"Los amigos no dejan que los amigos usen la VPN". He leído esta afirmación en un entrada del blog por Matthew Sullivan (a quien doy todos los créditos creativos) y me vendió inmediatamente la línea. En esta entrada del blog hablaremos de por qué las soluciones clásicas de VPN (red privada virtual) ya no son "lo suficientemente buenas" para que las empresas puedan trabajar a distancia y teletrabajar. Para que quede claro, cuando hablamos de VPN, no nos referimos específicamente a las conexiones VPN gestionadas por P2P para puentear 2 sitios, ni a los servicios VPN comerciales (que se supone que ofrecen una experiencia de navegación por Internet más privada y segura).
La VPN -Red Privada Virtual- se remonta a los años noventa. En 1996, Gurdeep Singh-Pall, empleado de Microsoft, "inventó" el PPTP (Point-to-Point Tunneling Protocol). Ofrecía un método para implementar redes privadas virtuales y una conexión segura a Internet. En 1996, el mundo contaba con 36 millones de usuarios de Internet (fuente). Dos tercios de ellos se encontraban en Estados Unidos. Había 100.000 sitios web, Netscape era el navegador preferido, y a 33,8Kbps los usuarios podían navegar por la red a la velocidad de la luz. La VPN era la herramienta adecuada en aquella época. Por supuesto, los tiempos han cambiado.
Los problemas de seguridad típicos de las VPN empresariales
- Una vez que estás dentro, estás realmente "dentro
Según un análisis de IDC, más de 40% de las violaciones de seguridad provienen de usuarios autorizados como contratistas, proveedores y empleados. Esto significa que las VPN suelen carecer de los controles granulares necesarios para asignar usuarios con derechos específicos. Una vez que un usuario remoto es autenticado por una VPN, ese usuario se considera de confianza y tiene acceso a cualquier cosa en la red de la empresa. Esto hace que la red de la empresa y sus recursos sean bastante vulnerables y estén abiertos a ataques o a la fuga de datos.
La gestión del acceso de los usuarios de la VPN no sólo está vinculada a Active Directory (AD), sino también a los certificados de los dispositivos. Esto implica que cuando un empleado deja la empresa, su certificado de dispositivo debe ser revocado - como puede adivinar, esto es algo que lamentablemente se olvida a menudo.
- Necesidad de ejecutar siempre la última versión
Las plataformas VPN son bastante populares. También para los hackers. Ninguna plataforma puede beneficiarse de una seguridad absoluta, y ese es también el caso de las plataformas VPN. Sólo en el último año, muchas de las plataformas VPN más populares y utilizadas han sido vulneradas en su núcleo (y sólo en el punto final). En algunos casos, los vendedores tardaron semanas en presentar un parche de seguridad que tapara el agujero. La siguiente es sólo una pequeña lista de vulnerabilidades recientes por plataforma:
-
-
- Aviso de seguridad de Palo Alto Network PAN-SA-2019-0020en relación con CVE-2019-1579;
- Avisos de seguridad de FortiGuard FG-IR-18-389en relación con CVE-2018-13382; FG-IR-18-388en relación con CVE-2018-13383; FG-IR-18-384en relación con CVE-2018-13379;
- Aviso de seguridad de Pulse Secure SA44101en relación con CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
- Aviso de seguridad de Citrix CTX267027en relación con CVE-2019-19781.
-
El mensaje es claro, sobre todo teniendo en cuenta que es fácil detectar qué tecnología VPN utiliza quién: tener siempre la última versión en marcha, aplicar siempre todos los parches de seguridad y hacerlo inmediatamente. Para ser sinceros, esto debería ser un procedimiento por defecto para cualquier solución de software hoy en día.
