Riesgos a considerar en las Implementaciones de VPN

Con la reciente implementaci贸n repentina y apresurada de servicios de red privada virtual (VPN) para soportar una avalancha de nuevos trabajadores remotos, muchas compa帽铆as est谩n descubriendo de primera mano los matices de las VPN que pueden conducir a un mayor riesgo.

Identificamos cuatro 谩reas de riesgo principales: arquitectura de red general, control de acceso, denegaci贸n de servicio y endpoints.

Arquitectura de red y preocupaciones de topolog铆a

Incluso en empresas con implementaciones exitosas de VPN, solo un peque帽o subgrupo de personal, como vendedores remotos y personal de operaciones de TI, utilizan la VPN, lo que nos lleva a la primera preocupaci贸n inmediata: el conjunto de direcciones IP que usan las VPN para conectar a los usuarios a la red local. Por lo general, estos grupos son relativamente peque帽os, en comparaci贸n con las direcciones IP utilizadas en la red local.

Para proporcionar casi el 100% de la fuerza de trabajo remota, las empresas deben asignar miles o incluso cientos de miles de direcciones IP m谩s a los grupos de VPN y, seg煤n su topolog铆a de red interna, pueden tener que buscar direcciones IP de los antiguos bloques asignados localmente.

En segundo lugar, mientras se conecta a una VPN en una ubicaci贸n central de la empresa (como la sede de una empresa) puede funcionar lo suficientemente bien para el personal de operaciones o el personal de ventas, el cambio de grandes poblaciones de usuarios que generalmente trabajan en oficinas remotas puede introducir una latencia de red inaceptable. El gran salto en el n煤mero de usuarios activos colocar谩 una mayor carga en los sistemas VPN centralizados. Idealmente, una empresa puede proporcionar puntos de presencia de VPN cerca del lugar donde vive el personal, aprovechando las conexiones troncales existentes a los sistemas de la sede, pero esto no siempre es posible.

Finalmente, muchas pol铆ticas de acceso a la red suponen que los usuarios est谩n accediendo a sistemas corporativos conectados a la red local. La segmentaci贸n de red tradicional utiliza firewalls para evitar que los usuarios de un segmento de red accedan a servicios en otro. Por lo que se debe configurar la VPN para asignar a los usuarios las direcciones de grupo de IP espec铆ficas para sus roles y recursos necesarios. Por ejemplo, haga que todos los desarrolladores remotos ingresen a una subred diferente que el equipo de contabilidad. Esto no solo facilita el control de acceso, sino que tambi茅n facilita el enrutamiento interno a los sistemas.

Es muy importante recordar que, a menos que tome medidas adicionales para proporcionar una autenticaci贸n s贸lida, sus empleados pueden no ser sus 煤nicos usuarios de VPN; los hackers tambi茅n pueden usar su VPN.

Control de acceso y riesgos de autenticaci贸n

La clave para cualquier estrategia de VPN es proporcionar una autenticaci贸n extremadamente fuerte de cualquier usuario y sus dispositivos que intenten conectarse. Al menos en una implementaci贸n simplista, cualquier persona que pueda conectarse y autenticarse a un punto final VPN es lo mismo que alguien que ingresa a la sede central y conectar su computadora. Puede autenticar a los usuarios de VPN de varias formas, desde autenticar el nombre de usuario y la contrase帽a hasta configuraciones m谩s complejas, incluida la autenticaci贸n multifactor con elementos como certificados de cliente o tokens de hardware. Garantizar el uso de contrase帽as seguras y la autenticaci贸n multifactorial de alg煤n tipo es un requisito m铆nimo para todos los sistemas que lo admiten.

Puede proporcionar autenticaci贸n multifactor a trav茅s de una serie de mecanismos, incluida una aplicaci贸n de autenticaci贸n m贸vil, mensaje de texto, token de hardware o alg煤n otro sistema.

Las empresas deben monitorear de cerca los sistemas de autenticaci贸n para detectar cualquier ataque de relleno de credenciales. La amenaza de estos ataques puede incluir la sobrecarga de los servidores VPN, el bloqueo deliberado de la cuenta del usuario e incluso el acceso total a la red.

Es importante, implementar dispositivos reforzados proporcionados por la compa帽铆a para trabajadores remotos, con certificados de cliente y protecci贸n de punto final.

Riesgos del dispositivo VPN

Las empresas necesitan monitorear de cerca los dispositivos VPN, tanto para el uso de la CPU y la memoria como para los cambios de configuraci贸n y evidencia de ataques de negaci贸n del servicio. En estos tiempos inusuales, estos dispositivos ahora pueden ser la 煤nica forma de ingresar a la empresa. Las empresas deben vigilar, proteger y aprovisionar estos dispositivos para resistir los ataques, ya que la alternativa es apagarlos. En tiempos normales, tal vez, esto podr铆a ser un inconveniente; ahora esto significa que toda la compa帽铆a podr铆a perder funciones cr铆ticas. Idealmente, implemente VPN en configuraciones de alta disponibilidad por la misma raz贸n.

Las VPN pueden manejar el tr谩fico de diferentes maneras. La mayor铆a ofrece una opci贸n de t煤nel dividido y una opci贸n de t煤nel completo.

Es importante utilizar un cifrado robusto con la VPN. que debe ser resistente a los ataques y estar libre de vulnerabilidades conocidas. Aun as铆, muchas VPN proporcionan cifrados poco seguros para la interoperabilidad o compatibilidad, as铆 que tenga cuidado al configurar valores predeterminados seguros.

Ancho de banda de trabajo remoto y problemas de red

No todos los trabajadores tienen Internet de alta velocidad en sus hogares. Adem谩s, a medida que m谩s usuarios est谩n trabajando de manera remota, la evidencia muestra que los proveedores de servicios est谩n luchando con el aumento de la carga en sus redes.

Las VPN no son econ贸micas en t茅rminos de ancho de banda y pueden ser bastante sensibles a la calidad de la red en lo que respecta al rendimiento. Las compensaciones en los formularios VPN espec铆ficos pueden ser fundamentales para ofrecer un rendimiento aceptable a los trabajadores que lo hacen de manera remota. Es posible que las compa帽铆as tambi茅n necesiten limitar a los trabajadores que lo hacen de manera remota a utilizar solo aquellos sistemas necesarios para hacer su trabajo y alentarlos a evitar el movimiento pesado de datos para preservar el ancho de banda de la red.

Riesgos del endpoint

Como se se帽al贸 anteriormente, la seguridad del punto final es cr铆tica para asegurar las implementaciones. Idealmente, los dispositivos a los que se les permite conectarse a las VPN son sistemas totalmente parchados administrados por la empresa, con certificaciones de autenticaci贸n, contrase帽as seguras y software de protecci贸n de punto final instalado. Estos se pueden administrar de forma remota como cuando est谩n en la LAN, y muchas VPN ofrecen instalaciones para detectar si las m谩quinas que se conectan a ellas cumplen con pol铆ticas de seguridad espec铆ficas en t茅rminos de nivel de parche o software instalado.

Sin embargo, en implementaciones r谩pidas como las que estamos viendo actualmente, los puntos finales de los trabajadores que lo hacen a distancia pueden tener que usar cualquier computadora que tengan en casa. Estas pueden ser m谩quinas antiguas con poca potencia y sin parches. Las empresas tendr谩n una visibilidad limitada de su configuraci贸n y ninguna garant铆a sobre su seguridad. Es posible que estas computadoras ya est茅n infectadas con malware, que puede aprovechar la oportunidad de conexi贸n a una VPN para infectar otras m谩quinas, incluidos los sistemas cr铆ticos dentro de la empresa. Si el punto final es parte de una botnet o tiene un troyano de acceso remoto instalado, los atacantes pueden usar el punto final como un pivote en la red corporativa.

La mejor pr谩ctica es asumir que cualquier conexi贸n de dispositivo desconocido ya est谩 fracturado e instituir un monitoreo y controles apropiados para detectar actividades maliciosas.

Algunas posibles alternativas

Dependiendo del acceso requerido para los nuevos trabajadores a distancia, las compa帽铆as pueden reducir algunos de estos riesgos limitando el acceso solo a los sistemas expl铆citamente necesarios.

Los escritorios remotos tambi茅n pueden ser una buena herramienta, si est谩 disponible. Los usuarios se conectan a una computadora virtual que est谩 dentro de los l铆mites de la red de la compa帽铆a. Este escritorio virtual permite que todos los datos y aplicaciones permanezcan dentro de la red de la empresa; solo la representaci贸n visual se env铆a a la pantalla del usuario. Por lo que el departamento de TI podr谩 monitorear, administrar y mantener estos escritorios virtuales como cualquier otra computadora en la red corporativa.

Los servicios de terceros, como el correo electr贸nico SaaS, el intercambio de archivos, el chat y especialmente los servicios en la nube, pueden ser 煤tiles: la implementaci贸n r谩pida en una gran poblaci贸n de usuarios es m谩s f谩cil si alguien m谩s maneja los registros y proporciona el ancho de banda y los servidores. Simplemente hay que ser muy claro en la estrategia de nube y comprenda los riesgos.

Por F5 Networks


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.