Todas las comunicaciones entre sitios que forman parte de una red publica son vulnerables a ataques de escuchas, éste riesgo está asociado con la importancia que tiene la información para quien tenga la habilidad de interceptar dicha comunicación. La seguridad en transito enfatiza la necesidad de mantener los datos seguros mientras transitan una red pública como Internet. Así, disponemos de ciertas funciones o servicios que cubren distintos puntos de este aspecto.
Limitar la exposición de la red interna
De esta forma podemos ocultar "todo" lo que sucede dentro de la red de la organización de la red publica, que de otra forma significaría un riesgo en la seguridad de las comunicaciones y los recursos.
Mediante este servicio es posible ocultar el esquema de direcciones de la red interior, para evitar que cualquier host no confiable efectúe comunicaciones de forma directa con alguno de los host de nuestra red, así como también asegurar que todo el trafico entre hosts confiables de la red privada que atraviese una red publica se mantenga de esa forma (es decir, solo accesible a aquellos hosts a quienes está destinada la comunicación). Estas funcionalidades pueden ser logradas mediante el uso de la Traducción de Direcciones de Red (NAT) y de Redes Privadas Virtuales (VPN) respectivamente.
Criptografía
La necesidad de comunicarnos nos ha llevado a un nivel de conexión que nos permite enviar datos a cualquier sitio del mundo. Surge entonces el riesgo de que cualquiera pueda interceptar nuestros mensajes; si nuestros datos tienen cierta confidencialidad sería entonces deseable que nadie, que intercepte dicha comunicación, pueda acceder a ellos, sino solo el receptor deseado.
La criptografía es la transformación de un mensaje, mediante mecanismos y claves, en una forma ilegible y sin sentido propio. De esta forma, quien intercepte un mensaje encriptado no será capaz de saber que es lo que tiene en su poder. Los mecanismos de encriptación utilizados en la actualidad aseguran que solo el receptor deseado sea capaz de leer el mensaje recibido aplicando el proceso inverso de encriptación.
La criptografía ofrece una segunda funcionalidad: autenticación. ¿Sabemos con quién nos comunicamos en Internet? ¿Es confiable la otra parte? La criptografía agrega a las comunicaciones sobre Internet un aspecto de seguridad muy importante, la certeza de la identidad de aquellos terceros con quien se establecen comunicaciones y se intercambia información. El hecho de poder desencriptar un mensaje correctamente, por parte del receptor deseado, le da la seguridad de quién lo ha enviado ya que solo dicha entidad pudo encriptar el mensaje que ha sido recibido (aunque existen algunas consideraciones a este respecto que serán tratadas más adelante). Así, se detectará si un tercero intenta modificar el mensaje o inyectar uno falso, ya que no posee los mismos medios que el emisor original para encriptar el mensaje.
Existen variados métodos de encriptación más o menos complejos y efectivos que exige una decisión en términos de economía, nivel de protección e impacto sobre los sistemas existentes sobre los que se implementará.
Tunneling de Tráfico, Puntos de control y Monitoreo
La transmisión de paquetes entre dos sistemas finales remotos en Internet involucra la intervención de varios sistemas intermedios que pueden tener acceso a la información transmitida si no se considera ningún esquema de privacidad.
Un túnel es un tipo especial de conexión entre dos sistemas a través de una red. La conexión establecida es directa y virtual es decir que simulan una conexión por cable directa que comunica dos sistemas. Estas conexiones pueden ser usadas para evitar las limitaciones de una topología ya que un paquete enviado a través de un túnel pasa inadvertido de los nodos que intervienen en la ruta real hasta el destinatario (quien también tiene configurado el túnel). Por ejemplo un túnel puede comunicar dos sitios remotos que estén conectados mediante proveedores de conexión a redes públicas (como un ISP). Este tipo de conexiones proveen de servicios tales como encriptado de datos, autenticación, control de acceso (autorización) e integridad de datos Dos firewalls conectados mediante túneles ofrecen protección del exterior mientras que el túnel provee conectividad. Si el tráfico del túnel es encriptado, los riesgos son menores y los beneficios son importantes.
Con la utilización de un túnel, un host que se encuentra físicamente en otra red, pertenece virtualmente a nuestra red local con lo que es posible que un servidor ofrezca un servicio más confiable y transparente a sus usuarios. En favor de esto último, las conexiones de túnel existen más allá del tiempo de conexión, es decir, no terminan cuando la transmisión de datos entre los dos sistemas ha finalizado; es una conexión acordada y configurada previa a cualquier transmisión de datos y, en principio, permanente.
Configurados adecuadamente, los túneles permiten forzar el tráfico (de entrada y salida) de un firewall a través de puntos de control específicos del mismo y de esta forma es posible monitorear la actividad de la red en tales puntos de acceso; utilizando alarmas y habilitando el registro del firewall podemos buscar actividades sospechosas para detectar la presencia de intrusos, además de los beneficios ya comentados de utilizar un túnel.