- Sólo haciendo login/contraseña
La autenticación multifactorial es el mínimo absoluto que necesitan los usuarios para autenticarse con la VPN. Desgraciadamente, todavía no es algo predeterminado en muchas organizaciones... y eso es como dejar la puerta de tu casa abierta de par en par. Muchas contraseñas de usuarios ya han sido hackeadas y están recogidas en bases de datos en la darkweb (honestamente, hasta yo puedo encontrarlas). Es más, con sólo usar "123456" como contraseña, los hackers ya tienen una oportunidad increíble de entrar. Para completar, las contraseñas más comunes según SplashData en 2019 fueron
-
-
- 123456
- 123456789
- qwerty
- contraseña
- 1234567
- 12345678
- 12345
- iloveyou
- 111111
- 123123
-
Y si se obliga a los usuarios a tener al menos un número y una letra en una contraseña, el #11 de la lista es 'abc123'. No es de extrañar que un estudio de Microsoft descubriera que el uso de MFA bloquea los ataques de toma de posesión de cuentas en el 99,9% de los casos. Conclusión: usa MFA. Siempre. Es un mínimo absoluto.
- Dispositivos comprometidos
Los usuarios finales tienen que activar la conexión VPN a través de un cliente VPN en su dispositivo, normalmente un portátil. Una vez que el enlace entre el dispositivo y la red de la empresa está hecho, las puertas del Valhalla suelen estar abiertas. Incluso si esa autenticación se realiza con seguridad adicional como MFA. Esto significa: si el dispositivo que ejecuta el cliente VPN está comprometido con el malware, la apertura de una conexión VPN también puede permitir que el malware encuentre su camino en la red de su empresa.
Es la razón por la que sólo se quiere habilitar la VPN en dispositivos que sean propiedad de la empresa y estén gestionados por ella. El departamento de TI necesita tener un control óptimo del dispositivo, estar seguro de que ejecuta la última versión del sistema operativo y los parches, tiene un servicio antimalware activo, etc. Precisamente por estas razones, la ejecución de VPN en dispositivos propiedad de los usuarios es un absoluto no-go desde una perspectiva de seguridad.
Además, el hecho de que probablemente haya datos confidenciales en el dispositivo del usuario final será un riesgo de seguridad en sí mismo. También para los dispositivos gestionados.
La flexibilidad y el lado UX de la VPN
La idea de la VPN es la extensión de un dispositivo en una red doméstica (por ejemplo) a la red de la empresa. Básicamente, actúa como si el dispositivo estuviera funcionando en la LAN. Esto tiene algunas consecuencias;
-
-
- los usuarios pueden utilizar normalmente todo el software y los archivos locales que se ejecutan en el propio dispositivo
- cuando se accede a los activos de la red de la empresa, éstos se descargan (o cargan) completamente; por ejemplo, al trabajar en un archivo de base de datos en un disco compartido, el archivo se descargará y se cargará constantemente
- Al utilizar la tunelización dividida, el tráfico (como el de YouTube y las redes sociales) puede dirigirse a través del acceso público a Internet en lugar de la VPN. Pero esto, obviamente, conlleva otros riesgos de seguridad. La alternativa es enrutar todo el tráfico a través de la VPN de la empresa, lo que puede crear una tensión en la capacidad de la VPN.
-
En resumen: La VPN ofrece a los usuarios (si tienen un portátil gestionado) su experiencia de oficina conocida. Pero tiene un coste de capacidad.
- Cualquier dispositivo
Como ya te habrás dado cuenta, desde el punto de vista de la seguridad, sólo es aconsejable habilitar la VPN en los dispositivos que gestionas por completo. Pero para ampliar esto, la mayoría de los clientes VPN empresariales no están disponibles en todos los dispositivos y sistemas de Operating (por ejemplo, dispositivos MacOS, Chromebooks, Raspberry Pi, tablets de Android, ...). Esto pone una seria limitación en su, y sus usuarios, grados de libertad.
- Capacidad
Como se ha descrito anteriormente, las plataformas VPN suelen tener que absorber mucha capacidad de descarga y subida. Estas plataformas rara vez se escalan para permitir que 100% de usuarios trabajen a distancia al mismo tiempo. En consecuencia, los problemas de capacidad y rendimiento relacionados son más frecuentes que raros.
En Awingu, hacemos las cosas de forma diferente
Awingu es un espacio de trabajo unificado basado en el navegador. Hace que las aplicaciones y los escritorios basados en RDP estén disponibles en HTML5, en cualquier navegador. También agrega servidores de archivos, intranets, aplicaciones web, SaaS, ... juntos detrás de un solo panel de vidrio con Single Sign-On. Echa un vistazo al Awingu arquitectura y características para saber más.
- Awingu lleva incorporadas las capas de seguridad mínimas
Awingu permite un nivel mínimo de seguridad informática para sus usuarios. Awingu se despliega normalmente sobre un RDS (Terminal Server) y un acceso RDP. Puedes interpretar este documento como un resumen de los niveles de seguridad que permite Awingu sobre el RDP/RDS "normal".
-
-
- Autenticación multifactorial: Awingu viene con una solución MFA incorporada y puede (si es necesario) integrar fácilmente tu método actual de autenticación. Al añadir MFA, se minimiza el riesgo de "ataques de fuerza bruta". La MFA integrada en Awingu admite el uso de tokens de una sola vez (HOTP) y tokens basados en el tiempo (TOTP). Awingu también integra DUO Security, Azure MFA, SMS Passcode o servicios basados en Radius.
- Cifrado sobre HTTPSentre el usuario final (navegador) y el dispositivo virtual de Awingu, éste favorece y permite el cifrado a través de HTTPS. Awingu permite el uso de certificados SSL propios (o Proxy SSL). Además, Awingu dispone de una integración con Let's Encrypt, que genera automáticamente un certificado SSL único y se encarga de su renovación.
- Sólo puerto 443Cuando se configura correctamente, Awingu sólo requiere que el puerto 443 esté disponible para los clientes de los usuarios finales.
- Amplia auditoría de uso : Awingu viene incorporado con un amplio registro de uso. La auditoría de uso rastrea qué sesión de aplicación abren (o cierran) los usuarios y cuándo y dónde (desde qué dirección IP) lo hacen. También rastrea qué archivos se abren, se borran, se comparten, etc. El registro de auditoría está disponible a través del tablero de Awingu (admin) y se pueden extraer informes personalizados.
- Detección de anomalías: infórmate de las irregularidades en tu entorno, como por ejemplo que alguien se conecte demasiado a menudo con una contraseña errónea o que alguien intente conectarse desde el extranjero. Esta información está disponible a través del panel de control de Awingu (solo para administradores).
- HTML iso RDP: Se sabe que RDP tiene numerosos exploits, especialmente cuando se ejecutan versiones antiguas y sin parches. HTML minimiza el "vector de amenazas" específico de RDP (por ejemplo, Bluekeep, NotPetya).
- Controles de uso granularesderechos específicos para cada usuario (grupo); por ejemplo, impedir el uso de la impresora virtual (es decir, no imprimir en casa), impedir la descarga (o carga) de archivos hacia y desde el escritorio local, impedir que se compartan las sesiones de la aplicación Awingu, impedir que se compartan los archivos Awingu, etc.
- Grabación de la sesión: Awingu puede habilitar la autograbación de las aplicaciones o usuarios establecidos (nota: excluida para las sesiones de Awingu Reverse Proxy). El usuario final recibirá un aviso de la grabación antes de iniciar su aplicación/escritorio de Awingu y tendrá que "aceptar".
- No hay datos locales: Todas las aplicaciones, archivos, escritorios alojados, etc. se ejecutan en HTML5 dentro del navegador. No hay huella en el dispositivo (cf. controles de uso granulares) y solo se comparten las "imágenes" de la pantalla.
-
- Awingu permite una mejor UX
Con Awingu, los usuarios pueden llevar cualquier dispositivo, también el suyo propio, y trabajar. Puede ser un dispositivo Windows 7, un MacBook o una tablet. Es una experiencia sencilla y coherente.