Cómo minimizar los riesgos de las VPN de túnel dividido

¿Cuántos de nuestros lectores no están dando soporte a PC domésticos o portátiles de empresa conectados remotamente a través de una red privada virtual (VPN) mediante el uso de escritorio remoto? No hace mucho, Microsoft ha proporcionado una guía para usar una técnica llamada túnel dividido VPN; y, asimismo, está probando la herramienta de incorporación de red de Office 365 para comprobar la conectividad y la configuración de dicha solución. Entre otras cosas, indica su ubicación física y luego introduce el nombre de su proveedor para descargar la herramienta. Para ello necesitará instalar .NET Core 3.1.3 para completar la prueba avanzada. Una vez completada, informará sobre el uso de VPNs, proxy u otra conectividad. También informará sobre el uso de VPN de túnel dividido.

La seguridad de las VPN en los túneles divididos es un asunto de seguridad

Tampoco faltan los argumentos casi ortodoxos sobre el uso de VPN de túnel dividido. Algunos argumentan que proporcionan la capacidad de colocar el tráfico de red que se utiliza para el mantenimiento (actualización de Windows, instalación de Click to Run Office 365) a través de la conexión local de los usuarios sin introducir más riesgos. Otros dicen que, a menos que se asegure que todo el tráfico está a través de la VPN corporativa, no se puede inspeccionar el tráfico para mantener la empresa segura.

Las preocupaciones sobre la seguridad de la VPN se reducen a la forma en que se conecta el cliente o la estación de trabajo a la red. Si usted conecta un cliente remoto a su red utilizando una red privada virtual y no limita o restringe la estación de trabajo del cliente, es evidente que una máquina infectada puede introducir riesgos y malware en su red.

Limitación de los riesgos de seguridad del túnel dividido VPN

Para limitar este riesgo, primero evalúe las opciones que le ofrece su software de VPN. Hay que tener en cuenta que múltiples soluciones VPN pueden conectarse remotamente a su red: VPN basadas en software, a menudo en forma de software VPN nativo de Microsoft que se envía con cada versión de Windows, o soluciones VPN en su hardware de firewall. Por eso, le recomendamos que pregunte a su proveedor de cortafuegos qué opciones tiene para revisar el tráfico de la VPN.

Otros sostienen que cada vez que se conecta una estación de trabajo a la red corporativa, es necesario asegurarse de que la máquina está parcheada a un cierto nivel, cuenta con un antivirus y definiciones actualizadas, y sigue también otras pautas de salud que su organización requiere.

Microsoft proporciona herramientas como la protección de acceso a la red para las plataformas de Windows 7, que le permite establecer una política según la cual las máquinas sólo pueden conectarse a la red si cumplen ciertos estándares mínimos. Por ejemplo, puede configurar un Servidor de políticas de red (NPS) para asegurarse de que las estaciones de trabajo estén actualizadas con los parches, tengan una determinada versión o definiciones de antivirus u otras políticas de seguridad que considere adecuadas.

A continuación, debe configurar la protección de acceso a la red (NAP) para permitir que las estaciones de trabajo se conecten sólo si cumplen estos mínimos. Para Windows 10 puede utilizar muchas de las herramientas NPS en lugar de NAP. También puede utilizar herramientas como System Center Configuration Manager (SCCM) o Intune para Windows 10. Como alternativa, vuelva a consultar a su proveedor de cortafuegos para revisar las opciones que TI proporciona para revisar el estado de los clientes de Windows 10 antes de que entren en su red. También puede echar un vistazo a PacketFence, una plataforma de código abierto que proporciona una revisión del estado de los clientes antes de que se conecten a su red.

En el caso de las empresas que utilizan Intune, puede utilizar las reglas de la política de acceso condicional para determinar si sus equipos de Windows 10 son lo suficientemente saludables para conectarse a su red. Por ejemplo, con las reglas de política de acceso condicional y el administrador de configuración, puede hacer que el sistema revise si el equipo tiene habilitado lo siguiente:

· BitLocker, para proporcionar el cifrado de todos los datos almacenados en el volumen del sistema operativo Windows.

· Integridad del código, para validar la integridad de un controlador o un archivo de sistema cada vez que se carga en la memoria.

· Antimalware de inicio temprano (sólo se aplica a los equipos), para proteger los equipos cuando se inician y antes de que los controladores de terceros se inicialicen.

 Arranque seguro para asegurarse de que una PC se inicia sólo con el software que es confiable por el fabricante de la PC.

Alternativamente, las herramientas del sistema de detección de intrusos (IDS) y del sistema de prevención de intrusos (IPS) pueden inspeccionar su tráfico, revisar lo que entra y sale de su red y limitar el acceso de las estaciones de trabajo a recursos específicos. Los módulos de seguridad como Carbon Black Endpoint Response, Wazuh, Ossec o incluso los Malwarebytes con módulos de actividad sospechosa pueden trabajar con configuraciones de túneles divididos.

Si usted tiene activos corporativos en el trabajo desde su casa, tenga agentes de punto final corporativos instalados en las máquinas remotas para que pueda monitorearlas o parchearlas ya sea que estén dentro o fuera de la VPN. Si tiene que recurrir a empleados que utilizan sus ordenadores domésticos, puede configurar un servidor de sesión de escritorio remoto (RDSH) y ofrecer escritorios virtuales en lugar de permitir que los dispositivos personales se conecten a su red a través de la VPN.

En definitiva, ¿deberían preocuparle las VPNs de túnel dividido? Sí, pero también debería preocuparle igual de bien cualquier recurso que se conecte a su red. Por eso, asegúrese de que puede revisar el tráfico y reaccionar ante cualquier amenaza que llegue a su red.