Uno de los aspectos más molestos en el mundo de la informática, ya sea en ámbito de la seguridad o en cualquier otro, es que a veces dan por hecho que el usuario final tiene conocimientos técnicos sobre la herramienta que va a usar, cuando en realidad, en muchas ocasiones, el usuario quiere hacer click en un botón y que éste haga lo que tenga que hacer, sin tener ni idea de lo que éste pueda hacer por debajo mientras que lo haga bien. Dentro de estos conceptos que muchas aplicaciones dan por hecho que el usuario final conoce, se encuentra el procolo de VPN usado... Muchos clientes gráficos de VPN hacen una pregunta muy simple pero al mismo tiempo muy importante que es: ¿Qué protocolo usar? ¿PPTP o L2TP/IPSec? Esta es una pregunta que una persona sin conocimientos técnicos jamás debería de plantearse a la hora de usar una VPN, pero aún así, visto que de momento esa pregunta no desaparecerá a corto plazo, en este post intentaré arrojar algo de luz sobre dicho tema para que, en caso de encontrarnos con dicha incógnita, realizar la elección a sabiendas de el significado de cada protocolo.
PPTP
Este protocolo fue diseñado por Microsoft y una serie de colaboradores en 1999, y en su momento supuso un completo cambio en las comunicaciones, pues posibilitaba el intercambio de datos cifrado a través de una VPN mediante TCP. Gracias a la adopción de dicho protocolo, el uso de las VPNs se fue extendiendo a lo largo de los años, siendo consideradas como recursos indispensables para algunas tareas; pues además la mayoría de los proveedores de telefonía (ISP) no bloqueaban este protocolo, suponiendo no solo un recurso útil, sino que además fácil de implementar, pues simplemente hay que seleccionar dicho protocolo y listo...
Obviamente lo fácil generalmente no suele estar relacionado con lo seguro (aunque últimamente se está intentando simplificar bastante) y este caso no es una excepción... La debilidad de este protocolo radica en el cifrado de éste, pues se ha demostrado que es altamente vulnerable y que puede ser quebrado con relativa facilidad... Un "simple" ataque de man in the middle para situarse entre el equipo que se quiere interceptar y el router junto con el uso de una herramienta para romper el cifrado, como por ejemplo Ethercap o Cain y Abel y se podría obtener la información de aquella comunicación supuestamente privada... Privacidad que obviamente ha sido comprometida. Esta vulnerabilidad de cifrado hace que el protocolo en cuestión sea considerado cómo inseguro, aún cuando hoy en día se sigue usando ¿El motivo? Su facilidad de implantación aún cuando es ampliamente conocida su (in)seguridad.
Se trata de un protocolo que para realizar VPNs sencillas y rápidas de implantar es ídoneo, si bien si se quiere transmitir por ésta contenido relevante es mejor descartarlo de inmediato si no queremos que algunos "curiosos" intercepten la comunicación.
L2TP/IPSec
A raíz de la poca fiabilidad del anterior protocolo se implementó uno nuevo: L2TP, el cual se usa cómo protocolo de creación de redes VPN sobre UDP (a diferencia de su antecesor que lo hacía sobre TCP). La cuestión está que este protocolo de por sí no ofrece ningún cifrado, teniendo que apoyarse sobre IPSec para cifrar la comunicación y establecer canales seguros. Muchas veces se piensa que el protocolo de por sí está cifrado, si bien la verdad es que busca apoyo en el conjunto de protocolos IPSec.
Además del cifrado más seguro ofrecido por IPSec, L2TP garantiza también una mayor seguridad que PPTP, ya que tiene más mecanismos para garantizar la integridad de la información (es decir que no sea manipulada por el camino) y para la garantización de que el origen del que se ha enviado la información es correcto; dificultando la labor a los delincuentes.
Esto tiene como "pega" el hecho de que para usar esta comunicación es necesario crear certificados tanto para el servidor como para cada cliente que se quiere conectar (tal y cómo ocurre por ejemplo en OpenVPN). Esta creación de certificados es algo lenta y "engorrosa" si bien a largo plazo supone muchos beneficios a nivel de seguridad.
Lastima que en la mayoría de las ocasiones esta pega suponga un impedimento en muchos sitios para implementar este protocolo, pues muchos quieren soluciones que se puedan implementar rápidamente y que requieran que el cliente haga click en un botón.
