Una de las soluciones que las empresas usan para extender su perímetro e interconectar recursos remotos a través de redes públicas son las VPN (Redes Privadas Virtuales); sin embargo, este tipo de desarrollos tienen una deuda tecnológica importante, ya que las necesidades de hace más de 20 años cuando fueron creadas son diferentes a las actuales. Durante este tiempo, las VPN no han tenido cambios significativos y, además, fueron concebidas como una estrategia para conectar recursos remotos a través de redes públicas como Internet, no como una solución de seguridad.
El riesgo que tienen las empresas ante los posibles ataques se presenta principalmente porque cuando se configuran políticas para VPN, generalmente ocurren dos situaciones problemá- ticas: son definidas para un acceso amplio a la red o son difíciles de mantener actualizadas. Para contrarrestar este riesgo, es necesario simplificar el acceso VPN para facilitar el progreso y la innovación al remover capas de innecesaria complejidad, y que así los negocios puedan implementar nuevas formas de trabajar desde el desarrollo de aplicaciones hasta la adopción de la nube. El nivel de exposición para una red empresarial que trabaja con VPN radica en las incontables vulnerabilidades que se pueden presentar.
Redvoiss con AppGate -especialista mundial en ciberseguridad y prevención de fraude transaccional-, ofrece la solución AppGate SDP (Perímetro Definido por Software), la cual resuelve las necesidades de las compañías modernas que están desarrollando procesos de transformación digital, y necesitan interconectar de forma segura sus recursos ubicados en redes híbridas.
SDP es una arquitectura de seguridad moderna, que reemplaza a las actuales VPN y posibilita la transformación de los negocios al implementar los principios de Zero Trust. Esto facilita la adopción de la nube, enfocándose en la identidad del usuario en lugar de la dirección IP, brindando una mejor alternativa, simplificando la operación de administradores de infraestructura y mejorando la experiencia del usuario.
Los principales beneficios
Las ventajas claves para las organizaciones al implementar esta herramienta son:
• Control de acceso y políticas granulares: Permite ejercer un mayor control sobre el enrutamiento del tráfico de red, las configuraciones de DNS y las políticas dinámicas adaptables.
• Controlar la complejidad de la red: Para ayudar a gestionar el acceso en topologías de red empresariales complejas y limitadas, se puede asignar a los usuarios diferentes métodos de acceso a la red de forma más fácil y dinámica, mejorando la flexibilidad y la escalabilidad en entornos complejos.
• Agilización de la usabilidad: Simplicidad en la interfaz de administración, así como una experiencia mejorada para los usuarios, basada en agente y sin agente, que ayudará a los equipos de seguridad a impulsar una amplia adopción y una mayor eficacia operativa de la solución AppGate SDP.
Vulnerabilidades
Las vulnerabilidades de las VPN constituyen un riesgo sensible para las organizaciones y dentro de las relevantes están:
• Manejo inseguro de sesiones: Múltiples soluciones de VPN almacenan de manera insegura cookies de autenticación y de sesión en la memoria y/o en archivos log, lo que permite a un atacante capturarlas y usarlas para evadir el proceso de autenticación e infiltrarse en la red de una compañía.
• Algoritmo criptográfico: Las VPN son fuertes de acuerdo con el algoritmo criptográfico que se use para su construcción, pero hay soluciones que siguen utilizando criptografía simétrica, hashing y esto permite vulnerar este tipo de tecnologías.
• Vulnerabilidad en la secuencia TCP en un túnel VPN: Debido a que algunas empresas no cuentan con los recursos suficientes para adquirir soluciones privadas, desarrollan sus propias soluciones usando un software libre. Esto facilita el ataque contra los protocolos y permite a los atacantes determinar la dirección IP virtual de una víctima asignada por el servidor, saber si hay una conexión activa a un sitio web determinado, identificar los números exactos de seq y ack contando los paquetes cifrados y/o examinando su tamaño y, finalmente, inyectar datos en el flujo TCP y secuestrar conexiones.