Revisión de OpenVPN: VPN para uso personal y comercial

Comencemos nuestra revisión de OpenVPN Inc. afirmando que son la compañía detrás de OpenVPN. Con más de cinco millones de descargas desde su inicio como el Proyecto OpenVPN en 2002, se ha convertido en un software VPN estándar de facto en el espacio de red de código abierto. Para aquellos que no están familiarizados con él, OpenVPN es una solución de comunicación por Internet rápida, confiable y ultra segura. Se cree ampliamente que es el mejor protocolo disponible para crear redes privadas virtuales (VPN) seguras. En consecuencia, forma la infraestructura central de los mejores servicios VPN. Además de su galardonado software de código abierto comunitario, OpenVPN Inc. ofrece su propio servicio VPN a través de Private Tunnel, que implementa sus últimas funciones de versión OpenVPN. También proporcionan una solución completa a través de varios paquetes de OpenVPN Access Server.


Revisión de OpenVPN

Antes del auge de la era de Internet, la mayoría de las empresas que querían conectar sus oficinas tenían que usar líneas T1 y arquitecturas de red troncal adicionales. Esto permitió que las LAN utilizadas por las oficinas corporativas se unieran en WAN. Esto era muy costoso, por lo tanto limitado a las grandes empresas. Luego vinieron las primeras VPN que se implementaron usando IPSec, que era muy complejo y solo lo entendían realmente los expertos en seguridad. Esta implementación limitada para aquellos que podrían pagar estos expertos de compañías como Cisco y Microsoft. Para complicar aún más esto, estas soluciones patentadas a menudo eran incompatibles entre sí..

A medida que Internet se hizo cada vez más popular, las pequeñas empresas comenzaron a usar VPN y creció la necesidad de soluciones más rápidas y baratas. Al mismo tiempo, la seguridad de Internet SSL / TSL aumentó en popularidad debido a su uso en la industria financiera. Esto dio origen a la industria comercial de VPN que proporcionaba VPN SSL que permitía a los usuarios remotos “acceder de forma segura” a las LAN de las oficinas de forma remota a través de Internet pública. Pronto, un mayor número de usuarios de Internet comenzó a buscar soluciones seguras de Internet que fueran más fáciles y rápidas de desarrollar. Al mismo tiempo, las redes basadas en Linux proporcionaron una plataforma para probar estas nuevas soluciones utilizando dispositivos de red virtual TUN / TAP.

OpenVPN: columna vertebral de la empresa OpenVPN Inc.

Un poco de historia sobre OpenVPN

A continuación hay una sinapsis de una entrevista dada por James Yonan, creador de OpenVPN sobre cómo llegó a desarrollarla..

La idea original de la necesidad de una herramienta como OpenVPN se le ocurrió mientras viajaba por el mundo y al mismo tiempo necesitaba mantener una telepresencia accesible. Mientras viajaba por Asia Central, Rusia y otras regiones que tienen un número inusual de hackers muy talentosos, comenzó a interesarse por las herramientas de seguridad de Linux utilizadas para el teletrabajo.

Al investigar estas herramientas, descubrió que básicamente había dos líneas de pensamiento con respecto a las tecnologías VPN. Los llamó los campos de “seguridad primero” y “usabilidad primero”. El campamento de seguridad de IPSec y FreeSwan creía que estaba bien dejar de lado la robustez y la facilidad de uso para lograr la seguridad adecuada. Sin embargo, esto hizo que las aplicaciones VPN IPSec fueran complejas y difíciles de implementar.

Esto llevó a los campamentos que no son IPSec (VTun, Cipe, etc.) que se engendraron porque necesitaban una VPN ahora y los tiempos de desarrollo para IPSec VPN fueron muy largos. Por lo tanto, decidieron que sería más fácil crear las suyas en lugar de luchar con las trampas de instalar IPSec. El grupo de usabilidad se concentró en el aspecto de redes de telecomunicaciones seguras. Esto condujo a la innovación utilizada por muchos proveedores de VPN hoy en día, adaptadores de red virtual “TUN” o “TAP”. Los adaptadores TAP emulan las conexiones de red ethernet utilizadas dentro de las redes de área local y los adaptadores TUN simulan las conexiones IP punto a punto y NAT utilizados por los enrutadores.