Conclusión
Aunque la implementación de PPTP es muy tentadora debido a su sencillez y su validez para la creación de VPNs que no se usen para comunicaciones "relevantes". la inversión de tiempo y esfuerzo en la creación de una VPN basada en L2TP/IPsec nos puede salvaguardar de muchos imprevistos... Imprevistos que compensan la inversión de tiempo realizada, pues una vez hayan vulnerado la comunicación no hay marcha atrás.
Espero que os haya resultado útil.
Saludos.
PPTP
Este protocolo fue diseñado por Microsoft y una serie de colaboradores en 1999, y en su momento supuso un completo cambio en las comunicaciones, pues posibilitaba el intercambio de datos cifrado a través de una VPN mediante TCP. Gracias a la adopción de dicho protocolo, el uso de las VPNs se fue extendiendo a lo largo de los años, siendo consideradas como recursos indispensables para algunas tareas; pues además la mayoría de los proveedores de telefonía (ISP) no bloqueaban este protocolo, suponiendo no solo un recurso útil, sino que además fácil de implementar, pues simplemente hay que seleccionar dicho protocolo y listo...
Obviamente lo fácil generalmente no suele estar relacionado con lo seguro (aunque últimamente se está intentando simplificar bastante) y este caso no es una excepción... La debilidad de este protocolo radica en el cifrado de éste, pues se ha demostrado que es altamente vulnerable y que puede ser quebrado con relativa facilidad... Un "simple" ataque de man in the middle para situarse entre el equipo que se quiere interceptar y el router junto con el uso de una herramienta para romper el cifrado, como por ejemplo Ethercap o Cain y Abel y se podría obtener la información de aquella comunicación supuestamente privada... Privacidad que obviamente ha sido comprometida. Esta vulnerabilidad de cifrado hace que el protocolo en cuestión sea considerado cómo inseguro, aún cuando hoy en día se sigue usando ¿El motivo? Su facilidad de implantación aún cuando es ampliamente conocida su (in)seguridad.
Se trata de un protocolo que para realizar VPNs sencillas y rápidas de implantar es ídoneo, si bien si se quiere transmitir por ésta contenido relevante es mejor descartarlo de inmediato si no queremos que algunos "curiosos" intercepten la comunicación.
L2TP/IPSec
A raíz de la poca fiabilidad del anterior protocolo se implementó uno nuevo: L2TP, el cual se usa cómo protocolo de creación de redes VPN sobre UDP (a diferencia de su antecesor que lo hacía sobre TCP). La cuestión está que este protocolo de por sí no ofrece ningún cifrado, teniendo que apoyarse sobre IPSec para cifrar la comunicación y establecer canales seguros. Muchas veces se piensa que el protocolo de por sí está cifrado, si bien la verdad es que busca apoyo en el conjunto de protocolos IPSec.
Además del cifrado más seguro ofrecido por IPSec, L2TP garantiza también una mayor seguridad que PPTP, ya que tiene más mecanismos para garantizar la integridad de la información (es decir que no sea manipulada por el camino) y para la garantización de que el origen del que se ha enviado la información es correcto; dificultando la labor a los delincuentes.
Esto tiene como "pega" el hecho de que para usar esta comunicación es necesario crear certificados tanto para el servidor como para cada cliente que se quiere conectar (tal y cómo ocurre por ejemplo en OpenVPN). Esta creación de certificados es algo lenta y "engorrosa" si bien a largo plazo supone muchos beneficios a nivel de seguridad.
Lastima que en la mayoría de las ocasiones esta pega suponga un impedimento en muchos sitios para implementar este protocolo, pues muchos quieren soluciones que se puedan implementar rápidamente y que requieran que el cliente haga click en un botón.
Conclusión
Aunque la implementación de PPTP es muy tentadora debido a su sencillez y su validez para la creación de VPNs que no se usen para comunicaciones "relevantes". la inversión de tiempo y esfuerzo en la creación de una VPN basada en L2TP/IPsec nos puede salvaguardar de muchos imprevistos... Imprevistos que compensan la inversión de tiempo realizada, pues una vez hayan vulnerado la comunicación no hay marcha atrás.
Espero que os haya resultado útil.
Saludos.
No hay comentarios :
Publicar un comentario