Las VPN toman impulso
Redes Privadas Virtuales
Las redes privadas virtuales (VPN) están sin duda alguna desplazando poco a poco a las líneas dedicadas y a Frame Relay, pero ningún nacimiento se produce sin una buena dosis de dolor. Aunque las VPN se presentan siempre como una gran promesa, principalmente atractiva por su bajo coste, estos ahorros pueden resultar resbaladizos y exigir a cambio molestos y concienzudos esfuerzos técnicos.
Algunos usuarios aseguran que recurriendo a las VPN IP han logrado conectar oficinas ubicadas en diferentes continentes por tan sólo el 60% del coste de los enlaces Frame Relay; un punto a su favor. Además, es posible integrar rápidamente enlaces sitio a sitio a través de Internet dada la omnipresencia de la Red, sin tener que esperar semanas e incluso meses para disfrutar de líneas Frame Relay; otro tanto. Los hay que, incluso respecto a lo que se considera como uno de sus principales inconvenientes, la latencia, aseguran que el retardo en las comunicaciones sobre VPN basadas en Internet es, como media, tan buena o mejor que la que se produce con Frame Relay. Así, pues, sus defensores aumentan. De hecho, ha sido uno de los pocos segmentos del networking que ha seguido registrando significativos crecimientos durante 2001.
Según los usuarios, las redes VPN pueden significar también grandes ahorros en los costos hombre-hora que supone administrar equipos de acceso remoto. Si, por ejemplo, se desea soportar un acceso remoto simultáneo para un total de hasta 200 usuarios, significa 200 líneas de salida, 200 modems y 200 conexiones al propio firewall, todo lo cual tiene que ser gestionado. Esto requiere un esfuerzo de personal considerable, en comparación con un único concentrador VPN.
Penetración con cautelas
Sin embargo, incluso con incentivos como éstos, los departamentos TIC corporativos no se están apresurando precisamente hacia las redes VPN. La penetración es actualmente relativamente baja, aunque todos los analistas coinciden en anunciar un crecimiento importante durante los dos últimos años.
Es necesario mantener una actitud de cautela y no olvidar que se trata de una tecnología emergente; antes de que una empresa decida cambiar todos sus enlaces Frame Relay y líneas privadas, debe reflexionar sobre algunos asuntos aún por solucionar en las VPN basadas en IP. En primer lugar, los fabricantes y suministradores han de simplificar aún más la gestión de las grandes VPN corporativas. Además, los ISP deben introducir mejoras en su infraestructura de red para proporcionar un servicio fiable, y con una latencia realmente comparable a la de Frame Relay. Asimismo, antes de contabilizar los potenciales ahorros, los usuarios han de tener también en consideración el factor de los costes asociados al soporte en este nuevo tipo de infraestructuras y estar preparados para entrar en un complicado período de aprendizaje.
Existen, además, una serie de factores que puede contribuir a que los supuestos ahorros se vean finalmente reducidos, como es la posible necesidad de ancho de banda adicional en el acceso a Internet en los sitios principales para acomodar las VPN. Así, nadie está en disposición de garantizar que una VPN sea siempre más barata que las líneas alquiladas o Frame Relay.
Por si todo esto fuera poco, los usuarios desean tener la seguridad de que los productos VPN pueden resolver los que consideran que son los principales inconvenientes de Internet como medio de comunicación entre empresas: su falta de salvaguardias para seguridad y la imposibilidad de garantizar un rendimiento de red de extremo a extremo. Cuando Telechoice consultó recientemente a más de 500 directores de telecomunicaciones y directores de TIC, la seguridad y el rendimiento fueron las dos áreas mencionadas con más frecuencia como “muy importantes” por aquellos encuestados que afirmaron que pensaban instalar próximamente una red VPN.
La tecnología VPN resuelve el problema de la seguridad Internet mediante “tunneling”, bajo el cual dos sistemas establecen una conexión punto a punto securizada, o “túnel”, a través de Internet o de una troncal IP compartido, utilizando uno o más mecanismos de seguridad. Para poder establecer un túnel, el cliente remoto tendría que conocer primero la dirección IP del sistema de la empresa receptora, y después identificarse y autenticarse a sí mismo antes de utilizar el software de encriptación que utiliza también el sistema receptor. Algunas compañías hacen uso también de la infraestructura de clave pública o PKI (Public Key Infrastructure) para una mayor seguridad.
Mejorando el rendimiento
Como se ha mencionado, también los problemas relacionados con el rendimiento pueden enturbiar lo que de positivo tiene el ahorro de costes asociado a las VPN IP. Los usuarios suelen coincidir en que el retardo en las comunicaciones entre sitios VPN varía desde 40 a 700 milisegundos, dependiendo de que la conexión sea intra o intercontinental. Se trata de valores muy bajos, pero no realizar una medición precisa de estos retardos puede resultar devastador en determinados casos. Por ejemplo, existen aplicaciones críticas que se interrumpen si el retardo es demasiado largo. Desplegar una red de servidores de aplicación regional puede constituir una solución al problema.
Otra opción consiste en utilizar la red de un único proveedor de servicios, que se traducirá en unos mejores tiempos de respuesta, aunque, de cualquier modo, el cliente siempre preferirá contar con garantías de nivel de servicio en el caso del tráfico que ha de cruzar las fronteras entre redes de diversos proveedores. Esto exigirá que dichos proveedores adopten un estándar común, como MultiProtocol Label Switching (MPLS), tecnología de señalización y modelado de tráfico IP.
Los principales fabricantes de routers soportan ya MPLS, pero la interoperatividad entre sus diversas implementaciones es aún precaria. Además, con el recorte de inversión común actualmente a la estrategia de la mayoría de los proveedores, la instalación de equipamiento MPLS será postergada con casi total seguridad hasta que la economía mejore. Y aquellos que sí contemplan la introducción de esta tecnología en sus infraestructuras, no tienen intención de hacerlo antes de finales de 2002 o comienzos de 2003.
Desafortunadamente, todos estos mecanismos de seguridad añaden un esfuerzo adicional significativo, tanto a los paquetes como al equipo de comunicaciones que los procesa, dando lugar a una grave degradación de la capacidad de proceso global, que, según algunos cálculos, podría dar lugar a una reducción total de entre un 40% y un 70%. Con esos servicios VPN de una sola compañía de telecomunicaciones, la capacidad de proceso es algo más predecible que en Internet, y la seguridad es también mejor, porque las conexiones no son tan públicas y accesibles a todo el mundo. Sin embargo, en opinión de algunos usuarios y analistas, estos no son verdaderos servicios VPN, porque el cliente continúa teniendo que instalar equipos propios internos y hacerse cargo de la encriptación y de la autenticación.
IPSec avanza
Pero todo esto está cambiando. Lo