VPN: conectividad segura en entornos sanitarios
Una VPN (Virtual Private Network) crea un tunel cifrado sobre una red publica (generalmente Internet) para conectar de forma segura redes privadas o usuarios remotos. En el SERGAS, las VPN son fundamentales para conectar centros de salud con hospitales, permitir el acceso remoto a los profesionales sanitarios y garantizar la confidencialidad de los datos clinicos. Es un tema habitual en las oposiciones de Tecnico de Sistemas TI.
Conceptos basicos de VPN
Tipos de VPN segun su uso
- VPN site-to-site (sede a sede): Conecta dos redes locales a traves de Internet. Ejemplo: conectar la red de un centro de salud con la red del hospital de referencia de una EOXI.
- VPN de acceso remoto (client-to-site): Permite que un usuario individual se conecte a la red corporativa desde una ubicacion remota. Ejemplo: un medico que accede a la historia clinica desde su domicilio.
Protocolos de VPN
Los principales protocolos que se preguntan en oposiciones son IPsec, SSL/TLS y WireGuard. A continuacion analizamos cada uno en profundidad.
IPsec (Internet Protocol Security)
IPsec es un conjunto de protocolos que operan en la capa 3 (Red) del modelo OSI. Proporciona autenticacion, integridad y confidencialidad a nivel de paquete IP.
Componentes de IPsec
- AH (Authentication Header): Proporciona autenticacion e integridad, pero no cifrado. Protocolo IP 51.
- ESP (Encapsulating Security Payload): Proporciona autenticacion, integridad y cifrado. Protocolo IP 50. Es el mas utilizado.
- IKE (Internet Key Exchange): Protocolo para negociar los parametros de seguridad y establecer las SA (Security Associations). La version actual es IKEv2. Utiliza el puerto UDP 500 (y 4500 para NAT traversal).
- SA (Security Association): Conjunto de parametros de seguridad acordados entre los dos extremos (algoritmos, claves, modo de operacion).
Modos de operacion de IPsec
- Modo transporte: Cifra unicamente la carga util (payload) del paquete IP. Las cabeceras IP originales se mantienen. Se usa para comunicacion entre dos hosts.
- Modo tunel: Cifra el paquete IP completo y lo encapsula en un nuevo paquete IP. Es el modo utilizado en VPN site-to-site.
Ventajas de IPsec
- Muy seguro y maduro, con amplia base de implementaciones.
- Independiente de la aplicacion (opera en capa 3).
- Ideal para VPN site-to-site.
Desventajas de IPsec
- Configuracion compleja.
- Problemas con NAT (necesita NAT-T).
- Puede ser bloqueado por firewalls restrictivos.
SSL/TLS VPN
Las VPN basadas en SSL/TLS operan en la capa 4-5 del modelo OSI, utilizando el protocolo TLS (sucesor de SSL) sobre TCP o, en algunas implementaciones, sobre UDP. La solucion mas conocida es OpenVPN.
Caracteristicas principales
- Utiliza los puertos TCP 443 o UDP 1194, lo que facilita el paso a traves de firewalls y proxies (el puerto 443 es el mismo que HTTPS).
- Autenticacion mediante certificados X.509, usuario/contrasena o ambos.
- Puede operar en modo tunel (capa 3, tun) o modo puente (capa 2, tap).
Ventajas de SSL/TLS VPN
- Facil de configurar y usar, especialmente para acceso remoto.
- Atraviesa firewalls y proxies facilmente.
- Muy utilizado para VPN de acceso remoto (client-to-site).
- No requiere software especializado en el cliente (en modo portal web).
Desventajas
- Rendimiento inferior a IPsec en escenarios de alto trafico.
- Sobre TCP puede tener problemas de rendimiento (TCP-over-TCP).
WireGuard
WireGuard es el protocolo VPN mas moderno, disenado para ser simple, rapido y seguro. Fue integrado en el kernel de Linux a partir de la version 5.6 (2020).
Caracteristicas principales
- Codigo minimo: Aproximadamente 4.000 lineas de codigo frente a las mas de 100.000 de OpenVPN o IPsec, lo que facilita la auditoria de seguridad.
- Criptografia moderna: Utiliza Curve25519 para intercambio de claves, ChaCha20 para cifrado, Poly1305 para autenticacion y BLAKE2s para hashing.
- Rendimiento: Significativamente mas rapido que IPsec y OpenVPN gracias a su integracion en el kernel.
- Opera en capa 3 sobre UDP.
Ventajas de WireGuard
- Maximo rendimiento y minima latencia.
- Configuracion extremadamente simple.
- Codigo auditado por su reducido tamano.
- Roaming integrado (cambio de red sin perder la conexion).
Desventajas
- Relativamente nuevo, menor despliegue en entornos corporativos.
- Las direcciones IP son estaticas por diseno (aunque hay soluciones).
- Menos opciones de autenticacion que IPsec u OpenVPN.
Tabla comparativa
| Caracteristica | IPsec | SSL/TLS (OpenVPN) | WireGuard |
|---|---|---|---|
| Capa OSI | 3 (Red) | 4-5 (Transporte/Sesion) | 3 (Red) |
| Puerto | UDP 500/4500 | TCP 443 / UDP 1194 | UDP (configurable) |
| Rendimiento | Alto | Medio | Muy alto |
| Complejidad | Alta | Media | Baja |
| Mejor uso | Site-to-site | Acceso remoto | Ambos |
| Atraviesa NAT | Con NAT-T | Si (puerto 443) | Si (UDP) |
| Madurez | Muy alta | Alta | Media |
Para profundizar en seguridad de las comunicaciones, te recomendamos nuestro articulo sobre criptografia simetrica y asimetrica y el resumen del Esquema Nacional de Seguridad. Practica con tests en oposergas.com.