Implementación de VPN de acceso remoto

Se explica la forma en que las implementaciones de VPN de acceso remoto con el cliente AnyConnect y SSL sin clientes admiten los requisitos empresariales. También se hace una comparación de las VPN de acceso remoto con IPsec y con SSL.

¡Bienvenido a CCNA desde Cero!: Este tema forma parte del Capítulo 7 del curso de Cisco CCNA 4, para un mejor seguimiento del curso puede ir a la sección CCNA 4 para guiarse del índice.

1. Tipos de VPN de acceso remoto

Las VPN se convirtieron en la solución lógica para la conectividad de acceso remoto por muchos motivos. Las VPN proporcionan comunicaciones seguras con derechos de acceso hechos a la medida de los usuarios individuales, como empleados, contratistas y socios. También aumentan la productividad mediante la extensión de la red y las aplicaciones empresariales de forma segura, a la vez que reducen los costos de comunicación y aumentan la flexibilidad.

Acceso remoto con VPN

Imagen 1: Acceso remoto con VPN

Básicamente, con la tecnología VPN, los empleados pueden llevar la oficina con ellos, incluido el acceso al correo electrónico y las aplicaciones de red. Las VPN también permiten que los contratistas y socios tengan acceso limitado a los servidores, a las páginas web o a los archivos específicos requeridos. Este acceso de red les permite contribuir a la productividad de la empresa sin comprometer la seguridad de la red.

Existen dos métodos principales para implementar VPN de acceso remoto:

  1. Capa de sockets seguros (SSL)
  2. Seguridad IP (IPsec)

El tipo de método VPN implementado se basa en los requisitos de acceso de los usuarios y en los procesos de TI de la organización.

Tanto la tecnología de VPN con SSL como la de VPN con IPsec ofrecen acceso a prácticamente cualquier aplicación o recurso de red. Las VPN con SSL ofrecen características como una fácil conectividad desde las computadoras de escritorio que no administra la empresa, un escaso o nulo mantenimiento del software de escritorio y portales web personalizados por el usuario al iniciar sesión.

2. VPN con SSL de Cisco

VPN con SSL del IOS de Cisco es la primera solución de VPN con SSL basada en routers del sector. Ofrece conectividad desde cualquier ubicación.

El protocolo SSL admite diversos algoritmos criptográficos para las operaciones, como la autenticación del servidor y el cliente entre sí, la transmisión de certificados y el establecimiento de claves de sesión. Las soluciones de VPN con SSL de Cisco se pueden personalizar para empresas de cualquier tamaño.

Estas soluciones ofrecen muchas características y ventajas de conectividad de acceso remoto:

  • Acceso total a la red, sin clientes y basado en Web, sin software de escritorio instalado previamente.
  • Protección contra virus, gusanos, spyware y piratas informáticos en una conexión VPN mediante la integración de la seguridad de la red y de las terminales en la plataforma VPN con SSL de Cisco.
  • Uso de un único dispositivo tanto para VPN con SSL como para VPN con IPsec.

VPN con SSL del IOS de Cisco es una tecnología que proporciona acceso remoto mediante un navegador web y el cifrado SSL nativo del navegador web. Alternativamente, puede proporcionar acceso remoto mediante el software Cisco AnyConnect Secure Mobility Client.

Soluciones VPN con SSL de Cisco

Imagen 2: Soluciones VPN con SSL de Cisco

Cisco ASA proporciona dos modos principales de implementación que se encuentran en las soluciones de VPN con SSL de Cisco, como se muestra en la ilustración:


  • Cisco AnyConnect Secure Mobility Client con SSL: requiere el cliente Cisco AnyConnect.
  • Cisco Secure Mobility Clientless SSL VPN: requiere un explorador de Internet.

Cisco ASA se debe configurar para admitir la conexión VPN con SSL.

2.1. Soluciones VPN con SSL de Cisco

Cisco AnyConnect Secure Mobility Client con SSL

Las VPN con SSL basadas en el cliente proporcionan acceso total de red del estilo de LAN para los usuarios autenticados. Sin embargo, los dispositivos remotos requieren la instalación de una aplicación cliente, como el cliente Cisco VPN o el más reciente AnyConnect.

