Redes privadas virtuales (ITSAP.80.101) – Centro Canadiense de Seguridad Cibernética
junio 2024 | Serie de concientización
Una red privada virtual (VPN) es una conexión segura entre 2 puntos, como su computadora portátil y la red de su organización. Una VPN actúa como un túnel para enviar y recibir datos seguros en una red física existente. Por ejemplo, un empleado remoto puede usar una VPN para cifrar datos mientras viajan a través de la red hasta su destino. Ese destino puede ser otro trabajador remoto, una oficina corporativa u otros servidores de trabajo. Esta publicación presenta algunos de los riesgos y consideraciones al usar una VPN.
En esta página
Cómo funcionan las redes privadas virtuales
Una VPN oculta los datos entrantes y salientes a través de un túnel seguro. Estos datos se pueden descifrar una vez que lleguen a su destino previsto. Los túneles VPN enmascaran sus datos, dirección IP y otra información personal mientras accede a Internet.
Una VPN puede cifrar los datos en ambos puntos finales. Algunas VPN también pueden cifrar los datos mientras están en tránsito. Esto permite que el tráfico sea seguro cuando pasa entre puertas de enlace a través del túnel. Para un mayor nivel de seguridad, su organización debería considerar el uso de una VPN que cifre los datos mientras están en tránsito.
La mayoría de las puertas de enlace VPN están integradas en un firewall. En muchos casos, el punto final de la transferencia de datos es un servidor específico al que accede un usuario. Su organización debe exigir a los usuarios que ingresen sus credenciales para acceder a los datos cifrados en su red. Para un mayor nivel de seguridad, su organización puede exigir a los usuarios que ingresen credenciales para enviar y recibir datos cifrados.
Tipos de redes privadas virtuales
Hay varios tipos de VPN que su organización puede considerar.
- Puerta de enlace a puerta de enlace: Se utiliza para conectar 2 redes creando una VPN a través de una red pública y asegurando el tráfico entre ellas. Este tipo de VPN se utiliza normalmente para conectar sitios de oficinas remotas.
- Host a puerta de enlace (acceso remoto): Se utiliza para proporcionar acceso remoto a una red empresarial, como desde la computadora portátil de un trabajador remoto.
- Anitrión a anfitrión: Se utiliza para conectar un host a un recurso específico en una red empresarial u otro host específico
- Privacidad de terceros: Se utiliza para proteger una conexión desde un punto de acceso público, como un punto de acceso Wi-Fi de un aeropuerto o un hotel, a un proveedor de VPN externo. Luego, el proveedor redirige el tráfico del usuario para que parezca que se origina en la red del tercero.
Riesgos de utilizar una red privada virtual
Las VPN pueden introducir riesgos de seguridad para su organización. Antes de comprar un servicio VPN, su organización debe investigar y asegurarse de que el servicio VPN se ajuste a sus políticas.
Su organización puede tener mayores niveles de riesgo debido a las siguientes circunstancias:
- Es posible que una VPN no pueda proporcionar el nivel de seguridad deseado si elige utilizar una red que no es de confianza, como Wi-Fi gratuito o si hay software malicioso en la red de la organización.
- La seguridad de su información se verá comprometida si su clave de cifrado se ve comprometida.
- Algunos servicios de VPN se centran en enmascarar su identidad en línea en lugar de proteger sus datos.
Elegir una red privada virtual
Antes de elegir una VPN, su organización debe evaluar sus necesidades y capacidades comerciales y sopesar los riesgos. También debe considerar 2 categorías de protocolos de seguridad VPN: Seguridad del protocolo de Internet (IPsec) y Seguridad de la capa de transporte (TLS). Los protocolos determinan cómo se envían, reciben y protegen los datos. Por ejemplo:
- Con IPSec, sus datos y el túnel por el que viajan están cifrados. Esto dificulta que los actores de amenazas obtengan sus datos. Requiere autenticación en ambos extremos para enviar y recibir datos a través de esta VPN.
- Con TLS, sólo se cifra el túnel por el que viajan los datos. Si un actor amenazante puede romper el cifrado del túnel, sus datos ya no estarán protegidos.
