MPLS COMO TECNOLOGÍA PARA OPTIMIZAR EL ANCHO DE BANDA DE LAS REDES PRIVADAS VIRTUALES (VPN). RESUMEN

Transcripción

1 MPLS COMO TECNOLOGÍA PARA OPTIMIZAR EL ANCHO DE BANDA DE LAS REDES Manuel Suárez Gutiérrez RESUMEN Esté artículo, tiene como objetivo realizar una comparación, entre las diferentes tecnologías existentes para optimización del ancho de banda en las Redes Privadas Virtuales (VPN), poniendo énfasis en el Multiprotocolo de Conmutación de Etiquetas (MPLS), el cual permite la implementación de Calidad en el Servicio (QoS), ingeniería de tráfico, así como también, que las redes no necesitan estar conectadas a Internet para acceder a la VPN, entre otras características. ABSTRACT This article, have the purpose to make a comparison between the different technologies available for optimization of bandwidth in the Virtual Private Network (VPN), with an emphasis on Multiprotocol Label Switch (MPLS), which allows the implementation of Quality of Service (QoS), traffic engineering, as well as, the networks do not need to be connected to the Internet for access to the VPN, among other features. 1

2 Introducción La necesidad de comunicar 2 o más equipos separados geográficamente se hizo indispensable, por lo que se empezó a utilizar el protocolo TCP/IP, en el cual la seguridad no fue su principal característica, dado que cumplía con su propósito esencial, el compartir información entre académicos e investigadores (Huston, 1998). Poco tiempo después de que se empezó a utilizar el protocolo TCP/IP, se vio la necesidad de enfocarse en la seguridad orientada al intercambio de información, dado que las empresas lo utilizaban como una herramienta primordial para realizar sus operaciones, por lo que se desarrollaron mecanismos de seguridad para otorgar confidencialidad e integridad a la información. Uno de los mecanismos de seguridad desarrollados fué el uso de las Redes Privadas Virtuales (VPN), las cuales en su concepto más básico consisten en establecer túneles de seguridad para la comunicación entre dos puntos geográficamente separados. Hoy en día, existen diferentes protocolos de seguridad utilizados por las VPN s, tales como son: PPTP (Protocolo de Túneles Punto a Punto), L2TP (Protocolo de Túneles de Capa 2), IPSec (Seguridad del Protocolo de Internet) y MPLS (Multiprotocolo de Conmutación de Etiquetas). Éste artículo pretende enfocarse específicamente a MPLS, el cual va a ser analizado y comparado ante PPTP, L2TP e IPSec, dado que junto con MPLS son los protocolos de relevancia hoy en día. 2

3 Qué es una VPN? Una VPN, por su acrónimo en ingles Virtual Private Network (Red Privada Virtual), es una red creada dentro de otra red, lo cual se realiza generalmente mediante la Internet, por lo que se hace necesario que los requerimientos de seguridad sean de alto nivel e importancia (Huston, 1998). Una VPN puede ser construida entre: Dos sistemas finales o entre dos organizaciones Varios sistemas finales sin una organización simple Múltiples organizaciones a través de la Internet entre aplicaciones individuales. La VPN para transmitir datos de manera privada, lo que hace es utilizar la infraestructura existente para las telecomunicaciones públicas, lo cual garantiza la privacidad de los datos que son transmitidos por la red, mediante el uso de "túneles de seguridad" a través de Internet (Ibíd, 1998). De esta manera, se puede crear una red entre dispositivos de cómputo, localizados geográficamente distantes, teniendo como único requisito que cada uno de ellos tenga conexión a Internet, para poder ingresar a la VPN. Una de las características más importantes de las redes virtuales privadas es el garantizar la seguridad de las comunicaciones, mediante la autenticación de las sesiones cliente, integridad de los datos y la confidencialidad en los mismos (Bush, 2003). Es por ello, que el acceso es controlado para permitir sólo las conexiones de una comunidad de interés definida o por usuarios autentificados para su acceso (Cisco Systems, 2002); en otras palabras, una VPN es una red privada construida fuera de la infraestructura de la red pública, tal como en la Internet. 3

4 Las conexiones VPN permiten a los usuarios que trabajen desde su casa o estén de viaje, obteniendo un acceso remoto al servidor de su organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del usuario, la VPN es una conexión punto a punto entre el equipo y el servidor VPN. La infraestructura exacta de la red compartida o pública es irrelevante, ya que parece como si los datos se enviaran a través de un vínculo privado dedicado. Las conexiones VPN también permiten a las organizaciones disponer de conexiones ruteadas con otras organizaciones a través de una red pública como Internet, a la vez que mantienen la seguridad de las comunicaciones. Una conexión VPN ruteadas a través de Internet funciona lógicamente como un vínculo WAN, por su acrónimo en ingles de Wide Area Network (Red de Área Extensa), dedicado. Tipos de VPN s Una de las principales cualidades que poseen las VPN s es la capacidad de realizar conexiones remotas, lo cual, permite que los usuarios se enlacen desde lugares geográficamente distantes, mediante una conexión segura a la red local, obteniendo con esto, los mismos beneficios que si se conectarán directamente a la red local como los demás usuarios. Los tipos de conexiones realizadas por las VPN son dos: las de tipo Servidor Servidor y Cliente Servidor (Huston, 1998); las cuales se explican a continuación: Servidor Servidor: Consta de al menos 2 servidores, los cuales se enlazan entre sí a través de una VPN permanentemente para el intercambio de 4

5 información segura entre ellos. En la Figura 1, se ilustra este tipo de conexión. Figura 1. Esquema de una VPN Servidor Servidor. Cliente Servidor: Consta de un servidor y al menos un cliente. Este tipo de conexión consiste en permitir a los clientes de la VPN, acceder a los recursos ubicados en la red local de manera segura. En la Figura 2, se ilustra este tipo de conexión. Figura 2. Esquema de una VPN Cliente Servidor. 5

6 Tunneling El Tunneling, es un canal por el cual viajan los paquetes de datos, van cifrados; para posteriormente, ser descifrados por el usuario que esté autorizado para leer su contenido. El Tunneling, es uno de los métodos más utilizados para construir las VPN (Hamzeh, 1999). Los mecanismos para realizar el tunneling más comunes: GRE (Generic Routing Encapsulation) Tunneling entre el origen y el router destino. Router a router L2PT PPTP El Tunneling, abarca todo el proceso de encapsulación, enrutamiento y desencapsulación, en el cual envuelve, o encapsula, el paquete original dentro de un paquete nuevo, por lo que este paquete puede contener nueva información de direccionamiento y enrutamiento, que le permite viajar por una red. Se puede decir que el túnel, en el cual viajan los paquetes, es la ruta de acceso lógica de los datos. Para las partes origen y destino, el túnel suele ser transparente y aparece simplemente como otra conexión punto a punto en la ruta de acceso de red. Es por ello, que los paquetes encapsulados viajan por la red dentro del túnel. Tecnologías utilizadas para la optimización del ancho de banda en las VPN s PPTP (Protocolo de Túneles Punto a Punto). Protocolo desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics conocidas colectivamente como PPTP Forum, para implementar VPN (Hamzeh, 1999). 6

7 Los túneles por PPTP, son creados por los siguientes pasos (Ibíd., pág. 41): 1. El cliente PPTP se conecta a su Proveedor de Servicios de Internet (ISP), por medio de una conexión tradicional por MODEM o ISDN(Integrated Services Digital Network) por sus siglas en inglés; Red Digital de Servicios Integrados) 2. El PPTP crea una conexión de control TCP (Transmission Control Protocol) por sus siglas en inglés; (Protocolo de Control de Transmisión) entre el cliente VPN y el servidor VPN para establecer el túnel, utilizando el puerto 1723 para estas conexiones. Algunas características de PPTP son las siguientes (Ibíd., pág. 10): Soporta dos tipos de flujo de información, los cuales son transmitidos una vez que se estableció el túnel VPN. Estos tipos de flujo de información son mencionados a continuación (Ibíd., pág. 10): o Control. Son mensajes utilizados para administrar y escuchar eventualmente las caídas de la conexión de la VPN o Datos. Estos paquetes pasan a través del túnel, de o desde el cliente VPN Sólo se puede utilizar para las conexiones VPN de router a router, siempre y cuando ejecuten Windows Server 2003, Windows 2000 Server o Windows NT Server 4.0, teniendo en cuenta que deben de tener habilitados los servicios de enrutamiento y acceso remoto (RRAS) PPTP no requiere una infraestructura de claves públicas (PKI) para emitir certificados de equipo. Mediante el cifrado, las conexiones VPN basadas en PPTP proporcionan confidencialidad de datos. Los datos capturados no se pueden interpretar sin la clave de cifrado. Sin embargo, las conexiones VPN basadas en PPTP no proporcionan integridad de datos ni autenticación del origen de datos (Ibíd., pág. 54). 7

8 En la actualidad no se utiliza PPTP y fue sustituido por L2TP e IPSec, debido a que la IETF (Internet Engineering Task Force por sus siglas en inglés; Grupo de Trabajo en Ingeniería de Internet) nunca lo ratificó como estándar, dado que era vulnerable y no se podía utilizar donde la privacidad de los datos fuera primordial. Dicha vulnerabilidad fue causada primordialmente por errores de diseño en la criptografía del Protocolo Ligero de Autenticación Extensible (LEAP) de Cisco, en la Versión 2 del Protocolo de Autenticación por Reto de Microsoft (MS- CHAPv2) y por las limitaciones de longitud de clave del Protocolo Punto a Punto de Cifrado de Microsoft (MPPE) (Ibíd., pág. 54). L2TP (Protocolo de Túneles de Capa 2). Creado por el IETF como un estándar que sustituiría a los protocolos PPTP y L2F, (Layer 2 Forwarding por sus siglas en inglés; Reenvío de Capa 2) con la finalidad de corregir las deficiencias de estos protocolos y establecerse como un estándar aprobado por el IETF. L2TP es un protocolo de túnel de Internet normalizado que proporciona encapsulación para enviar tramas del Protocolo punto a punto (PPP) a través de medios orientados a paquetes. Así mismo, permite el cifrado del tráfico IP y lo envía a través de cualquier medio compatible con entrega de datagramas 1 punto a punto, como IP (Townsley, 1999). Los túneles L2TP se crean encapsulando tramas L2TP en paquetes de tipo Protocolo de Datagramas de Usuario (UDP). Dicho protocolo encapsula la información en un paquete IP por lo que las direcciones de origen y destino definen los extremos del túnel. Además, se puede utilizar IPSec sobre el paquete creado con la finalidad de agregar mayor protección a la información (Ibíd., pág. 9). 1 Datagrama: Paquete de datos transmitido en una conexión de red. 8

9 La implementación del protocolo L2PT de Microsoft utiliza el cifrado de seguridad del protocolo de Internet (IPSec) para proteger el flujo de datos desde el cliente de VPN al servidor VPN. El modo de túnel IPSec permite el cifrado de los paquetes IP y su encapsulación en un encabezado IP que se envía a través de una red IP de empresa o una red IP pública, como Internet (Ibíd., pág. 71). L2TP utiliza PPP para proporcionar acceso telefónico (dial-up) que puede ser dirigido a través de un túnel a través de IP hasta un punto determinado, así mismo, define su propio protocolo para el establecimiento de túneles, basado en L2F. El transporte de L2TP está definido para una gran variedad de tipos de paquetes, incluyendo X.25, Frame Relay y ATM (Ibíd., pág. 69). L2TP sólo se puede utilizar con routers que ejecuten los sistemas operativos Windows Server 2003 o Windows 2000 Server. Si se utilizan los dos tipos de routers, es necesaria una infraestructura de claves públicas (PKI, Public Key Infrastructure, por sus siglas en inglés) que emita certificados de equipo a todos ellos. Los routers que ejecutan sistemas operativos Windows Server 2003 admiten una clave única previamente compartida que esté configurada en el router de respuesta y en todos los de llamada. Las conexiones VPN L2TP a través de IPSec proporcionan confidencialidad e integridad de datos, así como autenticación en el origen de los mismos. IPSec (Seguridad del Protocolo de Internet) IPSec, provee seguridad en la capa de red del modelo OSI, para el Internet, el cual fue estandarizado por la IETF; así mismo, provee flexibilidad la cual no es posible a niveles de abstracción de una capa superior o una inferior, sin embargo, la seguridad puede ser configurada de punto a punto (protegiendo el tráfico entre los dos hosts), de router a router (protegiendo el tráfico que pasa sobre un enlace 9

10 particular), de extremo a extremo (protegiendo el tráfico que pasa entre una red segura vía por una insegura) (Kent, 2005). Para proveer seguridad, IPSec se basa en el concepto de encapsulación de datagramas, el cual tiene como objetivo insertar paquetes protegidos criptográficamente en la capa de red, haciendo que la encriptación sea transparente para cualquier nodo intermediario que deba procesar los encabezados de los paquetes para enrutarlos (Ibíd., pág. 7). Los paquetes de salida, son encapsulados, cifrados y autentificados, antes de ser enviados por la red; mientras que los paquetes de entrada son verificados, descifrados y desencapsulados inmediatamente al momento de ser recibidos (Ibíd., pág. 9). El proceso mediante el cual IPSec determina qué debe hacer cuando un paquete llega a la red es el siguiente (Ibíd., pág. 9): Como primer filtro, verifica que el paquete esté protegido, en caso de que no lo esté lo rechaza tal como lo hacen los firewalls En caso de que el paquete esté encapsulado bajo un protocolo de seguridad, desencapsula el paquete y verifica la clave sea la correcta Si la clave es la correcta, se acepta el paquete. Por otro lado, el proceso utilizado para enviar un paquete mediante IPSec, es el siguiente (Ibíd., pág. 50): Verifica que exista una asociación de seguridad que deba ser aplicada al paquete a enviar, si la hay debe elegir la adecuada En caso de que no exista una asociación de seguridad, reenvía el paquete a alguna interfase de la red, donde es eliminado o se queda esperando hasta que se disponga de una asociación de seguridad. 10

11 Este protocolo de seguridad, se originó apartir del desarrollo del Protocolo de Internet versión 6 (IPv6), el cual es la última versión del protocolo IP; su principal característica es el manejo de direcciones de 128 bits, lo cual supera las direcciones de 32 bits del Protocolo de Internet versión 4 (IPv4) (Ibíd., pág. 9). Dicha tecnología se desarrolló debido a que hoy en día, se encuentran asignadas 2/3 del total de direcciones que proporciona IPv4, con IPv6 se pretende manejar que cada dispositivo de red tenga una dirección IP diferente (en todo el mundo), esto gracias a los trillones de direcciones que proporcionan 128 bits. IPSec empezó como una extensión de IPv6, pero ya que cubría las necesidades de un gran número de clientes, se implantó en parte para IPv4. La característica más importante de IPSec es la posibilidad de cifrar los datos transmitidos. El motivo principal por el cual se empezó a utilizar el modo de túnel IPSec es por la interoperabilidad que tiene con otros routers, puertas de enlace o sistemas finales que no son compatibles con los túneles de VPN L2TP a través de IPSec o PPTP. Algunas de las principales desventajas del protocolo IPSec basado en IPv6 son (Ibíd., pág. 95): Protocolo complejo (Muchas características y opciones) Configuración complicada Requiere de configuración en el cliente. MPLS (Multiprotocolo de Conmutación de Etiquetas) Protocolo estandarizado por la IETF, tiene la característica de reenviar paquetes a través de una red usando información contenida en etiquetas añadidas a los paquetes IP; así mismo, utiliza RSVP (Resource Reservation Protocol) por sus 11

12 siglas en inglés; (Protocolo para la Reservación de Recursos), como protocolo de señalización para la reserva de recursos (Rosen, 2001). MPLS, reduce significativamente el procesamiento de paquetes que se requiere cada vez que un paquete ingresa a un router en la red, esto mejora el desempeño de dichos dispositivos y del desempeño de la red en general. Su principal objetivo es crear redes flexibles y escalables con un incremento en el desempeño y la escalabilidad. Esto lo logra mediante la ingeniería de tráfico, y su soporte de VPN, el cual ofrece calidad de servicio (QoS), con múltiples clases de servicio (CoS) (Ibíd., pág. 9). Las principales características de MPLS (Guichard, 2003): Se configura a través de una red privada Permite garantizar latencias bajas y reducir la pérdida de paquetes Integridad y confidencialidad de datos por VRF Permite implementar CoS y QoS Las VPN basadas en MPLS permiten compartir un único acceso a Internet entre todas las redes. No es necesario que las redes estén conectadas a Internet para acceder a la VPN No requiere por parte del cliente ningún software o hardware especifico. La ingeniería de tráfico, se refiere a la habilidad de definir rutas dinámicamente y planear la asignación de recursos con base en la demanda, así como optimizar el uso de la red. MPLS facilita la asignación de recursos en las redes para balancear la carga dependiendo de la demanda y proporciona diferentes niveles de soporte dependiendo de las demandas de tráfico de los usuarios (Xipeng, 2000). El protocolo IP provee una forma primitiva de Ingeniería de Tráfico al igual que el protocolo del Camino Más Corto Primero (OSPF) que permite a los routers cambiar la ruta de los paquetes cuando sea necesario para balancear la carga. Sin 12

13 embargo, esto no es suficiente ya que este tipo de ruteo dinámico puede llevar a congestionar la red y no soporta QoS (Ibíd., 2000). Los principales beneficios de la ingeniería de tráfico son (Ibíd., 2000): Permite al eje troncal expandirse sobre las capacidades de la ingeniería de tráfico de las redes de Modo de Transferencia Asíncrona (ATM) y Frame Relay (FE) de Capa 2 La ingeniería de tráfico es esencial para los ejes troncales de proveedores de servicios. Dichos ejes deben soportar un uso elevado de su capacidad de transmisión Utilizando MPLS las capacidades de ingeniería de tráfico son integradas a la Capa 3 (OSI) lo que optimiza el ruteo de tráfico IP, gracias a las pautas establecidas por la topología y las capacidades de la troncal La ingeniería de tráfico MPLS rutea el flujo a lo largo de la red basándose en los recursos que dicho flujo requiere y en los recursos disponibles en toda la red MPLS emplea la ruta más corta que cumpla con los requisitos del flujo de tráfico. En cuanto a la QoS, permite al administrador de la red tener uso eficiente de los recursos de sus redes con la ventaja de garantizar que se asignarán más recursos a aplicaciones que así lo necesiten, sin arriesgar el desempeño de las demás aplicaciones (Alvarez, 2006). Los principales beneficios de la QoS son (Ibíd., 2006): Trabaja a lo largo de la red y se encarga de asignar recursos a las aplicaciones que lo requieran Para asignar recursos QoS se basa en prioridades Otorga mayor control a los administradores sobre sus redes Mejora la interacción del usuario con el sistema y reduce costos al asignar recursos con mayor eficiencia al ancho de banda 13

14 Mejora el control sobre la latencia para asegurar la capacidad de transmisión de voz sin interrupciones Disminuye el porcentaje de paquetes desechados por los routers. Una red MPLS consiste de un conjunto de Routers de Conmutación de Etiquetas (LSR), los cuales tienen la capacidad de conmutar y rutear paquetes en base a la etiqueta que se ha añadido a cada paquete. Cada flujo es diferente y es llamado Clase de Equivalencia de Reenvío (FEC), así como también cada flujo tiene un camino específico a través de los LSR de la red, es por eso que se dice que la tecnología MPLS es orientada a conexión (Rosen, 2001). Cada FEC, además de la ruta de los paquetes contiene una serie de caracteres que define los requerimientos de QoS del flujo. Los routers de la red MPLS no necesitan examinar ni procesar el encabezado IP, sólo es necesario reenviar cada paquete dependiendo el valor de su etiqueta. Esta es una de las ventajas que tienen los routers MPLS sobre los IP, en donde el proceso de reenvío es más complejo (Ibíd., pág. 26). En un router IP cada vez que se recibe un paquete se analiza su encabezado IP para compararlo con la tabla de enrutamiento y ver cuál es el siguiente salto. El hecho de examinar estos paquetes en cada uno de los puntos de tránsito que deberán recorrer para llegar a sudestino final significa un mayor tiempo de procesamiento en cada nodo y por lo tanto, una mayor duración en el recorrido (Ibíd., pág. 26). 14

15 Comparación entre las tecnologías utilizadas para la optimización del ancho de banda en las VPN s Protocolo IPSec MPLS L2TP PPTP Cuándo se utiliza Conexión a un servidor VPN de terceros Conexión a un servidor VPN de terceros Internet Security and Acceleration (ISA) Server 2004 ISA Server 2000 Servidor VPN de Windows ISA Server 2004 ISA Server 2000 Servidor VPN de Windows Nivel de seguridad Alto Alto Alto Moderado Comentarios Permite conectar a un servidor VPN que no sea de Microsoft. Permite compartir un único acceso a Internet entre todas las redes. No es necesario que las redes estén conectadas a Internet para acceder a la VPN. Otorga mayor control a los administradores sobre sus redes. Mejora la interacción del usuario con el sistema y reduce costos al asignar recursos con mayor eficiencia al ancho de banda Usa enrutamiento y acceso remoto. Menos complicada que la solución de túnel IPSec, pero requiere que el servidor VPN remoto sea un equipo servidor ISA o un servidor VPN de Windows. Usa enrutamiento y acceso remoto. Las mismas restricciones que L2PT, aunque algo más fácil de configurar. Se considera que L2TP es más seguro, ya que utiliza cifrado IPSec. Tabla 1. Comparación entre las tecnologías utilizadas para la optimización del ancho de banda en las VPN. 15

16 Conclusiones El uso de VPN s surgió con el propósito de otorgar seguridad, confidencialidad e integridad de datos, por lo que su implementación, facilitó el acceso a servicios desde cualquier parte del mundo, como si se tratará de un usuario ubicado en la LAN. MPLS por su diseño, minimiza el consumo del ancho de banda, lo cual, consigue en gran parte por la ingeniería de tráfico. Está cualidad es su principal ventaja dado que minimiza costos en el tráfico hacia la Internet. Dado lo anterior se concluye que es una buena opción para aquellas empresas e instituciones publicas o privadas, que utilicen las VPN s, para acceder a sus recursos compartidos, los cuales pueden ser archivos, sistemas, bases de datos, etc., desde cualquier parte del mundo. 16

17 Bibliografía [1] Alvarez, S. (2006). QoS for IP/MPLS Networks (Networking Technology). Cisco Press. Retrieved December 13, [2] Bush, R., & Griffin, T. G. (2003). Integrity for Virtual Private Routed Networks [Electronic version]. INFOCOM Twenty-Second Annual Joint Conference of the IEEE Computer and Communications Societies. IEEE, 2, [3] Cisco Systems (2002, March 26). Proveedores de servicio seleccionan soluciones MPLS basadas en tecnología Cisco. Retrieved December 13, 2007, from dos.asp?id=359 [4] Hamzeh, K., Pall, G., Verthein, W., & Taarud, J. (1999, July). Point-to-Point Tunneling Protocol (PPTP). Retrieved December 13, 2007, from [5] Huston, G., & Ferguson, P. (1998). What Is a VPN? Part I [Electronic version]. The Internet Protocol Journal, 1(1), [6] Kent, S. (2005, December). Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP). Retrieved December 13, 2007, from [7] Kent, S. (2005, December). IP Authentication Header. Retrieved December 13, 2007, from [8] Kent, S. (2005, December). IP Encapsulating Security Payload (ESP). Retrieved December 13, 2007, from [9] Kent, S., & Seo, K. (2005, December). Security Architecture for the Internet Protocol. Retrieved December 13, 2007, from 17

18 [10] Pepelnjak, I., Guichard, J., & Apcar, J. (2003). MPLS and VPN Architectures (Vol. 2). Cisco Press. Retrieved December 13, [11] Rosen, E., Viswanathan, A., & Callon, R. (2001, January). Multiprotocol Label Switching Architecture. Retrieved December 13, 2007, from [12] Rosen, E., Viswanathan, A., & Callon, R. (2001, January). Multiprotocol Label Switching Architecture. Retrieved December 13, 2007, from [13] Townsley, W., Valencia, A., Rubens, A., & Pall, G. (1999, August). Layer Two Tunneling Protocol. Retrieved December 13, 2007, from [14] Xipeng, X., Hannan, A., Bailey, B., & Ni, L. M. (2000). Traffic engineering with MPLS in the Internet [Electronic version]. Network, IEEE, 14(2),