¿Es segura nuestra VPN?
Esta es la pregunta que muchos responsables de comunicaciones se han planteado alguna vez. Muchas veces asumimos, por definición, que una VPN (Red Privada Virtual) proporciona los mecanismos necesarios para emular el uso de una Red Privada Real para nuestras comunicaciones, pero en muchos casos no es así.
Estándares creados para la implementación de VPNs, como IPSec, garantizan la privacidad e integridad de los datos que viajan por la red pública. Bien es cierto que también permite la autenticación de los extremos de la comunicación, pero... ¿qué o quién son esos extremos?, ¿es esto suficiente? El uso de VPNs trae consigo innumerables ventajas, pero también trae innumerables riesgos. Hay que tener en cuenta que el empleo de VPNs implica abrir las puertas de nuestra red a un amplio rango de usuarios, usuarios que ni siquiera podemos ver, e incluso ni conocemos. Además, estos usuarios están accediendo a datos sensibles de la empresa que deben estar protegidos. Un uso erróneo de las VPNs puede ser catastrófico para el negocio.
Sin embargo, si podemos asegurar quién está accediendo a nuestra red y controlar dónde está accediendo, una VPN se convierte en una potente herramienta para nuestra empresa. Pero, ¿cómo podemos conseguir estos niveles de seguridad? Planteando un escenario básico de una VPN basada en IPSec, podemos añadir mejoras para conseguir una VPN segura.
- Escenario de partida. La forma más sencilla e inmediata de abordar la implantación de una VPN con IPSec es utilizar un equipo en la sede central que concentre los túneles que provengan de usuarios y oficinas remotos y terceras empresas. Los túneles en los extremos remotos pueden ser generados por diversos dispositivos: clientes VPN, cortafuegos (firewalls), routers, etc.
IPSec permite utilizar, como método de autenticación de los extremos del túnel, las “claves precompartidas”. En un escenario a gran escala o en el que no tengamos un canal seguro, la distribución y renovación de estas claves se convierte en un enorme problema. Este método no es recomendable, y por tanto, es necesario adoptar otra solución para realizar la autenticación de los extremos del túnel.
- Certificados digitales e Infraestructura de Clave Pública (PKI). La primera mejora sería aprovechar la capacidad que tiene IPSec de autenticar los extremos de la comunicación mediante certificados digitales. El uso de certificados digitales elimina el problema de la distribución de claves, ya que un certificado digital, al ser público, puede ser distribuido por un canal inseguro.
Implantar un sistema PKI para emitir los certificados digitales nos permite tener el control absoluto de la emisión, renovación y revocación de los certificados digitales usados en nuestra VPN. Las siglas PKI infunden normalmente una idea de extrema complejidad que tiempo atrás era justificable, pero actualmente existen en el mercado productos sencillos y seguros que facilitan enormemente su uso. Además, su utilización no se limita sólo a las VPNs sino que la misma infraestructura puede utilizarse para aplicaciones como cifrado de correo electrónico, firma digital, etc.
- Autenticación fuerte. Con el uso de certificados digitales, garantizamos la autenticación de los elementos remotos que generan el túnel, pero ¿qué ocurre en el caso de los usuarios remotos? ¿Realmente estamos autenticando a los usuarios? Esta pregunta tiene dos respuestas, dependiendo de dónde se almacene el certificado digital y la clave privada:
– Si el certificado digital y la clave privada se almacenan, protegidos por un PIN, en una tarjeta inteligente que el usuario lleva consigo, la respuesta es que sí estamos autenticando al usuario. Actualmente existen en el mercado Clientes IPSec compatibles con el estándar PKCS#11 que permiten la lectura de una tarjeta inteligente para obtener el certificado digital y la clave privada. Desafortunadamente, aún no existe un estándar definido que permita la implantación a gran escala de lectores de tarjetas en los PCs. Por lo tanto, esta opción en algunos casos no es abordable.
– Si, por el contrario, el certificado digital y la clave privada se almacenan en el propio PC, la respuesta es que no estamos autenticando al usuario, sino al PC. Para autenticar al usuario, algunos fabricantes de sistemas VPN han añadido un segundo nivel de autenticación.
El uso de passwords es un nivel adicional de seguridad, pero no es el más adecuado, ya que carecen de los niveles de seguridad necesarios en este tipo de entorno: son fácilmente reproducibles, pueden ser capturadas y realmente no autentican a la persona, ya que la autenticación se basa en un solo factor (lo que uno sabe).
La forma más adecuada de autenticar a los usuarios remotos, a falta de tarjetas inteligentes, es el uso de sistemas de autenticación fuerte. Estos sistemas se basan en la combinación de dos factores, lo que uno tiene (una token) y lo que uno sabe (un PIN). De esta forma nos aseguramos completamente de que sólo las personas autorizadas acceden a nuestra VPN.
- Autorización y control de acceso. Una vez que sabemos a ciencia cierta quién está al otro lado del túnel, mediante el uso de certificados digitales y sistemas de autenticación fuerte, debemos abordar el siguiente aspecto para securizar nuestra VPN: controlar dónde están accediendo las oficinas y usuarios remotos; y lo que es aún más crítico: controlar dónde están accediendo las empresas con las que formamos una extranet mediante nuestra VPN.
Este control de acceso podemos realizarlo utilizando sistemas de control de acceso o firewalls, y sistemas de autorización. De esta manera podremos aplicar políticas de acceso a determinados sistemas en función de usuarios o grupos de usuarios, asegurando así, por ejemplo, que terceras empresas sólo acceden a aquellos sistemas o aplicaciones estrictamente necesarios
Julio García Gil
jgarciagi@soluziona.com
Responsable de Desarrollo de Negocio de Internet y Seguridad de SOLUZIONA telecomunicaciones
Estándares creados para la implementación de VPNs, como IPSec, garantizan la privacidad e integridad de los datos que viajan por la red pública. Bien es cierto que también permite la autenticación de los extremos de la comunicación, pero... ¿qué o quién son esos extremos?, ¿es esto suficiente? El uso de VPNs trae consigo innumerables ventajas, pero también trae innumerables riesgos. Hay que tener en cuenta que el empleo de VPNs implica abrir las puertas de nuestra red a un amplio rango de usuarios, usuarios que ni siquiera podemos ver, e incluso ni conocemos. Además, estos usuarios están accediendo a datos sensibles de la empresa que deben estar protegidos. Un uso erróneo de las VPNs puede ser catastrófico para el negocio.
Sin embargo, si podemos asegurar quién está accediendo a nuestra red y controlar dónde está accediendo, una VPN se convierte en una potente herramienta para nuestra empresa. Pero, ¿cómo podemos conseguir estos niveles de seguridad? Planteando un escenario básico de una VPN basada en IPSec, podemos añadir mejoras para conseguir una VPN segura.
- Escenario de partida. La forma más sencilla e inmediata de abordar la implantación de una VPN con IPSec es utilizar un equipo en la sede central que concentre los túneles que provengan de usuarios y oficinas remotos y terceras empresas. Los túneles en los extremos remotos pueden ser generados por diversos dispositivos: clientes VPN, cortafuegos (firewalls), routers, etc.
IPSec permite utilizar, como método de autenticación de los extremos del túnel, las “claves precompartidas”. En un escenario a gran escala o en el que no tengamos un canal seguro, la distribución y renovación de estas claves se convierte en un enorme problema. Este método no es recomendable, y por tanto, es necesario adoptar otra solución para realizar la autenticación de los extremos del túnel.
- Certificados digitales e Infraestructura de Clave Pública (PKI). La primera mejora sería aprovechar la capacidad que tiene IPSec de autenticar los extremos de la comunicación mediante certificados digitales. El uso de certificados digitales elimina el problema de la distribución de claves, ya que un certificado digital, al ser público, puede ser distribuido por un canal inseguro.
Implantar un sistema PKI para emitir los certificados digitales nos permite tener el control absoluto de la emisión, renovación y revocación de los certificados digitales usados en nuestra VPN. Las siglas PKI infunden normalmente una idea de extrema complejidad que tiempo atrás era justificable, pero actualmente existen en el mercado productos sencillos y seguros que facilitan enormemente su uso. Además, su utilización no se limita sólo a las VPNs sino que la misma infraestructura puede utilizarse para aplicaciones como cifrado de correo electrónico, firma digital, etc.
- Autenticación fuerte. Con el uso de certificados digitales, garantizamos la autenticación de los elementos remotos que generan el túnel, pero ¿qué ocurre en el caso de los usuarios remotos? ¿Realmente estamos autenticando a los usuarios? Esta pregunta tiene dos respuestas, dependiendo de dónde se almacene el certificado digital y la clave privada:
– Si el certificado digital y la clave privada se almacenan, protegidos por un PIN, en una tarjeta inteligente que el usuario lleva consigo, la respuesta es que sí estamos autenticando al usuario. Actualmente existen en el mercado Clientes IPSec compatibles con el estándar PKCS#11 que permiten la lectura de una tarjeta inteligente para obtener el certificado digital y la clave privada. Desafortunadamente, aún no existe un estándar definido que permita la implantación a gran escala de lectores de tarjetas en los PCs. Por lo tanto, esta opción en algunos casos no es abordable.
– Si, por el contrario, el certificado digital y la clave privada se almacenan en el propio PC, la respuesta es que no estamos autenticando al usuario, sino al PC. Para autenticar al usuario, algunos fabricantes de sistemas VPN han añadido un segundo nivel de autenticación.
El uso de passwords es un nivel adicional de seguridad, pero no es el más adecuado, ya que carecen de los niveles de seguridad necesarios en este tipo de entorno: son fácilmente reproducibles, pueden ser capturadas y realmente no autentican a la persona, ya que la autenticación se basa en un solo factor (lo que uno sabe).
La forma más adecuada de autenticar a los usuarios remotos, a falta de tarjetas inteligentes, es el uso de sistemas de autenticación fuerte. Estos sistemas se basan en la combinación de dos factores, lo que uno tiene (una token) y lo que uno sabe (un PIN). De esta forma nos aseguramos completamente de que sólo las personas autorizadas acceden a nuestra VPN.
- Autorización y control de acceso. Una vez que sabemos a ciencia cierta quién está al otro lado del túnel, mediante el uso de certificados digitales y sistemas de autenticación fuerte, debemos abordar el siguiente aspecto para securizar nuestra VPN: controlar dónde están accediendo las oficinas y usuarios remotos; y lo que es aún más crítico: controlar dónde están accediendo las empresas con las que formamos una extranet mediante nuestra VPN.
Este control de acceso podemos realizarlo utilizando sistemas de control de acceso o firewalls, y sistemas de autorización. De esta manera podremos aplicar políticas de acceso a determinados sistemas en función de usuarios o grupos de usuarios, asegurando así, por ejemplo, que terceras empresas sólo acceden a aquellos sistemas o aplicaciones estrictamente necesarios
Julio García Gil
jgarciagi@soluziona.com
Responsable de Desarrollo de Negocio de Internet y Seguridad de SOLUZIONA telecomunicaciones
