| Artículos | 01 ABR 2007

Riesgos en las VPN móviles

Tags: Histórico
Daniel Comino.
La vorágine de los negocios actuales hace que las empresas traspasen los muros de sus edificios y extiendan sus redes de influencia a cualquier parte del mundo. En este sentido, la vía más utilizada por los trabajadores móviles para acceder a los recursos de su empresa cuado están a kilómetros de distancia pasa por las redes privadas virtuales. Por eso, les ofrecemos un práctico de configuración de una VPN en forma agresiva con el nuevo UTM TZ 190 de SonicWALL.

A simple vista, una VPN (Virtual Private Network) no es más que realizar una conexión punto a punto entre un cliente privado y su sede corporativa, utilizando los canales públicos disponibles (internet).
Debido a su naturaleza, las redes privadas virtuales suelen ser un foco muy goloso para los hackers, ya que a través de ellas circulan datos confidenciales (presentaciones, correo electrónico o contratos, entre otros), llevándolos desde un lugar eminentemente seguro (como es una infraestructura interna de la red corporativa), hasta un lugar externo, y por lo tanto, más débil, lo que los convierte en blanco preferidos de muchos atacantes.
Cuando un cliente realiza una conexión VPN son muchos los factores que intervienen en el proceso y todos ellos merecen nuestra atención desde el punto de vista de la seguridad. El primero de los factores importantes es el ordenador origen que efectúa la transacción (generalmente un ordenador portátil), ya que, debido a que está fuera de los dominios de la empresa, debe ser tratado como vulnerable, ya que es susceptible de haberse infectado con virus, no contar con las últimas actualizaciones del sistema operativo (y por lo tanto ser objeto de ataques publicados y conocidos en internet) o, simplemente, estar controlado por un atacante remoto, que es el que pretende iniciar una conexión privada virtual. Para protegernos a este nivel, en primer lugar habremos de asegurarnos de que el PC desde el que realizamos la conexión es seguro (no hacerlo desde un internet café o desde ordenadores compartidos en ferias o congresos), así como de que tiene actualizado el fichero de firmas del antivirus, no existen incidencias de programas espía o cualquier tipo de malware (keyloggers o sniffers, por ejemplo).
Otro de los factores es el entorno de conexión desde donde se produzca la petición de VPN, ya que no es lo mismo acceder desde una sede remota en la que la seguridad es tenida en cuenta, o desde la habitación de un hotel con acceso compartido, desde un punto de acceso (hotspot) inalámbrico de la calle o de un aeropuerto, ya que el nivel de amenaza aumenta a medida que nos encontramos en un entorno más desconocido. De hecho, hay ciertos puntos de acceso colocados estratégicamente en las proximidades de los hoteles de forma gratuita, con el fin de que los usuarios más inexpertos se conecten a ellos y realicen conexiones a sus respectivas empresas, con el peligro evidente que ello conlleva. Por lo tanto, lo más recomendable es realizar conexiones VPN desde dispositivos de confianza (como un módem 3G), ya que, de otra forma, es posible que, sin nuestro consentimiento, alguien esté tratando de recoger la información que fluye entre nuestro PC y el exterior (direcciones de conexión, contraseñas de acceso a recursos o información privilegiada).
El siguiente aspecto que debemos tener en cuenta es la propia línea por la que circulan los datos. Si ésta es la propia internet, hemos de tener en cuenta que nuestros datos pasarán por decenas de puntos intermedios, y en cualquiera podrían estar monitorizando la información que enviamos y recibimos (los ataques denominados “man in the middle”), aunque si aplicamos medidas de seguridad podremos minimizar riesgos. En este punto, otra de las opciones es utilizar proveedores específicos, que nos suministren canales seguros para realizar nuestras conexiones privadas.
En cualquier caso, sea cual sea nuestro canal de transmisión, es muy recomendable que, para proteger nuestra privacidad, los datos que enviamos y recibimos por los canales no seguros viajen de forma encriptada, con del fin de que si son robados en el camino, el atacante no pueda ver su contenido, quedando inservible. En este sentido es recomendable establecer medidas de seguridad adicionales sobre los túneles que se establecen en la conectividad VPN, por ejemplo con la aplicación de protocolos de encriptación, como IKE (Internet Key Exchange, o intercambio de claves por Internet), protocolo que se utiliza en dentro de IPSec y que refuerza la seguridad en las comunicaciones. Incluso, una técnica que se está aplicando cada más es la autenticación de los interlocutores en las VPN, a través de dispositivos que aseguren que ambos extremos son quien dice ser (mediante el uso de token y cetrificados).

Dispositivos VPN
Desde el punto de vista profesional, cada vez más las empresas, conscientes de las ventas de las conexiones VPN, ofrecen este tipo de servicios a sus empleados. De hecho, gran parte de las soluciones actuales que se suministran a nivel de seguridad, como los conocidos appliances de seguridad o los UTM (Unified Thread Management, o gestión unificada de amenazas), integran funcionalidades para la creación y gestión de VPN de forma centralizada. En este sentido, prácticamente todos los fabricantes de soluciones de seguridad cuentan con servidores que dotan a la empresa de infraestructura de VPN (Cisco, Checkpoint o SonicWALL, entre otros).
No obstante, aunque muchas organizaciones cuentan con los recursos necesarios para el establecimiento de redes privadas virtuales, lo cierto es que no todas tienen en cuenta los aspectos de seguridad anteriormente comentados, aunque la mayor parte de los sistemas para la creación de VPN sí los admiten.
Aquí, en primer lugar, es importante establecer medidas de protección y defensa ante posibles incumplimientos que nosotros establezcamos, por ejemplo, la obligatoriedad de contar con un antivirus actualizado antes de conectarnos a los recursos internos de la red. Aquí entran en juego las redes de cuarentena, que permiten, en base a ciertos parámetros, aislar a los clientes que no cumplan determinadas políticas predefinidas.
Además de esto, independientemente de las áreas de cuarentena que establezcamos a la hora de permitir el acceso a nuestros clientes o empleados, es muy recomendable aplicar políticas restrictivas y agresivas a partir de los dispositivos que soportan las conexiones externas, ya que realmente son la puerta de entrada a nuestra organización desde entornos en los que no debemos confiar, como por ejemplo, la configuración de redes privadas en modo agresivo.


Configuración de redes privadas en modo agresivo
------------------------------------------------------------------------
A modo de ejemplo, hemos querido repasar algunos detalles y para ello hemos seleccionado un producto de SonicWALL, TZ 190, el último dispositivo en llegar a la gama de UTM de la compañía, que proporciona seguridad y conectividad 3G.
En primer lugar, es necesario, dentro del software que guía al dispositivo, configurar la política de VPN mediante IKE (Internet Key Exchange). Para ello, el primer paso es acceder a la página de configuración y de ahí pasar al VPN Policy Wizard, para allí, dentro de la pestaña General, en IPSEc Keying Mode, seleccionar IKE using Preshared Secret; asignar un nombre a la política de VPN, para poder aplicarla posteriormente; el nombre del host y la dirección IP de la conexión remota en IPSec Primary Gateway Name or Addres

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información