Llegamos a ustedes gracias a:



Reportajes y análisis

Optimizar las VPNs: 5 tareas claves

[23/07/2020] Parece que las empresas tendrán que apoyar y proteger a los empleados que trabajan desde casa durante un período de tiempo prolongado. Tal vez sea hora de revisar esa red privada virtual (VPN, por sus siglas en inglés) que ha creado. Recientemente la Agencia de Seguridad Nacional publicó su documento Securing IPsec Virtual Private Networks, en el que se analizan las tareas habituales que debe realizar para mantener su red segura:

  • Reducir la superficie de ataque del gateway VPN
  • Verificar que los algoritmos criptográficos cumplan con la política del Comité de Sistemas de Seguridad Nacional (CNSSP) 15
  • Evitar el uso de la configuración predeterminada de la VPN
  • Eliminar las suites de criptografía no utilizadas o no conformes
  • Aplicar las actualizaciones proporcionadas por el vendedor (parches) para los gateways y clientes de la VPN

Veamos más a fondo éstas y otras tareas que puede hacer para asegurar sus conexiones VPN:

Usar la versión actual de su software de VPN

Asegúrese de que está usando un software VPN actualizado y compatible. En enero del 2020, USCert señaló que los atacantes estaban usando el software vulnerable de VPN Pulse para dejar caer al rasomware en las redes. La vulnerabilidad era un ataque en el peor de los casos: "Un atacante remoto y no autenticado puede ser capaz de comprometer un servidor VPN vulnerable. El atacante puede ser capaz de obtener acceso a todos los usuarios activos y a sus credenciales de texto plano". También puede ser posible que el atacante ejecute comandos arbitrarios en cada cliente de la VPN, al conectarse con éxito al servidor de la VPN". La única forma de proteger su red es aplicar los parches disponibles.

Comprobar las conexiones VPN

Revise sus conexiones VPN para ver si son tan seguras como pueden ser. Primero, revise sus configuraciones para optimizar la administración de los sistemas. Anteriormente, hablé sobre el tema del túnel dividido VPN y el uso de Office 365. Durante muchos años, la mejor práctica fue enrutar todo el tráfico a través del túnel VPN. Con el uso de click-to-run y Office 365, ahora se recomienda dividir ese tráfico y hacer que el servicio de Office 365 pase a través de la conexión a Internet del usuario, mientras que el resto del tráfico necesario para el trabajo de la oficina se dirija a través de la VPN.

Si usa la VPN "Always On" de Microsoft con Windows 10 Enterprise edición 1709 o posterior y el dispositivo cliente se une al dominio, puede configurar la función de túnel de dispositivo. Permite a la computadora establecer una conexión Always On VPN antes de que el usuario inicie sesión. Esto permite a los usuarios utilizar las credenciales en caché sin riesgo.

Esto es importante, especialmente con tantos nuevos usuarios que se conectan remotamente por primera vez, sin que entren en la oficina para su entrenamiento y configuración. El túnel del dispositivo también permite a los administradores gestionar remotamente los clientes de VPN Always On conectados sin que el usuario haya iniciado la sesión. Por último, el túnel de dispositivos puede ayudar a resolver los problemas de los usuarios causados por el cambio y el restablecimiento de las contraseñas de los trabajadores remotos por parte de los administradores, y por el inicio del restablecimiento de la contraseña de autoservicio por parte de los usuarios (SSPR).

Filtrar el tráfico de la VPN

Demasiado a menudo creamos VPNs y no tomamos medidas adicionales para proteger y defender las aperturas de VPNs. Los atacantes buscan e intentan entrar a través de conexiones VPN. Establezca reglas estrictas de filtrado de tráfico para limitar los puertos, protocolos y direcciones IP del tráfico de la red a los dispositivos VPN. Si no puede filtrar a una dirección IP específica (y claramente en este momento no podemos), haga que su firewall esté configurado para proporcionar inspección y monitoreo del tráfico Ipsec, e inspeccionar las negociaciones de las sesiones IPsec.

Si tienes un modelo Cisco, los siguientes ejemplos de ACL le permiten limitar el tráfico ISAKMP solo a pares conocidos:

Access-list deny-ike extended permit udp <source_peer_ip> <destination_peer_ip> eq isakmp
Access-list deny-ike extended permit udp <source_peer_ip> <destination_peer_ip> eq 4500
Access-list deny-ike extended permit esp <source_peer_ip> <destination_peer_ip>
Access-list deny-ike extended deny udp any <destination_peer_ip> eq isakmp
Access-list deny-ike extended deny udp any <destination_peer_ip> eq

A continuación, establecer la configuración criptográfica para que sean las más seguras. Si se utilizan configuraciones criptográficas desactualizadas, los atacantes pueden violar la conexión y se puede perder la confidencialidad.  Como se indica en un documento de Cisco, puede revisar los SAs IPSec actuales en uso introduciendo los siguientes comandos:

  • Para mostrar las configuraciones utilizadas por los SAs IPSec actuales, emita el comando show crypto ipsec sa detail
  • Para mostrar todos los IKE SAs actuales a un par, emitir el comando show crypto isakmp sa

Como se ha señalado en Configuring IPsec Virtual Private Networks, los ajustes mínimos recomendados de ISAKMP/IKE por el CNSSP 15 a partir de junio del 2020 son los siguientes:

Diffie-Hellman Group: 16
Encryption: AES-256
Hash: SHA-384

Para cualquier otro proveedor, revise la documentación de su firewall o póngase en contacto con su proveedor.

Revise la configuración de la VPN

Revise también cualquier configuración predeterminada o asistentes utilizados para configurar la VPN, ya que puede haber habilitado configuraciones vulnerables más antiguas. Revise cuándo configuró la VPN en el firewall. Si han pasado muchos años desde que la configuró, es probable que la configuración que eligió entonces no sea lo suficientemente buena ahora. Aunque pueda ser perjudicial, revise sus configuraciones de VPN.

Por ejemplo, con los dispositivos Cisco SA, la NSA recomienda IKEv2, ya que la implementación de IKEv1 solo admite SHA1. Utilice los siguientes comandos para configurar ISAKMP/IKE y la configuración de IPsec:

IKEv2:

crypto ikev2 policy 1
encryption [aes-256|aes-gcm-256]
integrity [sha384|sha512]
group [16|20]

IPsec:

crypto ipsec ikev2 ipsec-proposal <proposal name>
protocol esp encryption [aes-256|aes-gcm-256]
protocol esp integrity [sha-384|sha512]

Aplicar parches a la VPN

Como nos ha enseñado la vulnerabilidad de la VPN Pulse, el despliegue de parches en su solución VPN es crítico para la seguridad. Como ha señalado US-Cert, el 24 de abril del 2019, Pulse Secure publica un aviso inicial y actualizaciones de software que abordan múltiples vulnerabilidades. Sin embargo, el 24 de agosto del 2019, Bad Packets identificó más de 14.500 servidores VPN vulnerables en todo el mundo que no estaban parcheados y necesitaban una actualización. Los ataques a las VPNs de Pulse podrían haberse prevenido con una solución fácil y disponible. Revise sus procesos de parcheo para asegurarse de que puede instalar parches para firewalls y otras plataformas VPN de forma oportuna.