"Los amigos no pueden usar una VPN"

"Los amigos no pueden usar una VPN". Ich habe diese Behauptung in einem Blogbeitrag de Matthew Sullivan (a quien le debo todos los créditos creativos) y mi entusiasmo ha sido recompensado. En este blog discutiremos por qué las soluciones VPN (Virtual Private Network) clásicas para las empresas no son más "buenas" para facilitar el trabajo a distancia y la teletrabajo.

La razón es que, cuando hablamos de VPN, no hablamos de conexiones VPN P2P para el cruce de dos estaciones o de servicios VPN de uso común (que permiten una navegación privada y segura en Internet).

VPN - Virtual Private Network (Red Privada Virtual) - se remonta a los últimos años. En el año 1996, Gurdeep Singh-Pall, empleado de Microsoft, creó el PPTP (Point-to-Point Tunneling Protocol). Se trata de un método para implementar redes privadas virtuosas y una conexión a Internet segura. En el año 1996, el mundo entero contaba con 36 millones de usuarios de Internet. de usuarios de Internet (Quelle). En EE.UU. se han realizado dos ediciones del mismo. Había más de 100.000 páginas web, Netscape era el navegador de moda, y con 33,8 Kbps los usuarios podían navegar por Internet con una gran velocidad. La VPN era en ese momento la herramienta más adecuada. Naturalmente, los tiempos se han ampliado.

Los típicos problemas de seguridad de las empresas-VPN

- Si un día estás borracho, estás "borracho".

Laut einer IDC-Analyse son más del 40% de los controles de seguridad de los usuarios autorizados, tales como los propietarios, los comerciantes y los proveedores. Esto significa que las VPNs en este caso no deben estar sujetas a los controles generales que se exigen para el acceso de los usuarios con derechos diferentes. Cuando un usuario remoto se autentifica a través de una VPN, se convierte en un usuario seguro y tiene acceso a todo lo que hay en la red de la empresa. Esto hace que la red de la empresa y sus recursos sean muy fáciles de usar y que no puedan ser objeto de ataques o de ataques a los datos.

La gestión de los datos de la VPN no sólo está relacionada con el Directorio Activo (AD), sino también con los dispositivos de gestión. Esto significa que, cuando un empleado de la empresa se conecta, debe ampliarse su certificado de usuario, lo que a menudo no se tiene en cuenta.

- Notwendigkeit, immer die letzte Version auszuführen

Los formatos de las VPN son muy populares. También en el caso de los hackers. Ninguna plataforma puede beneficiarse de una seguridad absoluta, y esto es así también en el caso de las plataformas VPN. Durante todo el año pasado, muchos de los formatos de VPN más populares y más utilizados en el mundo (y sólo en el extremo) han sido destruidos. En algunos casos, se tardaron semanas hasta que el vendedor puso en marcha un parche de seguridad, que no se pudo utilizar. A continuación sólo se ofrece una pequeña lista de los últimos parches de seguridad por plataforma:

• Palo Alto Netzwerksicherheitsberatung PAN-SA-2019-0020, en relación con CVE-2019-1579;
• FortiGuard Sicherheitsberatung FG-IR-18-389, en relación con CVE-2018-13382; FG-IR-18-388 en relación con CVE-2018-13383; FG-IR-18-384, en relación con CVE-2018-13379;
• Protección de la seguridad de los pulsos SA44101, en relación con CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
• Protección de la seguridad de Citrix CTX267027, en relación con CVE-2019-19781.

El funcionamiento es claro, sobre todo cuando se sabe que es fácil de entender la tecnología VPN que se utiliza: siempre hay que usar la nueva versión, siempre hay que aplicar todos los parches de seguridad, y en todo momento. Para que sea eficaz, debe ser siempre un estándar para cualquier solución de software.