En un Cisco ASA básico configurado para el tunneling completo y una solución de VPN con SSL de acceso remoto, los usuarios remotos utilizan Cisco AnyConnect Secure Mobility Client para establecer un túnel SSL con Cisco ASA.

Cisco AnyConnect Secure Mobility Client

Imagen 3: Cisco AnyConnect Secure Mobility Client

Después de que Cisco ASA establece la VPN con el usuario remoto, este usuario puede reenviar tráfico IP por el túnel SSL. Cisco AnyConnect Secure Mobility Client crea una interfaz de red virtual para proporcionar esta funcionalidad.

El cliente puede utilizar cualquier aplicación para acceder a cualquier recurso, sujeto a las reglas de acceso, detrás del gateway VPN de Cisco ASA.

VPN con SSL de Cisco Secure Mobility sin clientes

El modelo de implementación de VPN con SSL sin clientes permite que las empresas proporcionen acceso a los recursos corporativos incluso cuando la empresa no administra el dispositivo remoto.

En este modelo de implementación, Cisco ASA se usa como dispositivo proxy de los recursos en red. Proporciona una interfaz de portal web para que los dispositivos remotos naveguen la red mediante capacidades de reenvío de puertos.

Para esta solución, los usuarios remotos utilizan un navegador web estándar para establecer una sesión SSL con Cisco ASA. Cisco ASA presenta al usuario un portal web por el que puede acceder a los recursos internos. En la solución básica sin clientes, el usuario puede acceder solo a algunos servicios, como las aplicaciones web internas y los recursos de intercambio de archivos basados en el explorador.

3. Acceso remoto a IPsec

Muchas aplicaciones requieren la seguridad de una conexión VPN de acceso remoto con IPsec para autenticar y cifrar datos. Cuando se implementan VPN para trabajadores a distancia y sucursales pequeñas, la facilidad de implementación es fundamental si los recursos técnicos no están disponibles para la configuración de VPN en un router del sitio remoto.

Cisco Easy VPN

Imagen 4: Cisco Easy VPN

La característica de la solución Cisco Easy VPN ofrece flexibilidad, escalabilidad y facilidad de uso para las VPN con IPsec de sitio a sitio y de acceso remoto. La solución Cisco Easy VPN consta de tres componentes:

  • Cisco Easy VPN Server: es un router con IOS de Cisco o un firewall Cisco ASA que funciona como terminal de cabecera de la VPN en las VPN de sitio a sitio o de acceso remoto.
  • Cisco Easy VPN Remote: es un router con IOS de Cisco o un firewall Cisco ASA que funciona como cliente VPN remoto.
  • Cisco VPN Client: una aplicación compatible en una computadora que se utiliza para acceder a un servidor Cisco VPN.

El uso de Cisco Easy VPN Server permite que los trabajadores móviles y a distancia que utilizan un cliente VPN en sus computadoras o que utilizan Cisco Easy VPN Remote en un router perimetral puedan crear túneles IPsec seguros para acceder a la intranet de la oficina central, como se muestra en la ilustración.

3.1. Cisco Easy VPN Server

Cisco Easy VPN Server permite que los trabajadores móviles y a distancia que utilizan un software de cliente VPN en sus computadoras puedan crear túneles IPsec seguros para acceder a la intranet de la oficina central donde se ubican datos y aplicaciones fundamentales.

Permite que los routers con IOS de Cisco y los firewalls Cisco ASA funcionen como terminales de cabecera de las VPN de sitio a sitio o de acceso remoto.

Los dispositivos de oficina remota utilizan la característica Cisco Easy VPN Remote o la aplicación Cisco VPN Client para conectarse al servidor, que después inserta las políticas de seguridad definidas en el dispositivo VPN remoto. Esto asegura que esas conexiones cuenten con las políticas actualizadas antes de que se establezca la conexión.

3.2. Cisco Easy VPN Remote

Cisco Easy VPN Remote permite que los clientes de software o los routers con IOS de Cisco funcionen como clientes VPN remotos.

