Recientemente, escribimos una serie de posts sobre nuestras predicciones para las principales tendencias en ciberseguridad para el 2022, incluyendo la necesidad de asegurar la fuerza de trabajo distribuida. En esta breve serie de blogs, hablaremos con más detalle de las VPN y otras tecnologías de acceso remoto seguro.
Los rápidos cambios en el panorama de la seguridad, así como el cambio impulsado por la pandemia y el trabajo remoto, han alterado radicalmente el panorama laboral. La nueva realidad son las oficinas descentralizadas, los lugares de trabajo remotos y la «sucursal de uno», ya que tanto los empleadores como el personal han descubierto importantes beneficios en una fuerza de trabajo distribuida.
En los primeros días de la pandemia, los equipos de TI y de seguridad se apresuraron a dar apoyo al personal recién llegado de forma remota. En general, recurrieron a las tecnologías ya disponibles en sus infraestructuras, principalmente las VPN. Las VPN pueden ayudar a los trabajadores remotos, a las sucursales, a los socios comerciales y a los proveedores a establecer una conexión segura y de confianza con la red de la empresa, garantizando al mismo tiempo la seguridad e integridad de los datos.
Mientras que las tecnologías más nuevas, como SD-WAN, ZTNA y SASE, han comenzado a hacer incursiones en el apoyo a la fuerza de trabajo distribuida, la realidad es que la VPN es probable que esté con nosotros en el futuro previsible, aunque sólo sea como una base para los nuevos métodos de acceso remoto seguro. Además, el traslado de la infraestructura existente es costoso y la reeducación de los trabajadores también lo es. Sin embargo, se puede lograr una transición suave en la que las nuevas tecnologías coexistan y aprovechen las infraestructuras VPN existentes.
Por tanto, conocer los puntos fuertes -y débiles- de las soluciones VPN es esencial para planificar el apoyo a largo plazo de los trabajadores remotos y distribuidos.
Principios básicos de la VPN IPsec
Los dos tipos principales de VPN que se utilizan hoy en día son la VPN de seguridad del protocolo de Internet (IPsec VPN) en la capa de red, y la VPN de capa de sockets seguros (SSL VPN) en la capa de sesión. Sin embargo, es importante mencionar que existe un tercer tipo, el Protocolo de Túnel Punto a Punto (PPTP), que opera en la capa de enlace de datos pero que se considera obsoleto debido a múltiples problemas de seguridad.
IPsec VPN se utiliza ampliamente y es una arquitectura completa para la seguridad de la capa de red. Especifica cómo seleccionar los protocolos de seguridad, cómo determinar los algoritmos de seguridad, cómo intercambiar claves entre pares y cómo proporcionar servicios de seguridad de red como el control de acceso, la autenticación de la fuente de datos y el cifrado de datos. En resumen, esta tecnología está pensada para tender un puente entre la conectividad y la seguridad; de ahí que se considere todavía una tecnología básica que estará aquí para quedarse, incluso cuando hagamos la transición hacia SD-WAN, ZTNA y SASE para asegurar la fuerza de trabajo distribuida.
IPsec admite la monitorización y la copia de seguridad redundante, el desvío de tráfico de paquetes de texto plano y IPv6 de forma nativa. También dispone de funciones de mejora del rendimiento gracias a las CPU de Intel, por ejemplo, y a otros medios.
IPsec admite dos protocolos de encapsulación de datos. El protocolo Authentication Header (AH) que protege contra los ataques de inserción de opciones y cabeceras, y protege las cargas útiles y los campos de cabecera de IP, con la excepción de unos pocos campos de cabecera necesarios durante el tránsito. El protocolo ESP (Encapsulating Security Payload), que trabaja en modo túnel, encapsula el datagrama IP interno, mientras que la cabecera externa está desprotegida.
Cualquiera de los dos métodos, o ambos, pueden ser utilizados dependiendo de las necesidades de seguridad de cada conexión IPsec; sin embargo, ESP en general, añade una sobrecarga de procesamiento que puede aumentar la latencia. Tanto ESP como AH proporcionan protección de datos, aunque a través de diferentes métodos, pero en algunas regiones, ESP no está permitido debido a las restricciones en la criptografía fuerte.
Dependiendo de la opción de encapsulación elegida, se puede seleccionar una amplia variedad de algoritmos de negociación de claves, encriptación y autenticación. La negociación de claves (llamada asociación de seguridad, utilizada por IPsec para establecer la VPN) puede ser manual o automática a través de los métodos IKE, que pueden aprovechar XAUTH para una mayor autenticación. Los algoritmos de cifrado incluyen 3DES, DES, AES y otros; los algoritmos de autenticación incluyen MD5, SHA, SHA256 y otros.
IKE engloba otros múltiples protocolos como ISAKMP y Oakley para definir la negociación y el intercambio de claves. Uno de sus principales inconvenientes es que define automáticamente nombres de VPN que no son legibles para el ser humano. Esto puede hacer que sea extremadamente difícil de gestionar y depurar, especialmente si se han definido varias VPNs IPsec; sin embargo, ciertas tecnologías como el controlador HSM v5.1 SD-WAN de Hillstone permiten nombres de VPN IKE definidos por el usuario para facilitar la gestión.
Dónde utilizar IPsec VPN
IPsec se utiliza ampliamente para conectar sucursales o lugares similares a la red corporativa. Los dispositivos VPN de cada ubicación se utilizan para establecer enlaces cifrados seguros y permanentes. Debido a la complejidad de la configuración y al coste para los clientes, es menos habitual utilizar IPsec para los trabajadores remotos, aunque se puede hacer. Un esquema consiste en configurar un único túnel VPN en la red corporativa, al que se conectan varios dispositivos remotos a través de un cliente.
Algunos dispositivos de red y la mayoría, si no todos, los firewalls de última generación (incluyendo los de Hillstone) soportan IPsec de forma nativa. Hillstone ofrece una serie de manuales y guías de usuario para establecer y configurar VPNs IPsec en varios escenarios, incluyendo las conexiones a los recursos de la nube.
Alternativas y transiciones
Como ya se ha comentado, el trabajo a distancia ya no es un fenómeno, sino que se ha convertido en el statu quo, pero las tecnologías heredadas, como IPsec, probablemente seguirán existiendo durante mucho tiempo. De cara al futuro, los equipos de TI y de seguridad pueden empezar a prepararse para el futuro sustituyendo o superponiendo tecnologías más nuevas sobre las infraestructuras IPsec.
Por ejemplo, SD-WAN, un componente de Secure Access Service Edge (SASE) de Gartner, puede desplegarse hoy para dar soporte a las sucursales y a los trabajadores remotos, aprovechando las conexiones VPN IPsec existentes. Una arquitectura de red de confianza cero, otro componente de SASE, también puede implementarse sobre las conexiones de trabajo remoto existentes para mejorar la seguridad.
En nuestro próximo post, profundizaremos un poco más en la VPN SSL, cómo funciona, y cómo puede comenzar la transición a SASE allí también. Para obtener más información sobre las soluciones de Hillstone y cómo pueden apoyar la transición a SASE, póngase en contacto con su representante local de Hillstone o distribuidor autorizado hoy.