VPN

De Guifi.net - Wiki Català

Avui en dia és inimaginable una xarxa sense connexions a l'exterior. Com podem fer-ho doncs compatible la seguretat de les nostres xarxes?. Freqüentment s'associa que s'obté seguretat xifrant les comunicacions, i tot i que certament aquest és un primer pas, el que realment farà que un tram de xarxa sigui segura o no és, simplement i a més d'això, impedir l'accès a qui no n'estigui autoritzat i enregistrant l'us que s'hi fa per poder determinar que aquest ús és l'adequat. No oblidem que independentment de que la xarxa sigui segura o no, el que s'en faci l'us correcte depen més aviat de que hi accedeixi qui ho ha de fer, i ho faci com està previst sense accedir a aquella informació que no li pertoca.


A part de tot això, el cost de les comunicacions amb gran ample de banda, ja sigui via internet o sense fils, alhora que els sistemes d'encriptació i tallafocs s'ha reduït notablement els darrers anys. Combinant aquestes dues coses, és factible conseguir trams de xarxa protegits amb l'ús d'aquestes xarxes.

Si cliqueu sobre el diagrama que teniu a principi de l'article, veureu com es pot construir un túnel a través d'un tram públic de xarxa, desencriptat i que el pot fer servir tothom, i de forma simultània fer servir de aquest tram públic per a unir dues xarxes privades. Ja sigui entre sub-seus de una mateixa organització, com l'accés a la xarxa de la organització per part dels empleats o persones autoritzades des de casa o estant de viatge.

Aquesta forma d'unir xarxes s'anomena VPN (Xarxes privades virtuals). Són segures per moltíssimes raons, entre les que destacaria:

  • Els mecanismes de xifrat de les comunicacions són molt més poderosos que, per exemple, els que es fan servir al navegador quan ens hi posa la clau o el candau. Per al xifrat fa servir unes claus que a més, típicament cada hora canvien. És a dir, la potència bruta per a poder desxifrar un missatge no només és molt gran, sinò que a més, en el pitjor dels cassos, només seria vàlid per a desxifrar uns (molt pocs) missatges.
  • Quan s'estableixen aquest tipus de túnels, es fa amb qui volem i com volem, independentment de que es faci a través de trams públics, els podem configurar de manera que un tercer en una ubicació no prevista, li resulti impossible id'obtenir-ne accès.

Aquests tunels virtuals que uneixen xarxes es poden fer simplement a partir un parell de sistemes linux actuant com a tallafocs en cada tram. Per a fer-ho més senzill hi han aparells que ens els poden proporcionar ja construïts com si es tractés d'una caixa negra (endollar, configurar  i funcionar). Depenent de la seva funcionalitat i prestacions n'hi poden haver de molts preus, però avui en dia per poc més de 100 euros ja en podem trovar, com per exemple el Linksys BEFVP41 o el DLink DI804HV. És, per tant, factible a qualsevol pressupost fer comunicacions segures com les que han estat fent servir les entitats financeres o grans empreses que estan alhora protegint la seva propietat.

Finalment, com és de segur aquest mecanisme en relació a altres proteccions com ara, en el cas del WEP (tancar el punt d'accès) en la tecnologia sense fils?

Realment no té comparació. El WEP tot i que en un principi ja és una primera protecció, bàsicament el que fa és impedir que algú de forma senzilla es connecti al nostre punt d'accés, però com que per definició un punt d'accès envia senyal "per aire", si algú realment posa interés i esforç per accedir.hi, al final trovarà la manera. Si traslladem l'escenari a internet, passa el mateix. En canvi, si fem servir combinacions de tallafocs i xarxes unides per VPN, els punts d'accès poden estar perfectament oberts i accessibles a tothom en  tant en quant els ubiquem en la zona pública, i alhora podem fer-ho compatible amb ampliar la xarxa pública.

En resum, si a nivell particular, d'organització o empresa el que et preocupa és la seguretat, la bona solució no és posar WEP o 802.11x, tancant així el punt d'accès per fer-ne un ús privat, sinò posant aquestes connexions virtuals.

Mica en mica miraré d'anar explicant amb més detall com configurar aquesta mena de túnels, però el més important és segurament introduir els conceptes. Si algú vol veure això funcionant, m'ho dieu i ho podeu veure per muntat en en tram entre Mas Serí i El Serrat.

Exemples de configuracions amb Tinc i OpenVPN

Eines de l'usuari