- Sólo hay que introducir el nombre de usuario y la contraseña

La autenticación de múltiples factores es el mínimo absoluto que los usuarios necesitan para autenticarse con una VPN. Sin embargo, en muchas organizaciones no existe un sistema estándar... y esto es así, ya que el usuario puede salir de su casa. Algunas palabras de referencia ya han sido almacenadas y se encuentran en los bancos de datos de la red oscura (no es necesario, pero puedo encontrarlas). Más aún, si se utiliza sólo "123456" como contraseña, los hackers han tenido hasta ahora una oportunidad única de acceder a ella. La totalidad de la información se ha visto afectada por el hecho de que las contraseñas más utilizadas por SplashData en el año 2019 son las siguientes

• • • 123456
    • 123456789
    • qwerty
    • Kennwort
    • 1234567
    • 12345678
    • 12345
    • iloveyou
    • 111111
    • 123123

Y si los usuarios quieren tener como mínimo una cifra y una ficha en una contraseña, entonces la lista 'abc123' es #11. No es de extrañar que un estudio de Microsoft haya demostrado que el uso de MFA en el 99,9% de las categorías de cuentas bancarias está bloqueado. Por favor: Utilice el MFA. En seguida. Esto es un mínimo absoluto.

- Equipos comprometidos

Los usuarios finales deben activar la conexión VPN con un cliente VPN en su dispositivo (en este caso, un ordenador portátil). Si la conexión entre el dispositivo y la red de la empresa está activada, se desactivan las rutas de acceso a Walhalla. Sólo si se lleva a cabo esta autentificación con una seguridad especial, como la MFA. Esto significa: Si el dispositivo, en el que se encuentra el cliente VPN, está infectado con malware, la activación de la conexión VPN también puede conducir a que el malware encuentre el camino en su empresa.

Esta es la razón por la que sólo se puede activar la VPN en los equipos que se encuentran y se manejan en la empresa. El departamento de TI debe tener un control óptimo sobre el equipo, asegurándose de que cuenta con la última versión del sistema de seguridad y los últimos parches, así como con un servicio antimalware activo. En este sentido, la utilización de VPN en equipos que están en manos de los usuarios es un obstáculo absoluto para la seguridad.

Además, el hecho de que los datos verticales se encuentren en el dispositivo final es un riesgo de seguridad como cualquier otro. También en el caso de los equipos de seguridad.

La flexibilidad y la interfaz de usuario de VPN

La idea de la VPN es la ampliación de un equipo en una red doméstica (por ejemplo) en la red de la empresa. De este modo, se consigue que el equipo funcione en una red LAN. Esto tiene algunas consecuencias;

Los usuarios pueden utilizar todos los programas y datos locales que se utilizan en el dispositivo.

cuando se accede a los datos de la red de la empresa, éstos se almacenan completamente (o se almacenan en su totalidad); cuando, por ejemplo, se utiliza un banco de datos en una red de trabajo común, los datos se almacenan y almacenan en su totalidad.

Mediante el uso de Split-Tunneling, el tráfico (como YouTube y las redes sociales) puede pasar por la conexión a Internet de los usuarios en lugar de por la VPN. Sin embargo, esto está relacionado con otros riesgos de seguridad. La alternativa consiste en que la empresa VPN se encargue de todo el control de los datos, lo que puede suponer una mejora de la seguridad de la VPN.

Fazit: VPN ofrece a los usuarios (si tienen un ordenador portátil autorizado) su experiencia de usuario. Sin embargo, esto se refiere a las últimas novedades de la tecnología.

- Cada aparato

Tal y como usted ha pensado, sólo es posible activar la VPN en equipos que ya están totalmente operativos desde el punto de vista de la seguridad. Sin embargo, para mejorar esto, la mayoría de los clientes VPN de las empresas no están disponibles en todos los equipos y sistemas operativos (por ejemplo, equipos MacOS, Chromebook, Raspberry Pi, tablets Android, etc.). Esto aumenta su grado de libertad y el de sus usuarios.

- Kapazität

Como se ha indicado anteriormente, las plataformas VPN deben absorber una gran capacidad de descarga y carga. Estas plataformas suelen ser tan escasas que el 100% de los usuarios puede trabajar al mismo tiempo en la red. Los problemas de capacidad y, por lo tanto, los problemas de funcionamiento asociados, son más frecuentes.