Si bien ambas categorías de protocolos ofrecen confidencialidad, integridad y autenticidad, lo hacen de diferentes maneras y en diferentes grados. Una de las diferencias clave entre IPsec y TLS es dónde operan dentro del modelo de interconexión de sistemas abiertos (OSI). Hay 7 capas en OSI y cada una realiza una función diferente. Cuanto menor sea el número de capa OSI en el que opera la VPN, más segura y más alejada estará del alcance de los actores de amenazas. TLS opera en las capas 4 a 7 (capa de transporte) e IPsec opera en la capa 3 (capa de red).
Su departamento de TI debe evaluar las necesidades de seguridad específicas de su organización antes de elegir un marco de protocolo VPN. Se recomienda IPSec para el acceso de sitio a sitio. La configuración puede requerir más esfuerzo, pero ofrece seguridad cibernética mejorada. TLS es mejor para un fácil acceso remoto con bajos requisitos de configuración.
Consulte las listas comparativas a continuación para obtener más información sobre cada protocolo VPN.
Seguridad del protocolo de Internet
- Admite conexión de puerta de enlace a puerta de enlace y de host a puerta de enlace
- Opera en la capa OSI 3 y superior y utiliza protocolos de autenticación que requieren una clave previamente compartida del cliente y el servidor.
- Cifra sus datos en los puntos inicial y final, así como en tránsito, ofreciendo cifrado completo de extremo a extremo
- Generalmente se usa solo en dispositivos corporativos debido a requisitos de seguridad.
- Requiere la instalación de una aplicación cliente en el dispositivo final de los usuarios.
- Ofrece un alto nivel de seguridad ya que tiene una superficie de ataque más pequeña.
- Ejecuta tareas dentro del sistema operativo Kernal.
- Inhibe los ataques del adversario en el medio mediante el uso de autenticación secreta compartida
- Le permite verificar el paquete en busca de malware antes de abrirlo en el extremo receptor.
- Le permite acceder a los recursos de red de su organización, como aplicaciones, portales y servidores internos, como si estuviera en el sitio.
- Proporciona comunicaciones de computadora a computadora mientras cifra paquetes de red completos.
Transport Layer Security
- Admite conexión de host a puerta de enlace
- Opera en las capas 4 a 7 del modelo OSI
- Proporciona cifrado desde el remitente hasta un destino específico, pero no proporciona cifrado completo de extremo a extremo.
- Se puede utilizar en cualquier dispositivo final, como una computadora portátil personal, en cualquier sistema operativo y en cualquier ubicación.
- No requiere descarga de aplicaciones ya que la mayoría de los navegadores ya están configurados para admitir TLS
- Tiene una seguridad menos sólida en comparación con IPsec ya que sus tareas se ejecutan desde el espacio del usuario en las capas de transporte y aplicación.
- Realiza tareas en una capa más expuesta que es más fácil de piratear
- Ofrece productividad limitada ya que solo está conectado a su organización a través de un navegador.
- Ofrece controles de acceso personalizados por usuario.
Proteger sus datos al utilizar una red privada virtual
Su organización debe evaluar el tipo y el valor de los datos que se envían y a los que se accede a través de una VPN para comprender los riesgos asociados. Debe implementar políticas claras para los empleados que utilizan una VPN para acceder de forma remota a los servidores corporativos.
Tener 2 claves o credenciales separadas para cifrar y descifrar se denomina criptografía asimétrica. Si es posible, debe configurar su VPN para utilizar criptografía asimétrica. Esto requiere que los usuarios que reciben datos cifrados ingresen credenciales de autenticación para acceder a la información.
Al utilizar un servicio VPN, su organización debe considerar:
- usar un token de hardware que no se pueda copiar, como un token RSA SecurID, para una capa adicional de seguridad
- activar la autenticación multifactor
- Pedir a los empleados que solo accedan a cuentas confidenciales si usan una VPN
- garantizar que los empleados utilicen Wi-Fi seguro y evitar Wi-Fi público cuando utilicen una VPN