Los factores económicos y la justificación comercial de las redes privadas virtuales
Cuando se habla con compañías telefónicas locales o con compañías de telecomunicaciones a larga distancia sobre los costos de instalar una red de área amplia o WAN corporativa de línea cedida, es probable que se sufra una fuerte sorpresa. A pesar de la extraordinaria explosión de la red Internet y del advenimiento de la fibra óptica de alta velocidad, la anchura de banda -y especialmente la anchura de banda de larga distancia- sigue resultando extraordinariamente costosa. Y como la cantidad de proveedores de líneas cedidas sigue siendo bastante limitada, los precios no van a descender a corto plazo.
Es por ese motivo que cada vez más directores IS están re- curriendo a redes privadas virtuales, VPNs (Virtual Private Networks) que utilizan la red Internet para conectar a localizaciones remotas y a personas que trabajan en casa con sus oficinas principales. Como las redes VPN dependen de la Internet y no de líneas cedidas dedicadas, ofrecen una forma más económica de establecer conexiones WAN, especialmente en trayectos largos. En este artículo se analizan los aspectos básicos de las redes VPN -así como sus ventajas y desventajas en relación con otras alternativas- y se explica la forma en que pueden encajar en una estrategia LAN/WAN global.
Camiones privados, autopista pública
Alquilar una red cedida dedicada, como DDS de 56Kbps, T1 fraccional, T1, o T3, es similar a alquilar una autopista privada propia -o un carril cedido de una autopista existente- entre dos localizaciones corporativas. Se dispone del uso exclusivo de esa porción de carretera, y no hay otro tráfico que cause congestión ni interrumpa el flujo de datos.
Naturalmente, la mayoría de nosotros consideraríamos extravagante alquilar carreteras entre edificios de empresas situados en diferentes ciudades. Todos compartimos las carreteras, una estrategia que funciona bien siempre que no se produzcan atascos o colisiones de tráfico. Una red VPN funciona bajo ese mismo principio. Compartir la Internet -lo mismo que compartir las carreteras- resulta económico, porque generalmente se hace un uso mucho más eficiente de la anchura de banda disponible, sin causar lentitud a nadie. Y además, como el servicio Internet no está regulado, al menos hasta ahora, las barreras de entrada para los proveedores de servicios Internet (ISPs) son bajas. En la mayoría de las ciudades, los usuarios tienen docenas de ISPs entre los que elegir, lo que conduce a una competencia mayor y a unos precios muy favorables.
Actualmente, el competidor más cercano de las redes VPS es el servicio frame-relay, que fue diseñado originalmente para permitir a las compañías telefónicas entrar en el negocio de las redes transmitiendo packets de información entre los switches en las oficinas centrales de esas compañías. Sin embargo, el servicio frame-relay puede resultar costoso y sufrir de grandes periodos de latencia -con frecuencia mucho más largos que el tiempo de tránsito a través de un buen enlace Internet. Además, en el caso de frame-relay, es necesario también pedir circuitos virtuales permanentes (PVCs) entre cada par de localizaciones conectadas, lo que significa que los datos pueden tener que realizar dos lentos recorridos a través de la "nube" frame-relay- uno a un router central y otro más a su destino final. Evitar esas rutas complicadas en una red frame-relay resulta caro, ya que, si se desea una verdadera conectividad de cualquiera-a-cualquiera, aumenta el número de PVCs y de localizaciones.
Otro factor a considerar es que la cantidad relativamente pequeña de vendedores que ofrecen servicio frame-relay en cualquier área hace que la competencia sea mucho más limitada. En realidad, en la mayor parte de los lugares, la compañía telefónica local ejerce un monopolio sobre el servicio frame-relay, lo que mantiene los precios más altos de lo que serían de otra forma. Y además, establecer un servicio frame-relay a través de fronteras estatales puede resultar complejo debido a la mezcla de tarifas impuestas por múltiples compañías. En resumen, la red Internet es en la mayoría de los casos más flexible y económica que el servicio frame-relay y, aunque éste resulta útil para conexiones cortas entre usuarios y conexiones Internet (o localizaciones corporativas locales), la Internet gana claramente en enlaces más largos o cuando se necesita conectividad de cualquiera-a-cualquiera.
Añadir protección
Si la red está basada en protocolos estándar, basta simplemente con encapsular packets de datos de una red LAN en "camiones" (que en este caso serían packets IP) y enviarlos a otra red LAN a través de la Internet, que es lo que hace una red VPN. Sin embargo, a diferencia de las líneas cedidas, las redes VPN introducen una preocupación adicional: la seguridad.
En general, la red Internet transmite tanta información, y la envía de formas tan diferentes, que los datos serán mucho más difíciles de seguir que un automóvil en una autopista. Por otra parte, es necesaria alguna precaución. Si uno alquilase un vehículo para transportar artículos confidenciales o valiosos, probablemente optaría por cristales oscuros o cerraduras en las puertas, y esperaría que el conductor llevase consigo una identificación positiva. Si la carga tuviera un valor intrínseco muy elevado, podría incluso alquilarse un vehículo blindado.
En la red Internet, las cerraduras, el blindaje y la identificación adoptan la forma de "paredes cortafuego" o "firewalls", encriptación de datos y protocolos de autentificación, respectivamente. La mayoría de los vendedores de software y hardware Internet -incluyendo a Sun Microsystems, Trusted Information Systems, Raptor Systems, Checkpoint Software Technologies, Cisco Systems, Digital Equipment, Cylink, Hugues Aircraft y Network Systems- ofrecen encriptación y autentificación de datos. La cuestión está en que la mayoría de los vendedores utilizan actualmente métodos de encapsulación, encriptación y autentificación propietarios, impidiendo la interfuncionalidad o "interoperabilidad" entre diferentes marcas de equipos y obligando al usuario a una solución de vendedor único.
En las autopistas físicas, se insiste en obtener cierta compatibilidad básica entre vehículos, como la posibilidad de viajar en carriles de tamaño fijo, y lo mismo sucede en la red Internet. Los usuarios han solicitado el desarrollo de mecanismos de seguridad estándar para la Internet, y ésto ha dado lugar a su vez a la arquitectura de seguridad IP (conocida generalmente como IPsec). Lo mismo que en todos los estándares Internet propuestos, IPsec aparece descrita en un documento llamado Petición de Comentario o RFC (Request for Comment), disponible en el sistema World Wide Web en http://www.nic.ddn.mil o a través del protocolo de transferencia de ficheros FTP (File Transfer Protocol) de ftp.nic.ddn.mil. La RFC 1825 describe la arquitectura global, mientras que otras RFCs subsiguientes describen mecanismos específicos para autentificación (probando que un determinado mensaje ha sido enviado por el remitente que se indica) y confidencialidad (manteniendo secretos los datos).
Resulta así natural que la firma RSA Data Security Inc., de Redwood City, Calif. -un vendedor bien conocido de sistemas de encriptación y autentificación- haya formado un consorcio para promover redes WAN de alta seguridad o "secure WANs" (S WAN) que es una forma específica de implementar los estándares IPsec propuestos. Puede obtenerse una descripción general de S WAN y de los resultados de algunos tests de interfuncionalidad recientes en http://www.rsa.com/rsa/SWAN/home.html.
Atascos de tráfico
Una vez resueltas las cuestiones de seguridad, el obstáculo potencial más temible de las redes VPN es que no pueden ofrecer un nivel mínimo garantizado de anchura de banda