Cómo seleccionar nuestra tecnología de VPN de acceso remoto

Una red privada virtual, es una tecnología de red que nos permite una extensión segura de nuestra red local sobre una red pública no controlada. Al buscar una solución de VPN básicamente buscamos integridad, confidencialidad y seguridad para nuestros datos, además de sencillez y bajos costes.

Existen diferentes tecnologías de cara a implementar nuestra VPN de acceso remoto, que a menudo confundimos o no tenemos claro las ventajas e inconvenientes de las mismas. Veamos las maneras de implementar una solución de VPN, lo que nos aporta cada una de ellas y cual debemos seleccionar en función de nuestras necesidades.

• PPTP: Desarrollado por Microsoft, fueron las primeras VPN que vimos en el mercado por su sencillez de implementación. A día de hoy PPTP se considera un protocolo inseguro dado la facilidad en la rotura del mismo y con ello el acceso a los datos transportados. No se recomienda su uso y las antiguas implementaciones de PPTP deben ser migradas a tecnologías más actuales.

• IPSec/L2TP: Diseñado como heredero de PPTP con el objetivo de corregir sus deficiencias de seguridad. L2TP es en realidad una variación de un protocolo de encapsulamiento IP. Un túnel L2TP se crea encapsulando una trama en un paquete UDP, el cual es encapsulado a su vez en un paquete IP, cuyas direcciones de origen y destino definen los extremos del túnel. Siendo el protocolo de encapsulamiento más externo IP los protocolos IPSec se utilizan sobre este paquete protegiendo así la información que se transporta por el túnel. Nos será útil para desplegar soluciones VPN para servidores Windows donde podremos implementar directamente este tipo de directivas de seguridad.

• IPSec: Creado para cubrir las necesidades de seguridad del protocolo IP, nos proporciona autenticación, confidencialidad, integridad y no repudio. Los protocolos de IPsec actúan a nivel de red, capa 3 del modelo OSI. Esto hace que IPsec sea más flexible que el resto de soluciones que operan a nivel de transporte (capa 4 modelo OSI), ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP. Ventaja significativa sobre otros métodos que operan en capas superiores. Actualmente es la solución más implementada tanto para VPN site-to-site como de acceso remoto, el inconveniente principal es que no podrá ser utilizada en cualquier red de acceso de invitados a Internet dado que a menudo no está permitido el transito del protocolo.

• SSL: Acceso remoto similar a IPsec pero basado en túneles de acceso SSL TLS. SSL no es tan seguro como IPSec, pero se acerca a él lo bastante en este punto para representar una alternativa perfectamente válida, siendo más simple de desplegar y gestionar. La sencillez la podemos extrapolar a la facilidad de uso de los túneles SSL desde cualquier red de acceso de invitados de Internet, eliminando las limitaciones de uso de IPSec en redes de acceso con configuraciones restrictivas de NAT o Firewalls.

• SSL HTML5: Accederemos a los recursos internos de nuestra compañía mediante accesos directos preconfigurados usando simplemente nuestro navegador, el cliente universal y sin necesidad de ningún tipo de privilegios de administración sobre el PC usado para el acceso remoto. Sencillamente el usuario tendrá que autenticar en el portal WEB HTTPS de acceso e iniciar el acceso a los recursos seleccionando los Bookmarks definidos para su perfil en su propia área de trabajo. El tipo de recursos que podemos publicar con este tipo de solución son del tipo Escritorio Remoto (RDP, SSH), WEB (http, https), Telnet, SSH, etc…

Para cubrir todas las necesidades de acceso remoto de una compañía, mi recomendación es el uso de combinado de tecnologías en función del perfil de dispositivo usado para el acceso, si nos vamos a conectar desde un dispositivo gestionado por nuestra organización usaremos IPsec o SSL VPN en función del origen en el acceso a la conexión, redundando él acceso con SSL HTML5 para el acceso de recursos desde dispositivos no gestionados por nuestra compañía.

Todas las tecnologías anteriormente denotas se encuentran incluidas en nuestro UTM 9, con el objetivo de cubrir todas las casuísticas de acceso remoto de nuestros clientes. Del mismo modo, desde Sophos Iberia estaremos encantados de analizar los requisitos de nuestros clientes y ayudarlos en la decisión/implementación de una solución de VPN robusta, redundada y adaptada a vuestras necesidades.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestra newsletter en tu correo electrónico, suscríbete en la siguiente aplicación: