red doméstica donde el usuario a lo mejor desea acceder al servidor multimedia para ver una película, la seguridad que pueda darle por ejemplo PPTP puede ser más que suficiente. Pero una empresa que concede acceso a su servidor de bases de datos principal no puede permitirse crear conexiones que puedan falsearse o interceptarse bajo ninguna circunstancia, ya sea usando IPSec o certificados digitales.

Interconexión de dos redes privadas entre sí

Una extensión del primer caso, es lo que se conocen como redes VPN “site-to-site”. Vemos la enorme repercusión y usabilidad de las conexiones cliente-servidor en las redes VPN, pero a veces este modelo no es suficiente. En primer lugar, el modelo cliente-servidor no es bidireccional, el cliente puede acceder a la red privada del servidor, pero no al contrario. En segundo lugar, el modelo cliente-servidor no es lo más adecuado cuando se requiere el acceso de forma continuada y generalizado.

Es por ello que se pasa a un modelo VPN donde no existe realmente un servidor VPN centralizado o un cliente VPN como tal. En vez de establecer un túnel temporal cliente-servidor, se crea un túnel por lo general “permanente” entre dos dispositivos de red, cada uno de ellos gestionando su propia red interna, pero interconectando ambas redes entre ellos. Esto permite a las empresas “unir” dos redes privadas como si de una sola se tratase, permitiendo tanto a los dispositivos de una como a los dispositivos de otra interactuar unos con otros. Pensar por ejemplo en una empresa con oficinas en diferentes lugares donde es necesario o deseable poder tratarse todos los dispositivos de ellas como en una única red.

Por supuesto la mejor forma de hacer esto sería con infraestructuras globales propias, pero esto está al alcance tan solo de unas pocas multinacionales, mientras que las conexiones VPN site-to-site están al alcance de “cualquiera”.

De nuevo la seguridad es esencial, a nadie se le pasaría por la cabeza que el tráfico enviado/recibido por la conexión VPN no fuese fuertemente cifrado y protegido.

Ocultación del origen de las conexiones para el destino

Un efecto “indirecto” de la propia naturaleza de las redes VPN, ha hecho que a día de hoy el uso de estas se haya multiplicado en el ámbito doméstico. Y es que, por lo general, además de poder acceder a los recursos y servicios de la red local a la que nos conectamos, al tratarnos esta como un “dispositivo más” de su red, también nos hace de pasarela para el resto de Internet. Dicho de otro modo, si nuestro cliente VPN o nuestro sistema operativo se configura para usa la interfaz VPN como acceso principal a Internet, todos y cada una de las peticiones hacia la red que originemos serán enviadas al Servidor VPN en la otra parte del mundo, y este a su vez será quien nos sirva dichas peticiones, como si fuese algo así como nuestro Router remoto.

¿Qué implica esto? Bueno, quizás lo más importante y lo más directo es que el servidor VPN a su vez podría procesar cualquier petición que hiciésemos como por ejemplo acceder a la Web thepiratebay, a la web de Netflix, a la web de… y estos servidores a su vez recibirían las peticiones del usuario. Pero con una gran diferencia. Para dichos servidores, el origen de las conexiones no sería el usuario, sería el propio servidor VPN, y sería este quien a su vez devolviese las peticiones al cliente.

Muchos entienden la importancia de esto inmediatamente, y el motivo de por qué alguien podría querer usar este tipo de conexiones:

- Evasión de bloqueos, ya sean debidos al destino o al origen

Por desgracia la censura sigue siendo algo real incluso en nuestro País y en los tiempos que corren. No voy a entrar en el debate moral y ético de si las redes P2P, las webs de Enlaces y muchas otras cosas, si son buenas o malas. Pero sí puedo decir que me parece deleznable cualquier tipo de censura, y mucho más cuando esta va de la mano de multinacionales que realmente no luchan por cuestiones éticas o morales sino por cuestiones financieras. El caso es que incluso aquí en España existen páginas bloqueadas. Un ejemplo sencillo de esto es la web archifamosa de “The Pirate Bay”.

No es que los ISP sean malvados y no nos permitan acceder a ella, es que la ley les obliga a ello. Así si algún ISP detecta una petición a dicha web, simplemente lo bloquea. Quien quiera puede hacer la prueba. Pero esto no es problema para una conexión VPN. El ISP podría ver en todo caso que estamos conectándonos a un equipo remoto (el servidor VPN), pero no el tráfico encapsulado hacia él. Dicho tráfico encapsulado sería quien a su vez enviaría la petición de ver esa web al servidor VPN, y este lo resolvería como si fuese tráfico de su propia red. El servidor VPN por tanto, si no está alojado en España (siguiendo con el mismo ejemplo) no tendría problema en recibir la web citada, y a su vez devolverla al usuario, evadiendo de este modo el bloqueo.

Lo mismo podría pasar cuando el bloqueo lo impone el servidor de destino. Existen servicios que detectan a través de la IP el origen de las conexiones, y si estas no provienen de países específicos (o al revés, vienen de sitios específicos), las bloquean. De nuevo, un servidor VPN alojado en un lugar desde el cual las conexiones sí se permiten, sortearía el bloqueo.

- Evasión de restricciones impuestas

En la misma línea, sucede que muchos portales de servicios restringen sus servicios en función de la localidad del usuario. Ejemplos de esto tenemos Pandora, un servicio de música/radio en Streaming.  Al final es lo mismo, dado que el servidor VPN enmascara por así decirlo nuestra IP pública de cara a los servidores de destino usando la suya propia, y que nuestros ISP y redes españolas no pueden saber que estamos transfiriendo con el servidor VPN, podemos aprovecharlo para poder acceder en otras circunstancias a otros sitios y servicios.

Cabe destacar, aunque se hablará más adelante, que las redes VPN no son redes anónimas ni evitan la interceptación de tráfico, ni otras muchas cosas que la mayoría da por bueno. Es lo que pasa con las medias verdades, que luego cada cual saca sus propias conclusiones, y muchos usan las redes VPN sólo en la creencia de algunos “dogmas” que son falsos. Pero como digo, eso se tratará en otro momento.

¿Quieres saber cómo configurar y conectar una VPN? Sigue leyendo a continuación el post:

Cómo se crean las Redes Privadas Virtuales (VPN)