VPN: SSL frente a IPSec
Las redes privadas virtuales (VPN) basadas en el estándar IPSec se están convirtiendo en una de las tecnologías llamadas a liderar el nuevo año. Están surgiendo, sin embargo, nuevas alternativas basadas en SSL que prometen una mayor sencillez a la hora de crear conexiones seguras por Internet.
El enorme protagonismo que tuvieron las VPN en la pasada edición de ComNet 2002 habla mucho en su favor. Y, aunque las empresas siguen dependiendo fundamentalmente de otras soluciones WAN, como Frame Relay y líneas alquiladas, la fuerza de las redes privadas virtuales es arrolladora. De hecho, dos terceras partes de las empresas de Estados Unidos dicen estar ya usándolas al menos para acceso remoto, según IDC. Las previsiones que maneja la consultora apuntan a un volumen de ingresos de 5.300 millones de dólares dentro de cinco años en concepto de servicios VPN, casi tres veces más que en la actualidad.
No es de extrañar, por tanto, que el mercado esté calentando motores, incluso que algunos hayan arrancado ya a toda velocidad, ofreciendo una amplia variedad de ofertas, de las que las soluciones basadas en el flamante estándar IP Security (IPSec) llevan clara delantera. La cada vez mayor sintonía entre los departamentos de marketing y de I+D está dando sus frutos.
Ahora, sin embargo, están apareciendo nuevas alternativas a las VPN IPSec que -basándose en el ubícuo SSL (Secure Sockets Layer), presente en la gran mayoría de navegadores Web- prometen ahorrar a los usuarios tiempo de administración al apoyarse en un hardware más fácilmente configurable y requerir poco o ningún software en las máquinas remotas. Entre los fabricantes que están impulsando estos productos se encuentran start-ups como Neoteris, NetSilica y Netilla Networks. Aunque cada uno de ellos sigue su propio enfoque, todos comparten un mismo objetivo: simplificar las VPN dando la espalda a IPSec.
Simplicidad vs. versatilidad
Como en la tecnología no existen los milagros, parte de esa simplicidad exige renunciar a algunas de las prestaciones típicas que aporta IPSec; por ejemplo, las VPN basadas en SSL no soportan las aplicaciones cliente/servidor heredadas. Pero las soluciones están en camino y, además, pueden tratar la mayor parte del tráfico que el resto de redes privadas virtuales. Y, al final, como siempre, todo dependerá de las funciones específicas de cada organización.
El protocolo SSL –utilizado en las transacciones monetarios por Internet– está presente en una gran mayoría de los PC corporativos dotados de navegadores Web. Para que estas máquinas remotas trabajen con VPN SSL no requieren ni software adicional ni mantenimiento. Además, SSL ofrece encriptación de 168 bits, la misma que la encriptación Triple-Des utilizada por IPSec.
Las nuevas firmas basan sus soluciones en la instalación de servidores entre esos PC remotos y el servidor de la LAN corporativa. Este servidor intermediario establece una conexión SSL en la máquina remota, dando a ese enlace Web un enlace al servidor de datos, haciendo accesible la red de la empresa desde Internet. El tráfico Web seguro llega a través del cortafuegos corporativo por un único puerto SSL que puede ser configurado para que sólo permita acceder al servidor intermediario.
Por el contrario, el acceso remoto IPSec requiere instalar y mantener un cliente remoto configurado con los parámetros de seguridad correctos. Estos clientes remotos y el gateway VPN han de ser integrados con el cortafuegos, complicando la tarea del personal técnico.
Esta ventaja de una mayor simplicidad jugará a favor de las soluciones SSL. No en vano, según IDC, alrededor de un 14% de los usuarios que no utilizan todavía VPN IP dicen no estar considerando las redes privadas virtuales por su falta de madurez y un 13% por su excesiva complejidad. Pero está claro que el empuje de las VPN convencionales no les va a poner fácil las cosas a SSL, que ha de luchas no sólo contra IPSec, sino también contra los productos basados en sus antecesores Layer 2 Tunneling Protocol y Point-to-Point Tunneling Protocol.
Y, aunque las ofertas basadas en SSL prometen menos administración y costes de mantenimiento, los productos no son baratos. Los dispositivos Instant Virtual Extranet de Neoteris cuestan entre 15.000 y 100.000 dólares, dependiendo del número de usuarios. Los gateways VPN parten de precios inferiores pero llegan a superarlos cuando ofrecen gran capacidad.
Servicios de terminal
Las start-ups de productos SSL admiten que –como ya se ha mencionado– no proporcionan todo lo que ofrecen las VPN IPSec. Por ejemplo, como NetSilica se basa en el protocolo HTTP seguro, su software no puede tratar aplicaciones cliente/servidor que no estén capacitadas para la Web, lo que sí hace IPSec al manejar los paquetes sobre interfaces convencionales. Según recoge Giga Information Group, otras firmas, como Netilla, aseguran que sí podrán tratar aplicaciones cliente/servidor convencionales, pero mediante desarrollo Java adicional.
