Tipos habituales de VPN (Virtual Private Network o Red Privada Virtual) para acceso seguro a los sistemas de información de una organización en modalidad de teletrabajo y teleasistencia: VPN site-tosite, VPN de acceso remoto, VPN de equipo a equipo y VPN Cloud.
- VPN Virtual Private Network o Red Privada Virtual.
- Tipo 1: VPN site-to-site.
- Tipo 2: VPN de acceso remoto.
- Tipo 3: VPN de equipo a equipo.
- Tipo 4: VPN Cloud.
VPN Virtual Private Network o Red Privada Virtual
Una Red Privada Virtual (VPN, Virtual Private Network) es una tecnología que establece una conexión virtual segura, conocida como “túnel”, construida sobre una red física insegura (normalmente una red pública como Internet). Una VPN proporciona múltiples mecanismos de seguridad para proteger la información transmitida, y para permitir el acceso seguro y controlado a los recursos que protege.
Las VPN se establecen mediante servidores o gateways VPN, que son los elementos de red encargados de la creación o terminación de una o varias VPN. Se ubican, por lo tanto, en el extremo de la comunicación, y se encargan de realizar el encapsulado, desencapsulado, cifrado y descifrado del tráfico a través de la VPN y de darle validez en la red local. El concentrador VPN debe ser un equipo con altas medidas de seguridad, y con los mínimos servicios habilitados en el sistema.
Las VPN utilizan protocolos de seguridad criptográficos (protocolos tunelizados o tunneling protocols) que son los que proporcionan protección a la información transmitida. Los más extendidos son TLS (Transport Layer Security Protocol) e IPsec (Internet Protocol Security).
Las principales propiedades de seguridad proporcionadas por las VPN son las que se indican a continuación. Algunas de ellas son proporcionadas por los protocolos de seguridad empleados, mientras que otras son proporcionadas por los servidores VPN:
- Confidencialidad: protege los datos de accesos no autorizados. Esto es posible gracias a mecanismos de cifrado simétrico de datos, que utilizan algoritmos criptográficos y claves secretas (valores conocidos solo por dos partes entre las que se establece la comunicación). Los datos solo pueden ser descifrados por alguien que conozca la clave secreta.
- Integridad y Autenticidad: protege los datos frente a modificaciones no autorizadas durante la comunicación. Del mismo modo, garantiza que el mensaje procede del emisor auténtico. Ambas características son posibles gracias a mecanismos que generan un valor de autenticación de mensaje (MAC, Message Authentication Code). Si los datos son alterados de forma no autorizada, el nuevo resultado calculado sobre el mensaje será distinto. Y el cálculo del valor MAC correcto solo es posible cuando emisor y receptor conocen la clave secreta correcta.
- Autenticación mutua: garantiza que la comunicación se desarrolla entre los auténticos participantes. Esto es posible porque cada extremo de la comunicación confirma la identidad del otro. En general, la autenticación se lleva a cabo mediante el uso de certificados de clave pública X.509 emitidos por una CA reconocida por ambos extremos.
- Protección frente a reenvíos: garantiza que los datos no serán entregados más de una vez. De esta forma, un atacante no podrá interceptar y retirar alguno de los paquetes que componen el mensaje, e insertar otros paquetes malintencionados en la comunicación. Esto es posible gracias a mecanismos de secuencias asociados a los paquetes.
- Protección frente al análisis de tráfico: garantiza que no se podrá extraer información valiosa a través del análisis del tráfico de la comunicación (como datos sobre emisor y receptor, frecuencia de la comunicación, cantidad de datos transmitidos, etc.).
- Control de acceso: garantiza que sólo los usuarios autorizados podrán acceder a determinados recursos de la organización. Esto es posible gracias a mecanismos de filtrado, que permiten habilitar o bloquear ciertos tipos de tráfico de red, por ejemplo, permitiendo los accesos web, pero no la compartición de ficheros.
- Evaluación del estado de seguridad del dispositivo cliente (Host Check): chequeando las herramientas de protección de las que dispone, como un software antivirus actualizado, firewalls, y parches de seguridad. Según los resultados del chequeo, se puede permitir o denegar el acceso a la red interna, a cierta categoría de recursos o a recursos individuales.
- Características de proxy: de forma que el servidor VPN hace de intermediario entre la red pública y los recursos de la red interna.
- Integración con otros elementos de seguridad corporativos, a los que el servidor VPN puede enviar información sobre el tráfico, el usuario, el dispositivo y la actividad que se está realizando.
Aunque las VPN reducen el riesgo asociado a las comunicaciones realizadas a través de redes no seguras, es importante entender que no lo eliminan al completo. Se debe tener en cuenta lo siguiente:
- Existen riesgos asociados a la fortaleza de la implementación de la VPN, como, por ejemplo, debilidades del algoritmo de cifrado o del software que lo implementa, que la clave secreta se vea comprometida, uso de valores aleatorios que no sean generados con suficiente aleatoriedad, etc.
- Medidas complementarias de vigilancia. Hay escenarios en que los sistemas, por su origen y naturaleza, tienen grandes dificultades para cumplir con los requisitos de seguridad exigidos al tipo de información que manejan y servicios que prestan. En estos casos, es donde cobra importancia la posibilidad de implementar sistemas complementarios de vigilancia que equilibren la superficie de exposición. Una medida complementaria de vigilancia importante en las conexiones VPN será la monitorización del tráfico intercambiado en la conexión VPN para apoyar la identificación de anomalías en el comportamiento; flujos de comunicación en la red, protocolos utilizados y estadísticas en tiempo real.
Una infraestructura VPN está, normalmente, formada por dos elementos principales:
- El servidor, concentrador o gateway VPN: es el elemento básico de la infraestructura VPN, encargado de establecer las conexiones seguras (túnel VPN) con los dispositivos del usuario o con otros servidores VPN.
- Cliente VPN: es el software que debe ser instalado en los dispositivos de usuario para poder establecer la conexión segura con el servidor VPN.
Tipo 1: VPN site-to-site
Es la empleada para proteger las comunicaciones entre dos redes, a través de una red pública (como por ejemplo Internet), manteniendo la seguridad y enrutando las comunicaciones. Suele emplearse para conectar oficinas secundarias, con una sede central. Es más económico y seguro que utilizar redes de área extensas (WAN, Wide Area Networks).
Normalmente se implementa con un servidor VPN en cada extremo de la comunicación, de forma que entre ambos servidores se establece la conexión VPN. Cuando un equipo en la red A necesite establecer comunicación segura con otro equipo en la red B, el tráfico será enrutado automáticamente a través de la conexión VPN establecida entre los dos servidores VPN.
El servidor VPN puede ser un dispositivo físico dedicado (appliance) o puede formar parte de otro dispositivo de red, como puede ser un enrutador (router) o un cortafuegos (firewall).
En este modelo, los equipos cliente no tienen que tener instalado ningún software VPN, ni requieren ningún tipo de configuración especial para el uso de la VPN.
Tipo 2: VPN de acceso remoto
Es la empleada para proteger las comunicaciones entre un equipo individual de usuario y la red interna de la organización. Normalmente se emplean para los usuarios que trabajan de forma remota, y que requieren de un acceso a los recursos internos de la organización, a través de la infraestructura proporcionada por una red pública, como por ejemplo Internet.
El concentrador VPN puede ser un dispositivo físico dedicado (appliance) o puede formar parte de otro dispositivo de red, como puede ser un enrutador (router) o un cortafuegos (firewall).
En este modelo, los equipos cliente tienen que tener instalado y correctamente configurado el software VPN, y deben autenticarse antes de poder usar la VPN. En algunos casos (VPN SSL) el software cliente puede tratarse de un navegador o browser.
Tipo 3: VPN de equipo a equipo
Es la empleada para establecer conexiones seguras entre dos equipos, protegiendo el tráfico desde un extremo al otro. Normalmente se utilizan para realizar administración remota de servidores que usan protocolos inseguros, o que se encuentran en redes con riesgos de seguridad, como la DMZ.
En este escenario, las conexiones VPN se establecen entre el equipo origen (cliente) y el equipo destino (servidor). El servidor tendrá el software VPN instalado y configurado para proporcionar los servicios VPN y aceptar conexiones de los equipos cliente, que tendrán instalado y configurado el software cliente VPN. Cuando el equipo cliente solicita la conexión al equipo servidor, se realizará el proceso de autenticación y si ésta es correcta, se establecerá la conexión VPN entre ambos equipos.
En este caso se protege el tráfico en todo su recorrido, desde el equipo origen, al equipo destino.
Tipo 4: VPN Cloud
Las VPN Cloud vienen a solucionar el problema que se plantea cuando el usuario no solo requiere acceso a los recursos alojados en el centro de datos de la organización, sino también a otros que se encuentran fuera de la red corporativa, como es el caso de aplicaciones y recursos en la nube o cloud. Para acceder a este tipo de recursos, la arquitectura de VPN tradicional de acceso remoto no resulta eficiente.
Al usar la arquitectura tradicional de VPN, el tráfico del usuario hacia un servidor que es accesible desde Internet, sigue un recorrido muy ineficiente:
- 1) La petición va del usuario al Servidor VPN de la sede.
- 2) De ahí sale por el cortafuegos perimetral hacia Internet y la aplicación en la nube.
- 3) La respuesta de la nube llega al cortafuegos que la redirige al servidor VPN.
- 4) Y el servidor al usuario.
Esta ineficiencia habitualmente hace que el usuario, tras una experiencia poco satisfactoria, no utilice la conexión VPN más que cuando tenga que conectarse a la red interna, y deje de utilizarla cuando tenga que acceder a recursos en Internet.
Cuando esto ocurre, la organización pierde visibilidad sobre el uso de aplicaciones y servicios por parte del usuario, además de no poder aplicar las políticas de seguridad corporativas a dicho tráfico.
Por ello, han surgido las soluciones de VPN en la nube (VPN Cloud), también llamadas Hosted VPN o VPN as a Service (VPNaaS). Este nuevo tipo de tecnologías están diseñadas exclusivamente para entornos cloud.
VPNaaS se utiliza, no solo para proporcionar al usuario remoto una conexión segura VPN con los servicios en la nube o recursos en Internet, sino también para establecer conexiones seguras VPN entre redes corporativas y proveedores de la nube, o conexiones cloud to cloud. En la actualidad, estas soluciones han evolucionado y ofrecen, también, conexión VPN a los recursos de la red interna corporativa (on-premise).
VPNaaS proporciona al usuario remoto un punto único de acceso seguro VPN ya sea al centro de datos, a Internet o a las aplicaciones alojadas en los entornos de la nube pública, privada e híbrida. Además, da visibilidad de todo el tráfico a la
organización, permitiendo inspeccionar de forma exhaustiva el tráfico registrado en todos los puertos y protocolos.
Este tipo de soluciones, normalmente hacen uso de un cliente software instalado en el endpoint del usuario, que se conecta a la solución VPNaaS de manera automática en cuanto detecta que el endpoint tiene conexión a Internet, sin intervención del usuario. Para la conexión con los servicios y recursos del centro de datos de la organización, puede requerir de algún tipo de conector para adaptar los sistemas de la organización a la nube, dependiendo de la solución.