VPN: conexión segura

Una VPN o red privada virtual permite crear una red local segura sin necesidad de que sus integrantes estén conectados físicamente entre sí, sino a través de Internet.

En sentido más estricto una Red Privada Virtual es un servicio mediante el cual nuestro equipo se conecta a otro que hace de intermediario (el servidor VPN) entre nosotros y los servicios y páginas web de Internet a los que accedemos (como por ejemplo Gmail, Facebook, Dropbox, etc.).

Las Redes Privadas Virtuales, dividen la conexión en dos partes o zonas, la primera va desde nuestro equipo hasta el servidor VPN y la segunda desde el servidor VPN hasta el servidor o servicio al que nos vamos a conectar.

Dentro de las dos zonas en las que se divide nuestra VPN, la primera es la más susceptible a sufrir un ataque y robo de nuestra información

Una VPN se utiliza para proteger la información que se intercambia estableciendo un túnel de comunicación segura entre el cliente y el servidor. Es recomendable su utilización cuando usamos conexiones no confiables como redes wifi públicas, ya que protege nuestra información mediante el cifrado.

Tipos de VPN

1. Aplicaciones cliente/ servidor, diseñadas para acceder mediante HTTP a los datos almacenados en el servidor.
2. Puertas de enlace VPN que permiten el acceso HTTP a las aplicaciones del servidor que no poseen un interfaz nativo basado en web.
3. Puertas de enlace VPN que actúan como proxy web de tunneling, aceptando las conexiones HTTP provenientes de la aplicación cliente, eliminan el encabezado HTTP del protocolo nativo cliente/ servidor y lo reenvían al servidor.
4. Conexiones VPN de acceso remoto que usan SSL y transportan todos los protocolos de red.

Teletrabajo y VPN

El teletrabajo precisa de un determinado nivel de seguridad que es necesario establecer para mantener un intercambio de información seguro; y que es posible conseguir mediante el uso de determinados controles dentro de la conexión VPN.

Las metodologías de seguridad más utilizadas para reforzar las debilidades de seguridad de las VPN son:

• Autenticación de los usuarios y dispositivos

El usuario debe autentificarse antes de poder acceder a cualquier parte de la red, por ello es recomendable utilizar un sistema de autoidentificación complementario al aportado por el sistema operativo utilizado por el operador en cuestión para proteger la información existente.

• Pruebas de carga

​Es recomendable realizar pruebas en entornos simulados para conocer y controlar el número máximo de usuarios conectados a la vez a la misma red. Lo anteriormente citado es necesario para brindar la mejor experiencia y evitar posibles demoras, malas conexiones u otros fallos. 

Además es igualmente necesario realizar una evaluación de distintos aspectos como la conectividad, autenticación, aplicaciones, gestión o registro.
​

• Protección del entorno del cliente

El cliente VPN desde su ordenador personal no goza de la protección frente a virus y ataques de la que el entorno empresarial dispone dentro de una red.  Por ello es necesario dotar de herramientas que puedan hacer frente a las posibles amenazas como un antivirus propio o control de acceso. 

• Control de dispositivos

​Los dispositivos utilizados para el teletrabajo deben ser corporativos y no personales, ya que es necesario que cumplan con las políticas de seguridad implantadas por la organización. Si es necesario usar los dispositivos personales se deberán implantar y seguir las medidas necesarias para mantener un buen funcionamiento.

Las buenas prácticas y el sentido común, la implantación de un software actualizado y legítimo, el uso de contraseñas seguras, realización de copias de seguridad periódicamente, políticas antirrobo y de cifrado de la información; son algunas de las acciones que debe llevar a cabo el trabajador de para trabajar de manera segura. 

• Control de acceso

​El acceso en remoto a la información se deberá realizar mediante la validación de la identidad y la autenticación para evitar la suplantación de la identidad de algún miembro de una organización. 

• Gestión de permisos y roles

El uso de los diferentes roles asignados en función del cargo que ostenta y de la actividad que lleva a cabo cada miembro de una organización, son recomendables para evitar accesos indebidos a información o herramientas especialmente durante el teletrabajo. 

• Monitorización de la actividad de red

La detección de actividad sospechosa dentro de una red se lleva a cabo mediante la realización de distintas comprobaciones sobre acciones cotidianas dentro de una entorno de trabajo. Este control se realiza mediante el análisis de  intentos recurrentes de autenticación fallida, accesos simultáneos, descargas de datos, intentos de accesos a recursos no autorizados o intentos de ejecución remota desde clientes VPN, etc.

Todo lo anterior se produce para detectar y tomar las medidas oportunas contra acciones inapropiadas que puedan comprometer la seguridad de una organización. 

• Operaciones y mantenimiento

Los procesos operacionales que son útiles para mantener la seguridad del teletrabajo y el acceso en remoto son: 

1. Comprobar las actualizaciones y parches de los componentes del software de acceso remoto, y adquirir, probar y desplegar las actualizaciones.
2. Reconfigurar  las opciones de control de acceso cuando sea necesario.
3. Analizar y documentar las anomalías detectadas dentro de la infraestructura de acceso remoto.

 

• Red móvil

Es una alternativa disponible en caso de urgencia y de no disponer de una implementación de conexión segura establecida VPN, sería la utilización de redes móviles proporcionadas por la organización. Estas conexiones 4G son más seguras, ya que la seguridad de red va intrínseca. 

• Videoconferencias

Las reuniones son una parte importante para el desarrollo de la actividad de una organización. Durante el teletrabajo, las opciones de comunicación audiovisual disponibles son varias: a través de red LAN o WAN por infraestructura local o en la nube, terminales hardware o aplicaciones software ejecutándose desde diferentes terminales.

Las modalidades bajo infraestructura son aquellas que funcionan como cliente-servidor. Las locales se refieren a soluciones específicas de la organización, gestionadas y alojadas en sus propios servidores; mientras que en la nube son aquellas provistas por un proveedor a modo de suscripción, dejando en sus manos la disponibilidad, seguridad y soporte.

Ventajas e inconvenientes de una VPN

Ventajas

• Privacidad y confidencialidad: una conexión con un servidor VPN no permite acceder a nuestra información. 
• Integridad: nuestros datos se encuentran cifrados por lo que no se pueden modificar. 

Inconvenientes

• En los servidores gratuitos, el servidor VPN nos puede proporcionar una dirección IP de otro país, por lo que muchos sitios web modifican el idioma ya que interpretarán que estamos cargando la página desde ese país.
  
• La comunicación suele ser más lenta que si fuera directa, y en caso de servicios gratis limitan la velocidad y la cantidad de datos que podemos transferir. En los servicios de pago no suele haber limitaciones de transferencia de datos, aunque la velocidad, auque disminuirá siempre en comparación con una conexión directa a través de fibra óptica o ADSL.