Después de considerar estos dos y el campo VPN de código abierto, decidió que el grupo de usabilidad tenía la idea correcta sobre la creación de redes y simplificar la implementación. Mientras que al mismo tiempo, SSH, SSL / TSL e IPSec tenían razón sobre el nivel de seguridad necesario para las redes privadas que operaban a través de Internet pública. Así comenzó su concepto de lo que se convertiría en OpenVPN.

Aunque IPSec era el estándar actual para la tecnología VPN en el momento en que comenzó a desarrollar su solución VPN. Decidió no hacerlo debido a su complejidad e interacción con el núcleo del núcleo. Vio un problema potencial porque generalmente se cree que la complejidad es el enemigo de la seguridad. Además, consideró esta interacción como una falla de diseño en la que una falla de un componente podría conducir a una violación de seguridad catastrófica.

En consecuencia, analizó SSL, que crecía como una alternativa a IPSec para la seguridad de Internet y se estaba utilizando para proteger sitios web. Por lo tanto, se decidió por SSL / TSL para el componente de seguridad de su nueva herramienta VPN. Como se apoyaba fuertemente en la biblioteca OpenSSL y era de código abierto, decidió llamarlo Open VPN.

Visita OpenVPN

Entonces, ¿qué hace que OpenVPN sea especial??

Es un software de código abierto

El software es gratuito y de código abierto. En segundo lugar, desde su introducción en 2002, ha cosechado una de las mayores comunidades de usuarios en el espacio de código abierto. Esta comunidad está compuesta por expertos en criptografía, aficionados y profesionales de TI de todo el mundo. En consecuencia, se ha sometido a un examen generalizado tanto de su usabilidad como de su seguridad criptográfica. Además, la biblioteca OpenSSL que forma su núcleo de seguridad criptográfica también es de código abierto y tiene más de veinte años de críticas por parte de expertos en seguridad y usuarios habituales de todo el mundo. Esto convierte a OpenVPN en una de las bibliotecas criptográficas más escrutadas que ha dado lugar a nuevos avances en la seguridad en línea que proporciona. Estos nuevos avances se incluyen en sucesivas versiones de OpenVPN.

Pruebas comunitarias y auditorías de seguridad

Para comprender qué hace que OpenVPN sea el protocolo VPN más utilizado en el mundo, debe examinar cómo aborda la seguridad de sus conexiones de red. OpenVPN Inc. utiliza una combinación de comentarios de usuarios y pruebas para mejorar constantemente el rendimiento y la seguridad en línea de su software. Además, OpenVPN se somete periódicamente a auditorías de seguridad y criptográficas de su código. Los dos últimos se realizaron a principios de 2017. Las siguientes secciones muestran la importancia de ambos para aumentar la facilidad de uso, la operabilidad y la seguridad del código OpenVPN.

Auditorías internas de OSTIF financiadas por PIA e independientes de OpenVPN 2.4

Uno fue realizado por Matthew D. Green, PhD, un criptógrafo muy respetado y profesor de la Universidad Johns Hopkins. Este estudio fue financiado por Private Internet Access y el resumen completo se puede encontrar aquí. El Fondo de Mejora de Tecnología de Código Abierto (OSTIF) realizó otra auditoría por separado utilizando ingenieros de QuarksLab, la firma con sede en París que también auditó a Veracrypt. Las preguntas planteadas por estas auditorías fueron abordadas por el informe OpenVPN Community Wiki publicado con la actualización de versión OpenVPN 2.4.2 que solucionó el más grave de estos problemas..