Netilla describe su software como middleware análogo al de Citrix que usa las funciones de servidor de terminales de los servidores Microsoft, Unix y Linux. Netilla Service Platform utiliza SSL para conectar PC remotos a un servidor Netilla que convierte el tráfico HTTP seguro en los protocolos soportados por los servicios de terminal de los servidores corporativos.
En general, este tipo de soluciones tiene sus propios puntos fuertes y debilidades, pero parece claro que están muy bien situados para aportar a las empresas enlaces Internet seguros con los que compartir datos con los socios comerciales. Incluso allí donde ya existen VPN, pueden ser muy útiles como sistema de respaldo.
Conexiones SSL
-----------------------
Las empresas pueden simplificar la creación de enlaces Internet seguros utilizando los nuevos productos que explotan el protocolo SSL ya presente en los navegadores, sin necesidad de instalar hardware VPN IPSec.
1- Un usuario remoto teclea la URL de un servidor proxy/SSL situado tras el cortafuegos corporativo.
2- El usuario, una vez autenticado, recibe una lista de recursos disponibles.
3- El servidor SSL/proxy facilita la comunicación entre los servidores de aplicaciones y el usuario remoto.
SSL o IPSec
----------------
IPSec
Pros: Muy seguro, basado en estándares y muy adecuado para tráficos totalmente IP.
Contras: Interoperatividad incompleta, costes de mantenimiento y falta de ubicuidad.
SSL
Pros: Bajos costes de mantenimiento (ya presente en los navegadores), no requiere mantenimiento en los clientes y buena interoperatividad.
Contras: No soporta aplicaciones en tiempo real y no permite compartición de ficheros.
“Extranet instantáneas”: Otra alternativa a IPSec
------------------------------------------------------------------
Aunque algunas firmas están intentando convertir a IPSec en la tecnología dominante en el campo de las VPN, la start-up Flatrock lucha por hacerse un hueco en el mercado explotando las conexiones punto a punto de las empresas. Su router de acceso para proveedores (PAR) o su router de acceso de abonado (SAR) se instalan en cada sucursal y en la sede central de la organización para crear túneles IP capaces de soportar sesiones simultáneas entre los usuarios finales. Siguiendo este enfoque, Flatrock asegura que una empresa puede crear en muy poco tiempo conexiones con sus socios comerciales, creando lo que la firma llama una “extranet instantánea”.
A
El enorme protagonismo que tuvieron las VPN en la pasada edición de ComNet 2002 habla mucho en su favor. Y, aunque las empresas siguen dependiendo fundamentalmente de otras soluciones WAN, como Frame Relay y líneas alquiladas, la fuerza de las redes privadas virtuales es arrolladora. De hecho, dos terceras partes de las empresas de Estados Unidos dicen estar ya usándolas al menos para acceso remoto, según IDC. Las previsiones que maneja la consultora apuntan a un volumen de ingresos de 5.300 millones de dólares dentro de cinco años en concepto de servicios VPN, casi tres veces más que en la actualidad.
No es de extrañar, por tanto, que el mercado esté calentando motores, incluso que algunos hayan arrancado ya a toda velocidad, ofreciendo una amplia variedad de ofertas, de las que las soluciones basadas en el flamante estándar IP Security (IPSec) llevan clara delantera. La cada vez mayor sintonía entre los departamentos de marketing y de I+D está dando sus frutos.
Ahora, sin embargo, están apareciendo nuevas alternativas a las VPN IPSec que -basándose en el ubícuo SSL (Secure Sockets Layer), presente en la gran mayoría de navegadores Web- prometen ahorrar a los usuarios tiempo de administración al apoyarse en un hardware más fácilmente configurable y requerir poco o ningún software en las máquinas remotas. Entre los fabricantes que están impulsando estos productos se encuentran start-ups como Neoteris, NetSilica y Netilla Networks. Aunque cada uno de ellos sigue su propio enfoque, todos comparten un mismo objetivo: simplificar las VPN dando la espalda a IPSec.
Simplicidad vs. versatilidad
Como en la tecnología no existen los milagros, parte de esa simplicidad exige renunciar a algunas de las prestaciones típicas que aporta IPSec; por ejemplo, las VPN basadas en SSL no soportan las aplicaciones cliente/servidor heredadas. Pero las soluciones están en camino y, además, pueden tratar la mayor parte del tráfico que el resto de redes privadas virtuales. Y, al final, como siempre, todo dependerá de las funciones específicas de cada organización.
