Identificamos cuatro áreas de riesgo principales: arquitectura de red general, control de acceso, denegación de servicio y endpoints.
Arquitectura de red y preocupaciones de topología
Incluso en empresas con implementaciones exitosas de VPN, solo un pequeño subgrupo de personal, como vendedores remotos y personal de operaciones de TI, utilizan la VPN, lo que nos lleva a la primera preocupación inmediata: el conjunto de direcciones IP que usan las VPN para conectar a los usuarios a la red local. Por lo general, estos grupos son relativamente pequeños, en comparación con las direcciones IP utilizadas en la red local.
Para proporcionar casi el 100% de la fuerza de trabajo remota, las empresas deben asignar miles o incluso cientos de miles de direcciones IP más a los grupos de VPN y, según su topología de red interna, pueden tener que buscar direcciones IP de los antiguos bloques asignados localmente.
En segundo lugar, mientras se conecta a una VPN en una ubicación central de la empresa (como la sede de una empresa) puede funcionar lo suficientemente bien para el personal de operaciones o el personal de ventas, el cambio de grandes poblaciones de usuarios que generalmente trabajan en oficinas remotas puede introducir una latencia de red inaceptable. El gran salto en el número de usuarios activos colocará una mayor carga en los sistemas VPN centralizados. Idealmente, una empresa puede proporcionar puntos de presencia de VPN cerca del lugar donde vive el personal, aprovechando las conexiones troncales existentes a los sistemas de la sede, pero esto no siempre es posible.
Finalmente, muchas políticas de acceso a la red suponen que los usuarios están accediendo a sistemas corporativos conectados a la red local. La segmentación de red tradicional utiliza firewalls para evitar que los usuarios de un segmento de red accedan a servicios en otro. Por lo que se debe configurar la VPN para asignar a los usuarios las direcciones de grupo de IP específicas para sus roles y recursos necesarios. Por ejemplo, haga que todos los desarrolladores remotos ingresen a una subred diferente que el equipo de contabilidad. Esto no solo facilita el control de acceso, sino que también facilita el enrutamiento interno a los sistemas.
Es muy importante recordar que, a menos que tome medidas adicionales para proporcionar una autenticación sólida, sus empleados pueden no ser sus únicos usuarios de VPN; los hackers también pueden usar su VPN.
Control de acceso y riesgos de autenticación
La clave para cualquier estrategia de VPN es proporcionar una autenticación extremadamente fuerte de cualquier usuario y sus dispositivos que intenten conectarse. Al menos en una implementación simplista, cualquier persona que pueda conectarse y autenticarse a un punto final VPN es lo mismo que alguien que ingresa a la sede central y conectar su computadora. Puede autenticar a los usuarios de VPN de varias formas, desde autenticar el nombre de usuario y la contraseña hasta configuraciones más complejas, incluida la autenticación multifactor con elementos como certificados de cliente o tokens de hardware. Garantizar el uso de contraseñas seguras y la autenticación multifactorial de algún tipo es un requisito mínimo para todos los sistemas que lo admiten.
Puede proporcionar autenticación multifactor a través de una serie de mecanismos, incluida una aplicación de autenticación móvil, mensaje de texto, token de hardware o algún otro sistema.
Las empresas deben monitorear de cerca los sistemas de autenticación para detectar cualquier ataque de relleno de credenciales. La amenaza de estos ataques puede incluir la sobrecarga de los servidores VPN, el bloqueo deliberado de la cuenta del usuario e incluso el acceso total a la red.
Es importante, implementar dispositivos reforzados proporcionados por la compañía para trabajadores remotos, con certificados de cliente y protección de punto final.
Riesgos del dispositivo VPN
Las empresas necesitan monitorear de cerca los dispositivos VPN, tanto para el uso de la CPU y la memoria como para los cambios de configuración y evidencia de ataques de negación del servicio. En estos tiempos inusuales, estos dispositivos ahora pueden ser la única forma de ingresar a la empresa. Las empresas deben vigilar, proteger y aprovisionar estos dispositivos para resistir los ataques, ya que la alternativa es apagarlos. En tiempos normales, tal vez, esto podría ser un inconveniente; ahora esto significa que toda la compañía podría perder funciones críticas. Idealmente, implemente VPN en configuraciones de alta disponibilidad por la misma razón.
Las VPN pueden manejar el tráfico de diferentes maneras. La mayoría ofrece una opción de túnel dividido y una opción de túnel completo.
Es importante utilizar un cifrado robusto con la VPN. que debe ser resistente a los ataques y estar libre de vulnerabilidades conocidas. Aun así, muchas VPN proporcionan cifrados poco seguros para la interoperabilidad o compatibilidad, así que tenga cuidado al configurar valores predeterminados seguros.
Ancho de banda de trabajo remoto y problemas de red
No todos los trabajadores tienen Internet de alta velocidad en sus hogares. Además, a medida que más usuarios están trabajando de manera remota, la evidencia muestra que los proveedores de servicios están luchando con el aumento de la carga en sus redes.
Las VPN no son económicas en términos de ancho de banda y pueden ser bastante sensibles a la calidad de la red en lo que respecta al rendimiento. Las compensaciones en los formularios VPN específicos pueden ser fundamentales para ofrecer un rendimiento aceptable a los trabajadores que lo hacen de manera remota. Es posible que las compañías también necesiten limitar a los trabajadores que lo hacen de manera remota a utilizar solo aquellos sistemas necesarios para hacer su trabajo y alentarlos a evitar el movimiento pesado de datos para preservar el ancho de banda de la red.
Riesgos del endpoint
Como se señaló anteriormente, la seguridad del punto final es crítica para asegurar las implementaciones. Idealmente, los dispositivos a los que se les permite conectarse a las VPN son sistemas totalmente parchados administrados por la empresa, con certificaciones de autenticación, contraseñas seguras y software de protección de punto final instalado. Estos se pueden administrar de forma remota como cuando están en la LAN, y muchas VPN ofrecen instalaciones para detectar si las máquinas que se conectan a ellas cumplen con políticas de seguridad específicas en términos de nivel de parche o software instalado.
Sin embargo, en implementaciones rápidas como las que estamos viendo actualmente, los puntos finales de los trabajadores que lo hacen a distancia pueden tener que usar cualquier computadora que tengan en casa. Estas pueden ser máquinas antiguas con poca potencia y sin parches. Las empresas tendrán una visibilidad limitada de su configuración y ninguna garantía sobre su seguridad. Es posible que estas computadoras ya estén infectadas con malware, que puede aprovechar la oportunidad de conexión a una VPN para infectar otras máquinas, incluidos los sistemas críticos dentro de la empresa. Si el punto final es parte de una botnet o tiene un troyano de acceso remoto instalado, los atacantes pueden usar el punto final como un pivote en la red corporativa.
La mejor práctica es asumir que cualquier conexión de dispositivo desconocido ya está fracturado e instituir un monitoreo y controles apropiados para detectar actividades maliciosas.
Algunas posibles alternativas
Dependiendo del acceso requerido para los nuevos trabajadores a distancia, las compañías pueden reducir algunos de estos riesgos limitando el acceso solo a los sistemas explícitamente necesarios.
Los escritorios remotos también pueden ser una buena herramienta, si está disponible. Los usuarios se conectan a una computadora virtual que está dentro de los límites de la red de la compañía. Este escritorio virtual permite que todos los datos y aplicaciones permanezcan dentro de la red de la empresa; solo la representación visual se envía a la pantalla del usuario. Por lo que el departamento de TI podrá monitorear, administrar y mantener estos escritorios virtuales como cualquier otra computadora en la red corporativa.
Los servicios de terceros, como el correo electrónico SaaS, el intercambio de archivos, el chat y especialmente los servicios en la nube, pueden ser útiles: la implementación rápida en una gran población de usuarios es más fácil si alguien más maneja los registros y proporciona el ancho de banda y los servidores. Simplemente hay que ser muy claro en la estrategia de nube y comprenda los riesgos.
Por F5 Networks