Bei Awingu gehen wir die Dinge anders an

Awingu es un espacio de trabajo unificado basado en el navegador. Ofrece aplicaciones basadas en RDP y Desktop en HTML5 en cualquier navegador. También agrega servidores, intranets, aplicaciones web, SaaS, ... en un único espacio de trabajo con inicio de sesión único. Eche un vistazo a la Architektur und die Funktionen de Awingu, para saber más.

- Awingu ha elaborado las historias de seguridad mínimas

Awingu permite a sus usuarios un nivel máximo de seguridad informática. Awingu se basa en un RDS (Terminal Server) y en una conexión RDP. Puede interpretar este documento de tal manera que le permita dar un vistazo a las características de seguridad que Awingu puede ofrecer en un entorno RDP/RDS "normal".

• • • Multi-Faktor-Authentifizierung: Awingu cuenta con una solución MFA integrada y puede (si es necesario) integrar su método de autenticación actual sin problemas. Mediante el uso de MFA se minimiza el riesgo de "ataques de fuerza bruta". La MFA integrada en Awingu permite el uso de tokens de un solo uso (HOTP) y de tokens basados en tiempo (TOTP). Awingu también integra DUO Security, Azure MFA, SMS-Passcode y sistemas basados en Radius.
    • Verschlüsselung über HTTPSEl protocolo SSL es el que se utiliza entre el usuario final (navegador) y el dispositivo virtual de Awingu, y permite que Awingu pueda utilizar el protocolo HTTPS. Awingu permite el uso de certificados SSL propios (o proxy SSL). Además, Awingu cuenta con una integración con Let's Encrypt, que genera automáticamente un certificado SSL de alta calidad y se encarga de su gestión.
    • Puerto Nur 443: En una instalación de bajo coste, Awingu sólo tiene el puerto 443, para que los clientes finales puedan acceder a él.
    • Control de la utilización de las instalaciones: Awingu está dotado de un protocolo de uso muy amplio. La función de control de acceso permite comprobar qué aplicaciones se han cargado (o descargado) y cuándo y dónde (desde qué dirección IP) se han cargado. También se verificará qué datos se han extraído, se han almacenado, se han protegido conjuntamente, etc. El protocolo de auditoría está disponible en el panel de control de Awingu (administrador), y se pueden extraer informes definidos por el usuario.
    • Reconocimiento de anomalías: Infórmate sobre las condiciones de acceso no autorizadas en tu zona, como por ejemplo, si alguien se conecta a menudo con una contraseña falsa o si alguien intenta conectarse desde el extranjero. Esta información está disponible en el panel de control de Awingu (sólo para administradores).
    • HTML-Iso-RDP: El RDP es conocido por el hecho de que contiene numerosos exploits, especialmente cuando se trata de versiones antiguas y no actualizadas. HTML minimiza el "vector de ataque" especial para RDP (por ejemplo, Bluekeep, NotPetya).
    • Controles de la alimentación de los granos: Cada usuario (grupo) puede tener derechos específicos; por ejemplo, impedir la utilización de impresoras virtuales (por ejemplo, sin impresión en la casa), impedir que las cuentas de los usuarios (o las cuentas de los usuarios) estén en el Desktop y en el local, impedir la utilización conjunta de las cuentas de usuario de Awingu, impedir la utilización conjunta de los datos de Awingu, etc.
    • Descripción del puesto: Awingu puede activar la identificación automática de las aplicaciones o los usuarios que no son de su propiedad (Nota: se aplica a las aplicaciones de proxy inverso de Awingu). El usuario final recibe una advertencia antes de iniciar su aplicación Awingu/de Desktops y debe "activarla".
    • No hay datos locales: Todos los usos, datos, Desktops almacenados, etc., se ejecutan en el navegador en HTML5. No hay ninguna huella en el dispositivo (por ejemplo, controles de uso intensivos), y sólo se pueden ver las imágenes de los cuadros.

- Awingu permite una mejor experiencia de usuario

Con Awingu, los usuarios pueden manejar cualquier dispositivo, incluso su propio dispositivo privado, y mejorar su trabajo. Puede ser un dispositivo con Windows 7, un MacBook o una tableta. Es una experiencia sencilla y consistente.