¿Qué tan segura es tu VPN?
La seguridad de la red privada virtual (VPN), siempre importante, ahora es imperativa dada la actual pandemia de COVID-19. El trabajo remoto se ha convertido rápidamente en la nueva normalidad y, en consecuencia, la demanda de capacidades de VPN se ha disparado. Lamentablemente, aunque no resulte sorprendente, los ataques a las VPN han aumentado considerablemente al mismo tiempo. Subrayando la gravedad, en marzo la Agencia de Seguridad Cibernética y de Infraestructura (CISA) del Departamento de Seguridad Nacional de los Estados Unidos emitió la Alerta AA20-073A sobre seguridad de VPN empresarial.
Básicamente, las VPN extienden el perímetro de la red empresarial y permiten a los usuarios acceder a aplicações corporativas desde cualquier lugar. La infraestructura local se encuentra efectivamente a “un salto” (o un clic) del dispositivo del usuario. De manera similar, el riesgo de seguridad para los activos corporativos también está a un paso de distancia. Es posible que los atacantes ya no tengan que comprometer capas sofisticadas de seguridad perimetral (proxies, WAF, detección de intrusiones, etc.), pero una sola vulnerabilidad o una implementación insegura de una VPN podrían exponer activos corporativos e información personal.
En este artículo, nos centraremos en algunas de las áreas clave que son fundamentales para evaluar la seguridad de su VPN.
Postura de seguridad de endpoints
Los usuarios normalmente inician un túnel VPN SSL desde sus dispositivos finales, como computadoras de escritorio, portátiles y dispositivos móviles. Estos puntos finales se convierten en puntos de entrada y objetivos principales para actores maliciosos que intentan usarlos como vectores de ataque. Por lo tanto, es importante asegurarse siempre de que un punto final sea seguro antes de establecer un túnel VPN. La seguridad de puntos finales es un enfoque estratégico para garantizar que un dispositivo cliente no represente un riesgo de seguridad antes de que se le conceda una conexión de acceso remoto a la red. Una estrategia de este tipo puede implicar la verificación sistemática del certificado del equipo cliente, la verificación del tipo de cliente o la versión del navegador del cliente, la verificación de parches del software antispyware y antivirus y la inspección de las reglas del firewall del cliente, por ejemplo.
La evaluación de la postura de seguridad del punto final generalmente ocurre al iniciar la sesión, antes de establecer un túnel VPN, pero también puede ocurrir periódicamente durante la sesión VPN del usuario. La evaluación continua de la postura de seguridad de los puntos finales mitiga los riesgos posteriores al verificar que los puntos finales no se hayan visto comprometidos después de que se estableció el túnel VPN inicial.
Autenticación y autorización de usuarios
La autenticación consiste en verificar la identidad de los usuarios antes de establecer un túnel VPN. La verificación de las credenciales de los trabajadores remotos garantiza que solo los usuarios legítimos tengan acceso a los recursos y aplicações internos.
Sin embargo, con el aumento de los métodos de credential stuffing y apropiación de cuentas (ATO), un atacante podría aparentemente estar en posesión de credenciales de usuario válidas y eludir la autenticación de un solo factor. Por lo tanto, resulta esencial implementar la autenticación multifactor para su VPN.
Autenticación multifactor (MFA)
MFA mejora la seguridad al solicitar que los usuarios proporcionen dos o más factores de autenticación verificables antes de establecer un túnel VPN. Este enfoque permite que MFA bloquee eficazmente el 99,9 % de los ataques de apropiación de cuentas (ATO), según estimaciones de la industria. Los factores de autenticación comunes son:
- Algo que el usuario sabe , como una contraseña, un PIN o un gesto del panel táctil
- Algo que tiene el usuario , como un token físico o de software o un certificado
- Algo que el usuario es , es decir, una entrada biométrica, como una huella dactilar, un escaneo de retina o un reconocimiento facial o de voz.
Después de que un usuario se autentica, las políticas de autorización evalúan el conjunto de permisos del usuario para otorgar acceso específico a recursos y aplicações internas, así como para aplicar restricciones apropiadas. El acceso se concede mediante diferentes modelos de permisos, como el control de acceso basado en roles (RBAC). Se pueden imponer privilegios y preferencias específicos para los usuarios de VPN implementando controles de seguridad adicionales, como ACL, durante el establecimiento del túnel VPN.
Confidencialidad e integridad de los datos
El cifrado proporciona confidencialidad e integridad a los datos mientras los datos corporativos se transmiten a través de redes compartidas o públicas mediante el túnel VPN.
Para revelar datos confidenciales, los actores maliciosos pueden intentar robar claves privadas, explotar vulnerabilidades conocidas en la implementación criptográfica o romper parámetros criptográficos débiles.
Al configurar una VPN SSL, debe tener en cuenta la gestión del intercambio de claves y la solidez de los cifrados criptográficos. Las versiones anteriores a TLS1.3 contienen fallas conocidas en la definición del protocolo y en su implementación. Otras vulnerabilidades incluyen el abuso de la renegociación del cliente y el uso de primitivas criptográficas débiles, como los cifrados de flujo RC4 y de grado de exportación.
Ataques DDoS en VPN
Cuando la mayoría o la totalidad de sus empleados son trabajadores remotos, la disponibilidad de su servidor VPN (a veces denominado concentrador VPN) también se vuelve fundamental para la continuidad del negocio. Por el contrario, los servidores VPN pueden ser un objetivo principal para actores maliciosos que intentan saturar sus servidores VPN con solicitudes automatizadas distribuidas aleatoriamente, haciendo que la VPN no esté disponible para usuarios legítimos.
Se puede acceder a las VPN SSL a través de una dirección IP/URL (en el navegador web o configurada en un cliente VPN), lo que las hace susceptibles a los mismos patrones de ataque DDoS que apuntan a los servidores web, como inundación HTTP, inundación SSL, renegociación SSL, ataque de combinación TCP, etc.
Por lo tanto, para garantizar la continuidad del negocio a través de su VPN, puede ser esencial configurar su VPN para detectar y mitigar ataques DDoS como parte de su estrategia de seguridad más amplia.
Más recursos: