Una red privada virtual (VPN) es una conexión punto a punto a través de una red privada o pública, como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP llamados protocolos de túnel que establecen un canal seguro entre dos equipos por el que pueden enviar datos. Desde la perspectiva de los dos equipos que intervienen, hay un vínculo punto a punto dedicado entre ambos, aunque en realidad los datos se redirigen por Internet como se haría con cualquier otro paquete. En una implementación VPN típica, un cliente inicia una conexión punto a punto virtual con un servidor de acceso remoto a través de Internet. El servidor de acceso remoto responde a la llamada, autentica al usuario que realiza la llamada y transfiere datos entre el cliente VPN y la red privada de la organización.
Para emular un vínculo punto a punto, los datos se encapsulan, o se ajustan, con un encabezado. El encabezado proporciona la información de enrutamiento que permite a los datos recorrer la red compartida o pública hasta alcanzar su extremo. Para emular un vínculo privado, los datos enviados se cifran por motivos de confidencialidad. Para obtener más información acerca de los protocolos de túnel compatibles con esta versión de Windows, vea el tema sobre
Para obtener los requisitos de instalación, vea el tema donde se describen los Requisitos para instalar RRAS como un servidor VPN.
Conexión VPN
Existen dos tipos de conexiones VPN:
VPN de acceso remoto
Una conexión VPN de acceso remoto permite al usuario que trabaja desde casa o que está de viaje tener acceso a un servidor de una red privada mediante la infraestructura proporcionada por una red pública como, por ejemplo, Internet. Desde el punto de vista del usuario, la VPN es una conexión punto a punto entre el equipo cliente y el servidor de la organización. La infraestructura de la red compartida o pública es irrelevante, ya que aparece lógicamente como si los datos se enviaran a través de un vínculo privado dedicado.
VPN de sitio a sitio
Una conexión VPN de sitio a sitio (a veces llamada conexión VPN de enrutador a enrutador) permite a una organización tener conexiones enrutadas entre distintas oficinas o con otras organizaciones a través de una red pública a la vez que se mantiene la seguridad de las comunicaciones. Cuando las redes se conectan a través de Internet, tal como se muestra en la siguiente imagen, un enrutador habilitado para VPN reenvía paquetes a otro enrutador habilitado para VPN a través de una conexión VPN. Para los enrutadores, la conexión VPN aparece lógicamente como un vínculo dedicado en el nivel de vínculo de datos.
Una conexión VPN de sitio a sitio conecta dos redes privadas. El servidor VPN proporciona una conexión enrutada a la red a la que está conectada el servidor VPN. El enrutador que realiza la llamada se autentica a sí mismo en el enrutador que responde y, para realizar una autenticación mutua, el enrutador que responde se autentica a sí mismo en el enrutador que realiza la llamada. En una conexión VPN de sitio a sitio, los paquetes enviados desde cualquiera de los enrutadores a través de la conexión VPN por lo general no se originan en los enrutadores.
Conexión mediante VPN de dos sitios remotos a través de Internet
Propiedades de las conexiones VPN
- Encapsulación. Los datos privados se encapsulan con un encabezado que contiene información de enrutamiento que permite a los datos recorrer la red de tránsito. Para obtener ejemplos de encapsulación, vea el tema sobre
protocolos de túnel de VPN (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=140602). - Autenticación. La autenticación para las conexiones VPN puede realizarse de tres formas distintas:
- Autenticación en el nivel de usuario con autenticación PPP (Protocolo punto a punto). Para establecer la conexión VPN, el servidor VPN autentica el cliente VPN que intenta realizar la conexión con un método de autenticación PPP en el nivel de usuario y comprueba que el cliente VPN tiene la autorización adecuada. Si se usa la autenticación mutua, el cliente VPN también autentica el servidor VPN, lo que proporciona protección frente a equipos que se hacen pasar por servidores VPN.
- Autenticación en el nivel de equipo con Intercambio de claves por red (IKE). Para establecer una asociación de seguridad (SA) de protocolo de seguridad de Internet (IPsec), el cliente VPN y el servidor VPN usan el protocolo IKE para intercambiar los certificados de equipo o una clave previamente compartida. En cualquiera de los casos, el cliente y el servidor VPN se autentican mutuamente en el nivel de equipo. La autenticación de certificados de equipo es un método de autenticación mucho más seguro y, por lo tanto, es muy recomendable. Las conexiones IKE versión 2 o protocolo de túnel de capa dos (L2TP)/IPsec usan la autenticación en el nivel de equipo.
- Autenticación del origen de datos e integridad de datos. Para comprobar que los datos enviados en la conexión VPN se originaron al otro extremo de la conexión y no se modificaron durante el tránsito, los datos contienen una suma de comprobación criptográfica basada en una clave de cifrado que solo conocen el destinatario y el remitente. La autenticación del origen de datos y la integridad de datos están disponibles para las conexiones IKE versión 2 y L2TP/IPsec.
- Autenticación en el nivel de usuario con autenticación PPP (Protocolo punto a punto). Para establecer la conexión VPN, el servidor VPN autentica el cliente VPN que intenta realizar la conexión con un método de autenticación PPP en el nivel de usuario y comprueba que el cliente VPN tiene la autorización adecuada. Si se usa la autenticación mutua, el cliente VPN también autentica el servidor VPN, lo que proporciona protección frente a equipos que se hacen pasar por servidores VPN.
- Cifrado de datos. Para garantizar la confidencialidad de los datos mientras recorren la red compartida o pública, el remitente cifra los datos y el destinatario los descifra. El proceso de cifrado y descifrado depende de que tanto el remitente como el receptor usen una clave de cifrado común.
Los paquetes interceptados enviados con la conexión VPN en la red de tránsito son ininteligibles para cualquier persona que no tenga la clave de cifrado común. La longitud de la clave de cifrado es un importante parámetro de seguridad. Puede usar técnicas de cálculo para determinar la clave de cifrado. Sin embargo, dichas técnicas requieren mayor capacidad de proceso y tiempo de cálculo a medida que aumenta el tamaño de las claves de cifrado. Por lo tanto, es importante usar claves del mayor tamaño posible para garantizar la confidencialidad de los datos.