Guía de configuración segura de VPN
No es extraño para nadie que el trabajo de manera remota se haya vuelto tan popular a raíz de la actual pandemia por el COVID-19. Muchas empresas han tenido que implementar modelos que les permitan continuar con sus actividades de manera remota. Las VPNs presentaron una solución a estos problemas.
Una VPN es un protocolo de red que permite interconectar de manera segura equipos en una red virtual. De esta manera, los trabajos remotos podrían continuar sin comprometer la seguridad de los activos de la institución. Sin embargo, se deben considerar muchos aspectos al momento de utilizar nuevos servicios o productos, incluyendo las VPNs.
La Agencia de Seguridad Nacional (NSA) recientemente publicó una guía de configuración segura para VPN sobre Ipsec, de la que puede obtener tanto recomendaciones de configuración como ejemplos de configuraciones. Dicha guía da como recomendaciones algunas tareas esenciales:
Reducir las conexiones directas desde internet al servidor VPN. Esto es porque los servidores VPN están expuestos a escaneos de red, ataques de fuerza bruta e incluso a vulnerabilidades de día 0. Así pues, se deben implementar reglas que limiten el tráfico de red, como sólo admitir conexiones a puertos específicos o conexiones desde orígenes conocidos.
Verificar que se usan únicamente algoritmos compatibles con CNSSP 15. Los protocolos utilizados determinan la forma en que se establece la conexión VPN, si alguno de estos algoritmos utilizados implementa una criptografía obsoleta, toda la red VPN estará en riesgo, y podría perderse la confidencialidad de los datos compartidos.
Evitar el uso de configuraciones por defecto. Muchas de estas configuraciones pueden no considerar el uso de algoritmos seguros, de tal manera que se aumente la compatibilidad de conexión de la VPN, lo cual trae problemas como los descritos en el punto previo.
Eliminar bibliotecas criptográficas descontinuadas o no compatibles. Muchos proveedores implementan varias políticas, configuradas por defecto en los dispositivos, para aumentar su compatibilidad. Mantener estas políticas crea una vulnerabilidad en la que el atacante establece una conexión con algoritmos obsoletos, vulnerando así toda la VPN.
Instalar actualizaciones proporcionadas por el proveedor. Mantener actualizados sus servicios o productos utilizados siempre es una buena manera de protegerse.
Para las instituciones en las que las VPN se han vuelto un aspecto fundamental en sus actividades, no implementar estas tareas esenciales en su servicio implica un riesgo en la confidencialidad e integridad de sus activos. Y considerando que el trabajo remoto se ha vuelto relevante en estos tiempos, es igual de necesario mantener seguras estas conexiones para preservar los activos de la institución.
Para más información… puedes visitar el sitio National Security Agency Cybersecurity Information:
