lunes, 12 de mayo de 2014

OpenVPN - ¿Enviar todo el tráfico, o sólo el necesario? (I de II)

OpenVPN - ¿Enviar todo el tráfico, o sólo el necesario? (I de II)


   Cuando implementamos un servidor de OpenVPN tenemos dos mecanismos de conexión diferentes principalmente.  En uno de ellos todo el tráfico del cliente es redirigido a través de la VPN, en el otro únicamente el tráfico con destino a un determinado rango de IP's (ruta) es encaminado por el túnel VPN. Vamos a explicar ambos escenarios gráficamente, con sus similitudes y sus diferencias.

TODO EL TRÁFICO A TRAVÉS DE LA VPN

   Este método es el utilizado por los servicios VPN anonimizadores de IP, ya que nuestra dirección de red se mostrará a los servicios web, como la del servidor VPN al que estemos conectados y no como la nuestra propia.




   En la imagen superior vemos como hay dos "carriles" de comunicación diferenciados por colores, el rojo corresponde a un canal cifrado que es el que pertenece a la comunicación VPN, y el naranja sería la salida de nuestros datos hacia internet, sin el cifrado ofrecido por nuestro túnel, aunque puede seguir cifrado de igual forma, si nuestra conexión es contra un servidor SSL (https://....), pero por lo que respecta al destino de nuestra comunicación, en este caso google.com, la IP de origen de la conexión que percibe es la IP externa del router de la red en la que se encuentra el servidor de OpenVPN.  Por lo tanto, para google.com o cualquier otro servicio que utilicemos, nuestra identidad estará definida por la IP: 82.47.X.X.

   Este es un esquema recomendable en el caso de que utilicemos redes Wifi en entornos públicos o de seguridad "dudosa", ya que el tráfico viajará cifrado hasta el servidor VPN.

   Para poner en marcha este funcionamiento en un servidor OpenVPN tenemos que añadir algunas líneas a nuestro 'openvpn.conf' del servidor:

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

   Por lo que un ejemplo válido de "openvpn.conf", sería:


dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log 15
verb 3
client-to-client
#Para conectarse a la VPN y navegar a traves de ella
push "redirect-gateway def1"
#Establecemos los servidores DNS
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo


PROS:

   Seguridad de la información en entornos no controlados como son las redes Wifi en cafeterías o centros comerciales, anonimización del posicionamiento basado en IP que utilizan servicios como Google, acceso a recursos de la red remota de forma transparente, como si estuvieran en local.

CONTRAS:

   Lentitud de conexión, ya que los paquetes tienen que hacer un recorrido de más para llegar a su destino, y al volver lo mismo ya que todo pasa por el servidor VPN, por lo que algunos servicios como el streaming de vídeo puede verse afectado por ese retardo.  Si el servidor VPN se ve comprometido, toda nuestra navegación también lo estará.

No hay comentarios:

Publicar un comentario