La tunelización es una forma de pasar paquetes de una red a otra. La tunelización funciona mediante la encapsulación: envolviendo un paquete dentro de otro.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
En el mundo físico, los túneles son una forma de atravesar terrenos o fronteras que normalmente no se podrían cruzar. Del mismo modo, en redes, los túneles son un método para transportar datos por una red mediante el uso protocolos que no son compatibles con esa red. La tunelización funcionan mediante el encapsulado de paquetes: envolviendo paquetes dentro de otros paquetes. (Los paquetes son pequeños trozos de datos que pueden volver a ensamblarse en su destino en un archivo más grande).
La tunelización se suele utilizar redes privadas virtuales (VPN). También puede establecer conexiones eficaces y seguras entre redes, permitir el uso de protocolos de red no compatibles y, en algunos casos, permitir a los usuarios eludir los firewalls.
Los datos que recorren una red se dividen en paquetes. Un paquete típico tiene dos partes: el encabezado, que indica el destino del paquete y el protocolo que utiliza, y la carga útil, que es el contenido real del paquete.
Un paquete encapsulado es esencialmente un paquete dentro de otro paquete. En un paquete encapsulado, el encabezado y la carga útil del primer paquete van dentro de la sección de carga útil del paquete circundante. El propio paquete original se convierte en la carga útil.
Todos los paquetes utilizan protocolos de red (formas estandarizadas de formatear los datos) para llegar a sus destinos. Sin embargo, no todas las redes admiten todos los protocolos. Imaginemos que una empresa quiere establecer una red de área amplia (WAN) que conecte la Oficina A y la Oficina B. La empresa utiliza el protocolo IPv6, que es la última versión del Protocolo de Internet (IP), pero hay una red entre la Oficina A y la Oficina B que solo es compatible con IPv4. Al encapsular sus paquetes IPv6 dentro de paquetes IPv4, la empresa puede seguir utilizando IPv6 sin dejar de enviar datos directamente entre las oficinas.
La encapsulación también es útil para las conexiones de red encriptadas. La encriptación es el proceso de codificar los datos de manera que solo puedan ser desencriptados con una clave de encriptación secreta; el proceso de deshacer la encriptación se denomina desencriptación. Si un paquete está completamente encriptado, incluyendo el encabezado, los enrutadores de la red no podrán reenviar el paquete a su destino, ya que no tienen la clave ni pueden ver su encabezado. Al envolver el paquete encriptado dentro de otro paquete no encriptado, el paquete puede recorrer las redes con normalidad.
Una VPN es una conexión segura y encriptada en una red pública compartida. La tunelización es el proceso por el que los paquetes de la VPN llegan a su destino, que suele ser una red privada.
Muchas VPN utilizan el conjunto de protocolos IPsec. IPsec es un grupo de protocolos que se ejecutan directamente sobre IP en la capa de red. El tráfico de red en un túnel IPsec está completamente encriptado, pero se desencripta una vez que llega a la red o al dispositivo del usuario. (IPsec también tiene un modo llamado "modo de transporte" que no crea un túnel).
Otro protocolo de uso común para las VPN es Transport Layer Security (TLS). Este protocolo opera en la capa 6 o en la capa 7 del modelo OSI, en función de cómo se interprete el modelo. TLS se llama a veces SSL (Secure Sockets Layer), aunque SSL se refiere a un protocolo más antiguo que ya no se utiliza.
Normalmente, cuando un usuario conecta su dispositivo a una VPN, todo su tráfico de red pasa por el túnel VPN. La tunelización dividida permite que parte del tráfico salga del túnel VPN. En esencia, la tunelización dividida permite a los dispositivos de los usuarios conectarse a dos redes simultáneamente: una pública y otra privada.
La encapsulación de enrutamiento genérico (GRE) es uno de los varios protocolos de tunelización. GRE encapsula los paquetes de datos que utilizan un protocolo de enrutamiento dentro de los paquetes de otro protocolo. GRE es una forma de establecer una conexión directa punto a punto a través de una red, con el fin de simplificar las conexiones entre redes distintas.
GRE añade dos encabezados a cada paquete: el encabezado GRE y un encabezado IP. El encabezado GRE indica el tipo de protocolo utilizado por el paquete encapsulado. El encabezado IP encapsula la cabecera IP y la carga útil del paquete original. Solo los enrutadores de cada extremo del túnel GRE harán referencia al encabezado IP original, que no es GRE.
IP en IP es un protocolo de tunelización para encapsular paquetes IP dentro de otros paquetes IP. El IP en IP no encripta los paquetes y no se utiliza para las VPN. Su uso principal es establecer rutas de red que normalmente no estarían disponibles.
El protocolo Secure Shell (SSH) establece conexiones encriptadas entre el cliente y el servidor, y también puede utilizarse para establecer un túnel seguro. SSH opera en la capa 7 del modelo OSI, la capa de aplicación. En cambio, IPsec, IP en IP y GRE operan en la capa de red.
Además de GRE, IPsec, IP en IP y SSH, hay otros protocolos de túnel:
Cloudflare Magic Transit protege la infraestructura de red local, en la nube, e híbrida de los ataques DDoS y otras amenazas. Para que Magic Transit funcione, la red de Cloudflare tiene que estar conectada de forma segura a la red interna del cliente. Cloudflare utiliza la tunelización GRE para formar estas conexiones. Con la tunelización GRE, Magic Transit puede conectarse directamente a las redes de los clientes de Cloudflare de forma segura a través de la Internet pública.