El protocolo SSL –utilizado en las transacciones monetarios por Internet– está presente en una gran mayoría de los PC corporativos dotados de navegadores Web. Para que estas máquinas remotas trabajen con VPN SSL no requieren ni software adicional ni mantenimiento. Además, SSL ofrece encriptación de 168 bits, la misma que la encriptación Triple-Des utilizada por IPSec.
Las nuevas firmas basan sus soluciones en la instalación de servidores entre esos PC remotos y el servidor de la LAN corporativa. Este servidor intermediario establece una conexión SSL en la máquina remota, dando a ese enlace Web un enlace al servidor de datos, haciendo accesible la red de la empresa desde Internet. El tráfico Web seguro llega a través del cortafuegos corporativo por un único puerto SSL que puede ser configurado para que sólo permita acceder al servidor intermediario.
Por el contrario, el acceso remoto IPSec requiere instalar y mantener un cliente remoto configurado con los parámetros de seguridad correctos. Estos clientes remotos y el gateway VPN han de ser integrados con el cortafuegos, complicando la tarea del personal técnico.
Esta ventaja de una mayor simplicidad jugará a favor de las soluciones SSL. No en vano, según IDC, alrededor de un 14% de los usuarios que no utilizan todavía VPN IP dicen no estar considerando las redes privadas virtuales por su falta de madurez y un 13% por su excesiva complejidad. Pero está claro que el empuje de las VPN convencionales no les va a poner fácil las cosas a SSL, que ha de luchas no sólo contra IPSec, sino también contra los productos basados en sus antecesores Layer 2 Tunneling Protocol y Point-to-Point Tunneling Protocol.
Y, aunque las ofertas basadas en SSL prometen menos administración y costes de mantenimiento, los productos no son baratos. Los dispositivos Instant Virtual Extranet de Neoteris cuestan entre 15.000 y 100.000 dólares, dependiendo del número de usuarios. Los gateways VPN parten de precios inferiores pero llegan a superarlos cuando ofrecen gran capacidad.
Servicios de terminal
Las start-ups de productos SSL admiten que –como ya se ha mencionado– no proporcionan todo lo que ofrecen las VPN IPSec. Por ejemplo, como NetSilica se basa en el protocolo HTTP seguro, su software no puede tratar aplicaciones cliente/servidor que no estén capacitadas para la Web, lo que sí hace IPSec al manejar los paquetes sobre interfaces convencionales. Según recoge Giga Information Group, otras firmas, como Netilla, aseguran que sí podrán tratar aplicaciones cliente/servidor convencionales, pero mediante desarrollo Java adicional.
Netilla describe su software como middleware análogo al de Citrix que usa las funciones de servidor de terminales de los servidores Microsoft, Unix y Linux. Netilla Service Platform utiliza SSL para conectar PC remotos a un servidor Netilla que convierte el tráfico HTTP seguro en los protocolos soportados por los servicios de terminal de los servidores corporativos.
En general, este tipo de soluciones tiene sus propios puntos fuertes y debilidades, pero parece claro que están muy bien situados para aportar a las empresas enlaces Internet seguros con los que compartir datos con los socios comerciales. Incluso allí donde ya existen VPN, pueden ser muy útiles como sistema de respaldo.
Conexiones SSL
-----------------------
Las empresas pueden simplificar la creación de enlaces Internet seguros utilizando los nuevos productos que explotan el protocolo SSL ya presente en los navegadores, sin necesidad de instalar hardware VPN IPSec.
1- Un usuario remoto teclea la URL de un servidor proxy/SSL situado tras el cortafuegos corporativo.
2- El usuario, una vez autenticado, recibe una lista de recursos disponibles.
3- El servidor SSL/proxy facilita la comunicación entre los servidores de aplicaciones y el usuario remoto.
SSL o IPSec
----------------
IPSec
Pros: Muy seguro, basado en estándares y muy adecuado para tráficos totalmente IP.
Contras: Interoperatividad incompleta, costes de mantenimiento y falta de ubicuidad.
SSL
Pros: Bajos costes de mantenimiento (ya presente en los navegadores), no requiere mantenimiento en los clientes y buena interoperatividad.
Contras: No soporta aplicaciones en tiempo real y no permite compartición de ficheros.
“Extranet instantáneas”: Otra alternativa a IPSec
------------------------------------------------------------------
Aunque algunas firmas están intentando convertir a IPSec en la tecnología dominante en el campo de las VPN, la start-up Flatrock lucha por hacerse un hueco en el mercado explotando las conexiones punto a punto de las empresas. Su router de acceso para proveedores (PAR) o su router de acceso de abonado (SAR) se instalan en cada sucursal y en la sede central de la organización para crear túneles IP capaces de soportar sesiones simultáneas entre los usuarios finales. Siguiendo este enfoque, Flatrock asegura que una empresa puede crear en muy poco tiempo conexiones con sus socios comerciales, creando lo que la firma llama una “extranet instantánea”.
A