Participación comunitaria y difuminado para mejorar la seguridad del código

Después de las auditorías recientes y el lanzamiento de OpenVPN 2.4.2, Guido Vranken, un miembro de la comunidad decidió ejecutar un Fuzzer automatizado contra el nuevo código. Para aquellos que no saben qué es un Fuzzer, es un software automatizado que se utiliza para probar un nuevo código. El procedimiento de prueba implica proporcionar una entrada no válida, inesperada y aleatoria al código y luego observar cómo lo maneja. Fuzzing o fuzz testing, ya que comúnmente se llama monitores para las excepciones encontradas de los datos no válidos que incluyen códigos de error activados, bloqueos, fallas de las condiciones asumidas por el código pero no probadas adecuadamente, y pérdidas de memoria que rompen la seguridad. Su objetivo era demostrar que las auditorías manuales pueden no ser suficientes para probar completamente el nuevo código y que estos códigos deberían estar expuestos a algoritmos de Fussing. Descubrió algunas vulnerabilidades adicionales que las auditorías no encontraron. OpenVPN Inc. abordó esto en OpenVPN 2.4.3 y 2.3.17 junto con algunos otros problemas no relacionados.

Seguridad de OpenVPN?

El siguiente es un resumen rápido del documento técnico, OpenVPN y SSL VPN Revolution, por Charlie Hosner.

Para comprender lo que necesita una VPN segura, debe comprender algunos conceptos básicos de la criptografía. Sabemos que la mayoría de los lectores piensan que esta es una ciencia muy técnica y compleja. Lo es y, por lo tanto, es fácil equivocarse. Dicho de otra manera, como se lamentaba de Hosner: “Lo peor que la mala seguridad es la mala seguridad que crea la ilusión de una buena seguridad” Afortunadamente, los productos como OpenVPN hacen que la buena seguridad sea más fácil de implementar correctamente. El otro componente de una buena VPN es que son fáciles de implementar y proporcionan un rendimiento rápido..

Objetivos de seguridad de la información

La seguridad de la información depende en gran medida de cuatro objetivos básicos. Estos se pueden resumir de la siguiente manera:

  • Confidencialidad – se refiere a ocultar sus datos de miradas indiscretas.
  • Integridad – implica verificar que sus datos no se hayan modificado de ninguna manera durante el tránsito.
  • Autenticación – significa que puede estar seguro de que el cliente o servidor con el que se está comunicando es quien cree que es.
  • No repudio – se asegura de que la entidad con la que se está comunicando no pueda negar más tarde que envió los datos que recibió.

Para abordar adecuadamente estos objetivos, los expertos en seguridad utilizan lo que comúnmente se llaman primitivas criptográficas en la industria..

Las cuatro primitivas criptográficas centrales

  • Cifrados simétricos – son los algoritmos de bloqueo rápido que usan la misma clave para cifrar y descifrar datos que se usan para la confidencialidad de los datos.
  • Resúmenes de mensajes – son funciones matemáticas que codifican un mensaje en una longitud fija de texto cifrado que se utilizan para verificar la integridad del mensaje.
  • Cifrados asimétricos – hay otras metodologías como el cifrado de clave pública (PKI) que se pueden usar para autenticar las entidades que hablan entre sí.
  • Firmas digitales – son una combinación de resumen de mensaje y PKI que, cuando se usan juntas, proporcionan integridad del mensaje pero también no repudio.

Ahora que conocemos los objetivos de una buena seguridad de la información y las herramientas básicas que se aplican para alcanzarlos. veamos cómo se aplican para formar la base de una buena red VPN.

Autoridades de certificados de confianza

Primero, la idea de claves privadas / públicas individuales para cada host con el que desea contactar ha demostrado ser problemática, ya que necesitaría una clave pública diferente para cada host al que se conecte. Esto también generaría problemas con los sitios de comercio electrónico HTTPS. Imagine que necesita una clave separada para cada sitio web seguro que visite. Para superar estos problemas de escalabilidad que enfrentan HTTPS y TSL con respecto a PKI, se establecieron Autoridades de Certificación (CA) confiables. Las CA emiten certificados digitales, que son pequeños archivos de datos que contienen credenciales de identidad firmadas por la clave privada de la CA. La idea es que la Autoridad de Certificado Intermedio (ICA) es confiable para la CA raíz.

Jerarquía de la autoridad de certificaciónAdemás, tanto el servidor como el cliente confían en el mismo ICA. Por lo tanto, si la clave pública de ICA puede leer cualquiera de los certificados digitales, entonces es una entidad verificada de confianza para la otra. Los certificados digitales son los que proporcionan autenticidad y no repudio a sitios web, personas y dispositivos en línea.

El apretón de manos de OpenVPN

Hemos discutido el apretón de manos en muchas de nuestras revisiones de VPN. Echemos un vistazo a cómo funciona este apretón de manos en OpenVPN. Puede considerarse como cuatro mensajes entre el cliente y el servidor:

Mensaje 1

El cliente envía un mensaje de saludo para iniciar el apretón de manos. Este saludo incluye una lista de cifrados que admite el cliente y un bit aleatorio. También incluye las versiones de SSL / TSL que permitirá.

Mensaje 2

El servidor devuelve el mensaje de saludo. El saludo del servidor envía el certificado del servidor que incluye su clave pública que ha sido firmada por la clave privada de CA. También elige y envía un cifrado desde la versión SSL / TSL más alta común entre el cliente y el servidor. Luego envía el parámetro necesario para generar la mitad de la clave común del servidor (RSA, DHE, ECDHE, etc.).

Apretón de manos OpenVPNMensaje 3

El cliente utiliza la clave pública de CA para verificar la identidad del servidor y luego recupera su clave pública. El cliente luego usa la clave pública del servidor en el mensaje para obtener el parámetro del servidor para generar el secreto previo al maestro. Luego envía su certificado al servidor si se le solicita. El cliente también usa la clave pública del servidor para cifrar el secreto previo al maestro como parte del paso de Intercambio / Generación de Clave del Cliente. Luego calcula la clave maestra y cambia al cifrado elegido. A continuación, realiza un valor hash de todo el protocolo de enlace, lo cifra con el cifrado elegido y lo envía al servidor para asegurarse de que estén en la misma página con respecto a todo lo discutido durante el protocolo de enlace. El HMAC proporciona autenticación y no repudio para la prueba..

El servidor usa la clave pública de CA para autenticar al cliente. Solo el servidor tiene la clave privada necesaria para resolver el pre-maestro. Una vez que hace esto, calcula el maestro compartido. Una vez que se autentican ambos extremos, se generan cuatro claves diferentes: una clave de envío HMAC, una clave de recepción HMAC, una clave de envío cifrada / descifrada y una clave de recepción cifrada / descifrada durante el paso de generación de clave.

Mensaje 4

El servidor cambia al cifrado elegido, descifra el mensaje enviado por el cliente y verifica que estén de acuerdo. Luego crea su propia prueba de finalización HMAC y la envía al cliente. Una vez que el cliente descifra esto y ambas partes acuerdan que todo se envió y recibió correctamente, se completa el apretón de manos.

Cifrado de mensaje simétrico posterior

Todos los mensajes posteriores se cifrarán utilizando el cifrado elegido y utilizarán HMAC para la integridad de los datos, la autenticación y el no repudio. Las claves se regenerarán periódicamente a través de un canal de control separado para proporcionar un secreto directo perfecto para la conexión con un período de transición entre los cambios de clave para que cause una interferencia mínima.

Ejemplo de cifrado

Un ejemplo de un cifrado típico es DHERSAAES256SHA256. Las partes del cifrado son las siguientes:

  • DHE – significa utilizar el intercambio de claves Diffie-Hellman con claves efímeras que proporciona un secreto perfecto hacia adelante
  • RSA – usa certificados para la autenticación de entidades (debe usar al menos 2048 bits).
  • AES256 – es el cifrado simétrico utilizado para mensajes confidenciales.
  • SHA256 – representa el Código de autenticación de mensajes (HMAC) utilizado para la autenticación e integridad de mensajes.

