VPN de acceso remoto.

 
Las VPN se convirtieron en la solución lógica para la conectividad de acceso remoto por muchos motivos. Las VPN proporcionan comunicaciones seguras con derechos de acceso hechos a la medida de los usuarios individuales, como empleados, contratistas y socios. También aumentan la productividad mediante la extensión de la red y las aplicaciones empresariales de forma segura, a la vez que reducen los costos de comunicación y aumentan la flexibilidad.
Básicamente, con la tecnología VPN, los empleados pueden llevar la oficina con ellos, incluido el acceso al correo electrónico y las aplicaciones de red. Las VPN también permiten que los contratistas y socios tengan acceso limitado a los servidores, a las páginas web o a los archivos específicos requeridos.
Existen dos métodos principales para implementar VPN de acceso remoto:
Capa de sockets seguros (SSL)
Seguridad IP (IPsec)
Tanto la tecnología de VPN con SSL como la de VPN con IPsec ofrecen acceso
a prácticamente cualquier aplicación o recurso de red.
Las VPN con SSL ofrecen características como una fácil conectividad desde las computadoras de escritorio que no administra la empresa, un escaso o nulo mantenimiento del software
de escritorio y portales web personalizados por el usuario al iniciar sesión.

VPN con SSL de Cisco
VPN con SSL del IOS de Cisco es la primera solución de VPN con SSL basada en routers del sector. Ofrece conectividad desde cualquier ubicación, no solo desde los recursos administrados por las empresas, sino también desde las computadoras de los empleados, las computadoras de escritorio de los contratistas o de los socios de negocios, y los quioscos de Internet.
El protocolo SSL admite diversos algoritmos criptográficos para las operaciones, como la autenticación del servidor y el cliente entre sí, la transmisión de certificados y el establecimiento de claves de sesión. Las soluciones de VPN con SSL de Cisco se pueden personalizar para empresas de cualquier tamaño. Estas soluciones ofrecen muchas características y ventajas de conectividad de acceso remoto, incluido lo siguiente:
Acceso total a la red, sin clientes y basado en Web, sin software de escritorio instalado previamente. Esto facilita el acceso remoto personalizado según los requisitos de usuario y de seguridad, y minimiza los costos de soporte de escritorio.
Protección contra virus, gusanos, spyware y piratas informáticos en una conexión VPN mediante la integración de la seguridad de la red y de las terminales en la plataforma VPN con SSL de Cisco. Esto reduce los costos y la complejidad de la administración.
Cisco ASA proporciona dos modos principales de implementación que se encuentran en las soluciones de VPN con SSL de Cisco, como se muestra en la ilustración:
Cisco AnyConnect Secure Mobility Client con SSL: requiere el cliente Cisco AnyConnect.
Cisco Secure Mobility Clientless SSL VPN:
requiere un explorador de Internet.
Cisco ASA se debe configurar para admitir la conexión VPN con SSL

Soluciones VPN con SSL de Cisco
Cisco AnyConnect Secure Mobility Client con SSL
Las VPN con SSL basadas en el cliente proporcionan acceso total de red del estilo de LAN para los usuarios autenticados.
Sin embargo, los dispositivos remotos requieren la instalación de una aplicación cliente, como el cliente Cisco VPN o el más reciente AnyConnect, en el dispositivo para usuarios finales.
En un Cisco ASA básico configurado para el tunneling completo y una solución de VPN con SSL de acceso remoto, los usuarios remotos utilizan Cisco AnyConnect Secure Mobility Client, para establecer un túnel SSL con Cisco ASA. Después de que Cisco ASA establece la VPN con el usuario remoto, este usuario puede reenviar tráfico IP por el túnel SSL. Cisco AnyConnect Secure Mobility Client crea una interfaz de red virtual para proporcionar esta funcionalidad. El cliente puede utilizar cualquier aplicación para acceder a cualquier recurso, sujeto a las reglas de acceso, detrás del gateway VPN de Cisco ASA.
VPN con SSL de Cisco Secure Mobility sin clientes
El modelo de implementación de VPN con SSL sin clientes permite que las empresas proporcionen acceso a los recursos corporativos incluso cuando la empresa no administra el dispositivo remoto. En este modelo de implementación, Cisco ASA se usa como dispositivo proxy de los recursos en red. Proporciona una interfaz de portal web para que los dispositivos remotos naveguen la red mediante capacidades de reenvío de puertos.
En una solución de VPN con SSL básica sin clientes de Cisco ASA, los usuarios remotos utilizan un navegador web estándar para establecer una sesión SSL con Cisco ASA.
Cisco ASA presenta al usuario un portal web por el que puede acceder a los recursos internos. En la solución básica sin clientes, el usuario puede acceder solo a algunos servicios, como las aplicaciones web internas y los recursos de intercambio de archivos basados en el explorador.
Acceso remoto a IPsec
Muchas aplicaciones requieren la seguridad de una conexión VPN de acceso remoto con IPsec para autenticar y cifrar datos. Cuando se implementan VPN para trabajadores a distancia y sucursales pequeñas, la facilidad de implementación es fundamental si los recursos técnicos no están disponibles para la configuración de VPN en un router del sitio remoto.
La característica de la solución Cisco Easy VPN ofrece flexibilidad, escalabilidad y facilidad de uso para las VPN con IPsec de sitio a sitio y de acceso remoto. La solución Cisco Easy VPN consta de tres componentes:
Cisco Easy VPN Server: es un router con IOS de Cisco o un firewall Cisco ASA que funciona como terminal de cabecera de la VPN en las VPN de sitio a sitio o de acceso remoto.
Cisco Easy VPN Remote: es un router con IOS de Cisco o un firewall Cisco ASA que funciona como cliente VPN remoto.
Cisco VPN Client: una aplicación compatible en una computadora que se utiliza para acceder a un servidor Cisco VPN.

Cisco Easy VPN Server e Easy VPN Remote
Cisco Easy VPN Server permite que los trabajadores móviles y a distancia que utilizan un software de cliente VPN en sus computadoras puedan crear túneles IPsec seguros para acceder a la intranet de la oficina central donde se ubican datos y aplicaciones fundamentales. Permite que los routers con IOS de Cisco y los firewalls Cisco ASA funcionen como terminales de cabecera de las VPN de sitio a sitio o de acceso remoto. Los dispositivos de oficina remota utilizan la característica Cisco Easy VPN Remote o la aplicación Cisco VPN Client para conectarse al servidor, que después inserta las políticas de seguridad definidas en el dispositivo VPN remoto. Esto asegura que esas conexiones cuenten con las políticas actualizadas antes de que se establezca la conexión.
Cisco Easy VPN Remote
Cisco Easy VPN Remote permite que los clientes de software o los routers con IOS de Cisco funcionen como clientes VPN remotos. Estos dispositivos pueden recibir las políticas de seguridad de Cisco Easy VPN Server, lo que minimiza los requisitos de configuración de VPN en la ubicación remota.

Cisco Easy VPN Client
La herramienta Cisco VPN Client es fácil de implementar y de utilizar. Permite que las organizaciones establezcan túneles VPN de extremo a extremo cifrados para proporcionar una conectividad segura a los empleados móviles o los trabajadores a distancia.
Para iniciar una conexión IPsec mediante Cisco VPN Client, todo lo que debe hacer el usuario es abrir la ventana de Cisco VPN Client, la cual se muestra en la figura. La aplicación Cisco VPN Client indica los sitios disponibles configurados previamente. El usuario hace doble clic en un sitio para seleccionarlo, y el cliente VPN inicia la conexión IPsec. En el cuadro de diálogo de autenticación del usuario, se autentica al usuario con un nombre de usuario y una contraseña, como se muestra en la figura . Después de la autenticación, Cisco VPN Client muestra el estado conectado.
La mayoría de los parámetros de VPN se definen en Easy VPN Server del IOS de Cisco para simplificar la implementación. Después de que un cliente remoto inicia una conexión de túnel VPN, Cisco Easy VPN Server inserta las políticas de IPSec en el cliente, lo que minimiza los requisitos de configuración en la ubicación remota.

Comparación de IPsec y SSL
Tanto la tecnología de VPN con SSL como la de IPsec ofrecen acceso a prácticamente cualquier aplicación o recurso de red, como se muestra en la ilustración. Las VPN con SSL ofrecen características como una fácil conectividad desde las computadoras de escritorio que no administra la empresa, un escaso o nulo mantenimiento del software de escritorio y portales web personalizados por el usuario al iniciar sesión.
IPsec supera a SSL en muchas formas importantes:
La cantidad de aplicaciones que admite
La solidez del cifrado
La solidez de la autenticación
La seguridad general
Cuando la seguridad representa un problema, IPsec es la mejor opción. Si el soporte y la facilidad de implementación son los principales problemas, considere utilizar SSL.
IPsec y las VPN con SSL se complementan porque resuelven diferentes problemas. Según las necesidades, una organización puede implementar una o ambas. Este enfoque complementario permite que un único dispositivo, como un router ISR o un dispositivo de firewall ASA, pueda satisfacer todos los requisitos de los usuarios de acceso remoto. Si bien muchas soluciones ofrecen IPsec o SSL, las soluciones de VPN de acceso remoto de Cisco ofrecen ambas tecnologías integradas en una única plataforma con administración unificada. Si se ofrece tanto la tecnología IPsec como SSL, las organizaciones pueden personalizar su VPN de acceso remoto sin ningún hardware adicional ni complejidad de administración.

Yousef Sarhan

Alumno del curso: Cisco CCNA R&S

Centro: Tajamar

Año: 2015-2016