Estos dispositivos pueden recibir las políticas de seguridad de Cisco Easy VPN Server, lo que minimiza los requisitos de configuración de VPN en la ubicación remota.

Esta solución rentable es ideal para oficinas remotas con poco soporte de TI o para implementaciones de equipo local del cliente (CPE) a gran escala donde es poco práctico configurar varios dispositivos remotos de forma individual.

Cisco Easy VPN Server e Easy VPN Remote

Imagen 5: Cisco Easy VPN Server e Easy VPN Remote

En la ilustración, se muestran tres dispositivos de red con Easy VPN Remote habilitado, todos conectados a Easy VPN Server para obtener los parámetros de configuración.

3.3. Cisco Easy VPN Client

Cliente Cisco VPN

La herramienta Cisco VPN Client es fácil de implementar y de utilizar. Permite que las organizaciones establezcan túneles VPN de extremo a extremo cifrados para proporcionar una conectividad segura a los empleados móviles o los trabajadores a distancia.

Para iniciar una conexión IPsec mediante Cisco VPN Client, todo lo que debe hacer el usuario es abrir la ventana de Cisco VPN Client.

Software Cisco VPN Client

Imagen 6: Software Cisco VPN Client

La aplicación Cisco VPN Client indica los sitios disponibles configurados previamente. El usuario hace doble clic en un sitio para seleccionarlo, y el cliente VPN inicia la conexión IPsec. En el cuadro de diálogo de autenticación del usuario, se autentica al usuario con un nombre de usuario y una contraseña. Después de la autenticación, Cisco VPN Client muestra el estado conectado.

La mayoría de los parámetros de VPN se definen en Easy VPN Server del IOS de Cisco para simplificar la implementación. Después de que un cliente remoto inicia una conexión de túnel VPN, Cisco Easy VPN Server inserta las políticas de IPSec en el cliente, lo que minimiza los requisitos de configuración en la ubicación remota.

Esta solución simple y altamente escalable es ideal para implementaciones de acceso remoto a gran escala donde es poco práctico configurar las políticas para varias computadoras remotas de forma individual.

Además, esta arquitectura asegura que esas conexiones cuenten con las políticas de seguridad actualizadas y elimina los costos operativos asociados al mantenimiento de un método coherente de administración de políticas y claves.

4. Comparación de IPsec y SSL

Tanto la tecnología de VPN con SSL como la de IPsec ofrecen acceso a prácticamente cualquier aplicación o recurso de red, como se muestra en la siguiente tabla.

Tabla de Comparación entre IPsec y SSL.
SSLIPsec
Aplicaciones habilitadas para Web, uso compartido de archivos, correo electrónicoTodas las aplicaciones basadas en IP.
Cifrado Moderado a seguro. Longitudes de clave de 40 bits a 256 bits.Cifrado Seguro. Longitudes de clave de 56 bits a 256 bits.
Autenticación unidireccional o bidireccional.Autenticación bidireccional mediante secretos compartidos o certificados digitales.
La conexión solo se requiere un navegador web.La conexión puede resultar difícil para usuarios sin conocimientos técnicos.
Cualquier dispositivo se puede conectar.Solo se pueden conectar dispositivos específicos con una configuración específica.

Las VPN con SSL ofrecen características como una fácil conectividad desde las computadoras de escritorio que no administra la empresa, un escaso o nulo mantenimiento del software de escritorio y portales web personalizados por el usuario al iniciar sesión.

IPsec supera a SSL en muchas formas importantes:

  • La cantidad de aplicaciones que admite
  • La solidez del cifrado
  • La solidez de la autenticación
  • La seguridad general

Cuando la seguridad representa un problema, IPsec es la mejor opción. Si el soporte y la facilidad de implementación son los principales problemas, considere utilizar SSL.

IPsec y las VPN con SSL se complementan porque resuelven diferentes problemas. Según las necesidades, una organización puede implementar una o ambas. Este enfoque complementario permite que un único dispositivo, como un router ISR o un dispositivo de firewall ASA, pueda satisfacer todos los requisitos de los usuarios de acceso remoto.

Deja un Comentario