Características de OpenVPN

El material anterior muestra cómo el software OpenVPN usa OpenSSL como base de su seguridad principal. También tiene opciones de configuración que ayudan a hacerlo más seguro contra ataques desconocidos y otros códigos para mejorar su seguridad. Específicamente, aísla el código de seguridad del código de transporte, lo que lo hace fácilmente portátil a una variedad de sistemas operativos. Otras características de OpenVPN incluyen:

  • Flexibilidad – ejecutar utilizando adaptadores TAP (puente de ethernet) y TUN (enrutamiento IP de túnel).
  • Actuación – el código se ejecuta rápidamente y no tiene límites estrictos en túneles compatibles.
  • NAT transversal – se hace más fácil.
  • Autenticación múltiple – métodos que incluyen claves precompartidas y certificados PKI con soporte perfecto de confidencialidad directa.
  • Facilidad de configuración – significa que alguien con algunos conocimientos técnicos de seguridad y redes puede instalarlo mientras mantiene un alto nivel de seguridad a diferencia de las VPN basadas en IPSec. Los usuarios novatos que deseen utilizar la última seguridad de OpenVPN Inc. OpenVPN deben consultar su túnel privado del servicio VPN. También puedes consultar nuestra lista de las mejores VPN personales.

También permite el equilibrio de carga y la conmutación por error mediante reglas simples y tablas de IP. Finalmente, OpenVPN Access Server permite una administración central, lo que lo convierte en una solución ideal para empresas de todos los tamaños..

Solución VPN completa para el individuo, PYME o empresa

OpenVPN Access Server es una solución de software VPN de túnel de red segura con todas las funciones que integra las capacidades del servidor OpenVPN, las capacidades de gestión empresarial, la interfaz de usuario simplificada OpenVPN Connect y los paquetes de software OpenVPN Client. Se puede instalar en entornos Windows, MAC, Linux, Android e iOS. Es compatible con una amplia gama de configuraciones. Esto incluye todo, desde acceso remoto seguro y granular a su propia red interna, control centralizado de una red de pequeñas empresas, hasta control detallado de dispositivos virtuales y recursos de red de nube privada..

OpenVPN Access Server consta de tres componentes principales:

  • Servidor OpenVPN – El servidor VPN es el componente subyacente en OpenVPN Access Server que hace todo el trabajo en segundo plano. Viene con una GUI web que ayuda a administrar los componentes subyacentes del servidor VPN.
  • Interfaz web de administrador / IU de administrador – La interfaz web de administración facilita la interfaz de administración en OpenVPN Access Server. En la interfaz web de administración, un administrador puede administrar opciones de VPN como enrutamiento, permisos de usuario, configuración de red del servidor, autenticación y certificados.
  • Conectar cliente – La interfaz Connect Client es un componente del servidor de acceso OpenVPN que permite a los usuarios conectarse a la VPN directamente a través de su navegador web. Connect Client también ofrece al usuario opciones para descargar sus archivos de configuración que pueden utilizarse en otros clientes OpenVPN.

Servidor de prueba gratuito

Puede descargar OpenVPN Access Server de forma gratuita. Viene con dos licencias de cliente gratuitas para fines de prueba. Esto significa que puede crear una red VPN personal segura colocando el software del servidor en la PC de su hogar y luego instalando el cliente en su computadora portátil y dispositivo móvil. Esto le permitiría acceder a su red doméstica de forma segura y remota desde ambos dispositivos.

VPN para pequeñas y medianas empresas

Si después de descargar y probar OpenVPN Access Server desea ampliarlo, se adapta fácilmente al tamaño de su empresa. Puede comprar más licencias de cliente. Cada licencia cuesta $ 15 / año y se venden en bancos de diez. Esto significa que debe comprar al menos 10 licencias por un total de $ 150. Ofrecen descuentos en términos de año extra..

Precios de licencia de cliente OpenVPNEl software del servidor también se puede ejecutar en máquinas físicas o como un dispositivo virtual para VMWare y Microsoft Hyper-V Virtualization Platform. La compra de licencias adicionales le da derecho a utilizar su sistema de tickets para preguntas o problemas de soporte relacionados específicamente con el producto OpenVPN Access Server. Luego puede acceder a su sistema de tickets de soporte a través de su sitio web para enviar un ticket de soporte. Las solicitudes presentadas en el sistema de tickets se responden con el mejor esfuerzo.

VPN para la empresa y la nube

OpenVPN Access Server es una solución VPN Cloud de túnel de red segura con todas las funciones. TI integra las capacidades del servidor OpenVPN, las capacidades de gestión empresarial, la interfaz de usuario simplificada de OpenVPN Connect y los paquetes de software OpenVPN Client juntos. Puede acomodar entornos de sistema operativo Windows, Mac y Linux. OpenVPN Access Server puede funcionar con Amazon Cloud, Microsoft Azure y Google Cloud. El costo se basa en traer su propia licencia (BYOL) + costo incurrido en la nube.

OpenVPN Connect

Instalar OpenVPN Connect

OpenVPN Connect se puede descargar de la tienda Google Play. Es la aplicación VPN oficial para Android desarrollada por OpenVPN, Inc. Es un cliente universal que sirve al conjunto completo de productos OpenVPN:

  • Túnel privado – es un servicio VPN personal ofrecido por OpenVPN Inc.
  • Servidor de acceso – proporciona una solución de servidor para todo, desde pymes hasta empresas.
  • Servidor compatible con OpenVPN – es una solución para servidores autohospedados o VPN compatibles con OpenVPN.

OpenVPN Connect funciona a la perfección en todos los dispositivos, sin importar la complejidad de su organización o su ancho de banda.

OpenVPN Connect

Usando OpenVPN Connect

Necesitará un servidor existente compatible con OpenVPN, un servidor de acceso o una suscripción de túnel privado, según el servicio que desee utilizar:

Si desea un servicio VPN personal, toque “Túnel privado”. Ingrese sus credenciales si ya tiene una cuenta. De lo contrario, puede inscribirse para su prueba gratuita de 7 días. Al tocar en “Servidor de acceso” se abrirá la pantalla de perfil. Ingrese el nombre de host, el nombre de usuario y la contraseña proporcionados por su administrador para acceder a la red VPN de su empresa. Finalmente, puede usar el “Perfil OVPN” para importar un archivo .ovpn desde el servicio compatible.

No importa qué elección haga, tendrá acceso a algunas de las mejores opciones de seguridad de OpenVPN disponibles. Todo su tráfico de Internet se cifrará de forma segura y se canalizará a su servidor de destino..

Conclusiones

OpenVPN Inc. es la compañía detrás de OpenVPN, el estándar de facto del software de código abierto para proteger sus comunicaciones de Internet. Comenzó como el proyecto OpenVPN en 2002 y ha cosechado una de las mayores comunidades de usuarios en el espacio de código abierto..

La seguridad es principalmente por medio de la biblioteca OpenSSL. Sin embargo, tiene características de seguridad adicionales a través de sus ajustes de configuración. Se puede instalar como un puente de Ethernet mediante el controlador TAP o un enrutador IP a través del controlador TUN. OpenSSL y OpenVPN son dos de los códigos de código abierto más analizados debido a su gran base de usuarios. OpenVPN también se somete a auditorías periódicas de seguridad para verificar vulnerabilidades. Cuando se encuentran, se abordan en la próxima versión.

OpenVPN también tiene una solución VPN completa a través de su servidor de acceso OpenVPN. Es una solución VPN de túnel de red segura con todas las funciones que integra las capacidades del servidor OpenVPN, la gestión empresarial, la interfaz de usuario simplificada OpenVPN Connect y los paquetes de software OpenVPN Client. Se puede instalar en dispositivos Windows, MAC, Linux, Android e iOS. OpenVPN Access Server admite una amplia gama de configuraciones. Se puede usar para proporcionar una solución VPN para individuos, pequeñas y medianas empresas o grandes empresas. También se puede ejecutar en máquinas físicas, dispositivos virtuales o en entornos de nube..

Visita OpenVPN

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map