Cómo crear una política de seguridad para VPN

Implementación de una política de seguridad de VPN: Todo lo que necesitas saber

Una política de seguridad de VPN es un conjunto de reglas y directrices que definen todos los aspectos relacionados con la VPN de una empresa. Estas políticas especifican quién puede usar la VPN, para qué pueden usarla y cómo se evitará cualquier uso incorrecto o malintencionado.

Para crear una buena política de seguridad de VPN, debes documentar las respuestas a las siguientes preguntas. Algunas de estas preguntas podrás responderlas por ti mismo, mientras que otras requerirán la colaboración de tus usuarios.

Índice de Contenido
  1. ¿Qué tipo de VPN se utilizará?
  2. ¿Se requiere la función de división de túneles (split tunneling)?
  3. ¿Se utilizará un concentrador de VPN dedicado en los lados del servidor y el cliente?
  4. ¿Qué tipo de requisitos de seguridad implementarás en los usuarios remotos para que se conecten a la VPN?
  5. ¿Qué sucederá con los usuarios cuyos sistemas no cumplan con los requisitos de seguridad?
  6. ¿Se utilizará algún mecanismo de autenticación centralizada?
  7. Una vez autenticado el usuario, ¿habrá algún tipo de sistema de autorización y contabilidad de usuarios?
  8. ¿Se utilizará algún tipo de autenticación de dos factores?
  9. ¿Qué nivel de encriptación se utilizará?
  10. ¿Sería posible utilizar una VPN basada en SSL?
  11. ¿Qué usuarios tendrán acceso a la VPN y por qué? ¿Estos usuarios estarán en grupos? ¿Existen diferentes grupos para diferentes niveles de acceso?
  12. ¿Qué direcciones IP, puertos y aplicaciones de servidor se permitirán? ¿Se ha probado esto con un analizador de protocolos?

¿Qué tipo de VPN se utilizará?

¿Se trata de una conexión de usuarios remotos a un sitio central o de una VPN de sitio a sitio entre dos ubicaciones? La respuesta a esta pregunta influirá en las preguntas siguientes. Si tienes un grupo de usuarios individuales con PC o laptops y un cliente de VPN basado en software, es posible que no tengas tanto control como desearías. Por otro lado, si tienes un grupo de computadoras conectadas a través de un dispositivo de VPN basado en hardware, tendrás un mayor control de seguridad sobre lo que esos usuarios pueden hacer a través de dicho dispositivo. Por supuesto, algunos dispositivos ofrecen más características y seguridad que otros.

¿Se requiere la función de división de túneles (split tunneling)?

La función de división de túneles permite que un usuario acceda tanto a la red no segura como a la red segura de la VPN cuando se conecta. Sin embargo, esta función es muy insegura y no se recomienda. Si tú tienes el control sobre cómo funcionará esto, debes buscar alguna forma de deshabilitar la función de división de túneles, si es posible.

¿Se utilizará un concentrador de VPN dedicado en los lados del servidor y el cliente?

Idealmente, se debe utilizar un dispositivo de hardware de VPN dedicado en cada lado del túnel VPN. Sin embargo, esto no siempre es económicamente viable o conveniente para un usuario de laptop en movimiento.

Cómo garantizar la validación local de los clientes en un dominio multi-sitio

En la misma línea, ¿tendrás un servidor de VPN dedicado? Siempre se recomienda utilizar dispositivos separados para la conectividad VPN y el firewall.

¿Qué tipo de requisitos de seguridad implementarás en los usuarios remotos para que se conecten a la VPN?

Quieres que tus usuarios remotos que se conectan a tu red central tengan las mismas medidas de seguridad que los usuarios regulares en tu oficina. Algunos ejemplos de medidas de seguridad son:

  • Firewall en el lado del cliente con reglas actualizadas.
  • Software antivirus con archivos de definición de virus actualizados.
  • Parches de seguridad actualizados para Windows u otras aplicaciones.
  • Cliente de software VPN actualizado, utilizado para conectarse a la VPN.
  • Muchas de las soluciones de hardware de VPN y clientes de VPN más avanzados pueden admitir este tipo de verificación de aplicaciones/actualizaciones.

¿Qué sucederá con los usuarios cuyos sistemas no cumplan con los requisitos de seguridad?

Preferentemente, se les otorgará acceso a la VPN a los sistemas de los usuarios que no cumplan con los requisitos de seguridad (de la pregunta anterior), pero se les enviará a una red de cuarentena de VPN donde solo podrán recibir actualizaciones para sus sistemas. Esta función se denomina cuarentena.

¿Se utilizará algún mecanismo de autenticación centralizada?

La forma más sencilla de utilizar una autenticación centralizada es a través de un servidor RADIUS. Un servidor RADIUS es una aplicación de software que se ejecuta en un servidor que tiene acceso a todos los usuarios del dominio (normalmente, un controlador de dominio de Windows). Cuando un usuario intenta una conexión, el servidor de VPN se comunica con el servidor RADIUS, que autentica al usuario a través del nombre de usuario/contraseña del dominio de Windows. Si el nombre de usuario y la contraseña del usuario son correctos y ese usuario tiene acceso a "marcar", se le permitirá el acceso a la VPN.

Una vez autenticado el usuario, ¿habrá algún tipo de sistema de autorización y contabilidad de usuarios?

La autorización implica permitir que ciertos usuarios o grupos de usuarios realicen ciertas "cosas". Estas "cosas" pueden ser redes, protocolos de red, números de puertos TCP o servidores específicos. También puede implicar permitir el acceso solo desde ciertas máquinas y durante ciertos períodos de tiempo.

La contabilidad consiste en registrar, en este caso, lo que el usuario de VPN accede, cuándo lo accede y cuándo cierra sesión.

Cuál es la mejor opción de protocolo de enrutamiento para una red empresarial

¿Se utilizará algún tipo de autenticación de dos factores?

Una desventaja de permitir que cualquier usuario con un nombre de usuario/contraseña válido acceda a tu red a través de una VPN en Internet es que, si un atacante malintencionado logra obtener el nombre de usuario/contraseña de alguien, puede ingresar a tu red desde cualquier parte del mundo. No hay garantía de que esa persona sea realmente quien dice ser.

Con la autenticación de dos factores, se le asigna al usuario algo único. Hay una variedad de formas de hacer esto, pero muchas veces, al usuario se le asigna una tarjeta o un llavero que tiene una pantalla y un teclado. El usuario ingresa un número PIN y se le asigna una contraseña larga y que cambia aleatoriamente. Esta contraseña se utiliza para autenticar al usuario después de que este haya ingresado su nombre de usuario y contraseña. Si el usuario no tiene el dispositivo que contiene la contraseña de autenticación secundaria requerida, no se le permitirá el acceso. El mecanismo de autenticación de dos factores más popular es el RSA SecurID de RSA.

¿Qué nivel de encriptación se utilizará?

No se recomienda utilizar PPTP o IPSEC de 56 bits para conexiones VPN, ya que se ha comprobado que son menos seguras que otras tecnologías. Se recomienda utilizar IPSEC de 128 bits (3DES) o AES de 256 bits, si es posible.

¿Sería posible utilizar una VPN basada en SSL?

La mejor opción para una tecnología de VPN se conoce como SSL-VPN. Con SSL-VPN, solo se permite una conexión VPN a las direcciones IP individuales, puertos y aplicaciones a las que el usuario tiene acceso. Sin embargo, no todas las aplicaciones son compatibles con SSL-VPN.

¿Qué usuarios tendrán acceso a la VPN y por qué? ¿Estos usuarios estarán en grupos? ¿Existen diferentes grupos para diferentes niveles de acceso?

Esto debe documentarse, ya que es una parte crítica de tu política de seguridad de VPN. No se puede otorgar acceso a la VPN a los usuarios solo porque lo soliciten. Acceder a la VPN es un privilegio y un riesgo de seguridad. Los administradores de seguridad de red deben protegerse contra el acceso incorrecto de los usuarios y la compromisión de la seguridad del sistema.

¿Qué direcciones IP, puertos y aplicaciones de servidor se permitirán? ¿Se ha probado esto con un analizador de protocolos?

Casi todos los servidores de VPN permiten que definas qué direcciones IP, puertos y aplicaciones pueden hacer qué en la VPN. Esto se hace para proteger tu red interna contra virus y atacantes malintencionados en el extremo del cliente de VPN. Una vez que conozcas las direcciones IP y los puertos, debes verificarlos con un analizador de protocolos como Ethereal.

Los 8 pasos para solucionar problemas de red y sistemas

Una vez que tengas las respuestas a las preguntas anteriores, debes decidir qué es lo que puedes permitir y qué no puedes permitir. El uso de la plantilla de evaluación de seguridad de VPN te ayudará a tomar esa decisión.

A continuación, toma las respuestas de tu encuesta y las respuestas que has encontrado después de revisar la plantilla de evaluación de vulnerabilidad de la política de seguridad de VPN y documenta tu política de seguridad de VPN.

El punto más vulnerable para que los virus, gusanos o atacantes malintencionados ingresen a tu red es tu VPN. Como administrador de red o administrador de seguridad, debes proteger los activos tecnológicos críticos de tu empresa. Esa es tu responsabilidad. Minimizar los riesgos en esos activos y documentar lo que se permite y lo que no se permite también es tu responsabilidad. Al no tener una política de seguridad de VPN efectiva, estás poniendo en riesgo no solo los activos de la red de tu empresa, sino también tu seguridad laboral.

Una vez que la política de VPN esté documentada, debes hacer que todos los nuevos usuarios de VPN lean y acepten los términos de esa política.

Puedes implementar rápidamente una política de VPN en tu organización descargando la política de VPN de Newsmatic. Incluye una hoja de cálculo de evaluación de riesgos que te ayudará a determinar la importancia de dicha política para la seguridad de tu organización, junto con una política básica que puedes utilizar y modificar. Puedes comprarla en el Catálogo de Newsmatic o descargarla de forma gratuita como parte de tu membresía Pro de Newsmatic.

Diferencias entre redes cliente/servidor y peer-to-peer

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo crear una política de seguridad para VPN , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.