Diferencias entre las VPN Site-to-Site de las VPN de acceso remoto (Road Warrior)

Las redes privadas virtuales (VPN) sirven para conectarnos remotamente, y de manera segura, a nuestro hogar, empresa u organización. También se pueden utilizar para interconectar diferentes hogares o sedes de empresas. Dependiendo de las necesidades de los usuarios, tenemos dos tipos de arquitecturas VPN bien distintas: las VPN Site-to-Site y las VPN de acceso remoto, o también conocidas como Road Warrior. Hoy en RedesZone os vamos a explicar en detalle cuáles son las principales características de ambas arquitecturas para entender qué es una VPN.

VPN Site-to-Site: qué son y cuáles son sus principales características

Este esquema de redes privadas virtuales sirve para conectar oficinas remotas con la sede central de una organización. Las VPN Site-to-Site también nos permitirían conectar dos o más hogares entre sí, y tener acceso a todos los recursos compartidos, como si estuviéramos físicamente en todas las casas. El servidor VPN es el que posee un vínculo permanente a Internet, acepta todas las conexiones que provienen de los sitios, y establece el túnel VPN.

No importa qué tipo de conexión a Internet tengan las sedes o las casas de los usuarios, tan solo necesitamos acceder a Internet y utilizar el mismo protocolo VPN, tipo de cifrado y autenticación entre las sedes dos a dos, es decir, las diferentes casas o sedes pueden utilizar diferente autenticación, pero siempre se debe corresponder con la autenticación que tengamos configurada en el servidor VPN «central», para que la conexión se negocie adecuadamente.

Uno de los protocolos VPN más utilizados para las VPN site-to-site es IPsec, pero también podríamos utilizar otros protocolos VPN que nos permiten una gran configurabilidad como por ejemplo OpenVPN. Lo más importante que debemos tener en cuenta a la hora de realizar VPN Site-to-site son las rutas estáticas (o dinámicas), para poder llegar desde el origen al destino a través de dicho túnel VPN. Otro aspecto importante es que podremos hacer que una sede en concreto, si quiere acceder a Internet, pase primero por la sede «central» y posteriormente acceda a Internet, en lugar de utilizar su acceso a Internet directo.

Gracias a las VPN Site-to-Site, podremos comunicar diferentes hogares y sedes de empresas de manera segura y privada, haciendo uso de Internet, sin necesidad de realizar conexiones de cable entre los nodos. El rendimiento en términos de latencia y ancho de banda dependerá de muchos factores, hoy en día se suelen utilizar equipos con aceleración de cifrado por hardware, por lo que, si usamos el cifrado simétrico AES, en principio deberíamos tener un muy buen rendimiento.

VPN Acceso Remoto (Road Warrior): qué son y cuáles son sus principales características

Las VPN de acceso remoto (Road Warrior) nos permiten conectarnos directamente a la red local doméstica o de la empresa, y tener acceso a todos los recursos compartidos que tengamos, tal y como si estuviéramos físicamente en casa o en la empresa. Podemos utilizar estas VPN de acceso remoto para proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa, e incluso exactamente el mismo nivel de acceso.

Otros usos que le podemos dar a las VPN de acceso remoto es para aislar ciertas zonas y servicios de la red interna, de esta forma, solamente conectándonos a través de la VPN podremos acceder a ciertos servicios. También podríamos utilizar esto para añadir una capa más de seguridad a las redes inalámbricas Wi-Fi, ya que en el pasado se han encontrado vulnerabilidades como KRACK entre otros. Un claro ejemplo es un servidor de archivos con información sensible, como los datos médicos de un paciente, y este equipo está ubicado detrás de un servidor VPN, el cual proporciona una autenticación adicional, y también un cifrado adicional, haciendo posible que solo el personal acreditado pueda acceder a dicha información, y ponérselo más difícil a posibles atacantes.

Hoy en día existen protocolos VPN para Road Warrior, como IPsec (siempre que lo configures como tal), OpenVPN, e incluso el nuevo protocolo VPN WireGuard que es muy fácil de configurar y utilizar.

Dependiendo de nuestras necesidades, deberemos utilizar una arquitectura de VPN u otra, os recomendamos leer este PDF donde encontraréis información muy útil sobre estas dos arquitecturas de VPN y cómo funciona el protocolo VPN IPsec.