Cuando se conectan sucursales a la oficina principal para su uso, no todas las empresas necesitan el alcance funcional de un cliente VPN de inmediato. En este caso, las VPN de sitio a sitio son una buena alternativa y, como mínimo, igual de seguras. Aquí puede averiguar cómo funcionan las VPN sitio a sitio y en qué se diferencian de las VPN estándar.
Índice de contenidos
1 ¿Qué es una VPN sitio a sitio y en qué se diferencia de una VPN «normal»?
Con una VPN de sitio a sitio, las oficinas situadas en diferentes ubicaciones (fijas) pueden establecer conexiones seguras a través de una red pública. Para ello, las redes completas se conectan entre sí a través de un túnel OpenVPN. El punto final del túnel puede ser, por ejemplo, un router, una pasarela, un servidor Windows o incluso un cliente de software. La VPN Site-2-Site representa así una especie de extensión de la red corporativa, que permite a los empleados de las distintas sedes acceder a los recursos de otra u otras sedes.
Básicamente, existen dos tipos de VPN de sitio a sitio:
- En las VPN de sitio a sitio basadas en intranet, la empresa tiene uno o varios sitios remotos (con LAN separadas) que están conectados a través de una única red privada (WAN).
- En cambio, en una VPN Site-2-Site basada en extranet, las LAN de distintas empresas están conectadas entre sí. De este modo, pueden interactuar en un entorno de red compartido y seguro, al tiempo que evitan el acceso a su propia intranet.
Los hosts de la VPN Site-2-Site no utilizan software cliente, sino que envían y reciben tráfico TCP/IP ordinario a través de una denominada pasarela VPN. Esta pasarela también se encarga de encapsular y cifrar el tráfico de datos salientes.
Explicación: en informática, «encapsulación» se refiere a la estratificación de los paquetes.
A continuación, el tráfico se envía a través del túnel VPN por la red hasta una pasarela de destino asociada, que desencripta las cabeceras y reenvía el contenido del paquete al host de destino dentro de la red privada. Toda la información transmitida debe autenticarse en el proceso (ya sea con una firma digital o un certificado digital).
2. configurar la VPN S2S: No requiere configuración adicional
Las VPN de sitio a sitio son escalables, lo que significa que las conexiones se enrutan de forma invisible a través de la red central sin ninguna configuración adicional. Por lo tanto, básicamente es bastante fácil añadir una nueva sucursal u oficina a una red existente. Todo lo que hay que hacer es liberar los puertos utilizados por la conexión (en ambos lados) en las reglas del cortafuegos para la interfaz WAN.
El protocolo de túnel más utilizado para las VPN de sitio a sitio es IPSec ESP (Encapsulating Security Payload). Se trata de una versión «reforzada» del protocolo IP que también se encuentra en Internet y en la mayoría de las redes corporativas modernas. También se puede utilizar MPLS (Multi-Protocol Label Switching), pero no ofrece cifrado.
Para el acceso remoto, se utiliza PPTP (Point to Point Tunneling Protocol) o L2TP (Layer 2 Tunneling Protocol) a través de IPsec, que también es mucho más seguro que PPTP. En los últimos años, sin embargo, se han ido imponiendo soluciones alternativas basadas en SSL. Éstas utilizan el navegador web como cliente VPN, pero suelen requerir componentes adicionales (por ejemplo, applets Java).
Encontrará más información sobre el reenvío de DNS en las VPN sitio a sitio aquí, entre otros sitios.
Conviene saber: también puede adquirir VPNs Site-2-Site como servicio y encargar su gestión a especialistas externos. Esta variante es especialmente interesante para pequeñas y medianas empresas que sólo pueden disponer de recursos limitados en cuanto a personal y costes de productos o que simplemente no quieren ocuparse de la administración de una VPN en general.
En el siguiente vídeo también se presentan algunos tipos de VPN: