Los nuevos protocolos, como OpenVPN y WireGuard, ayudan a que las VPN sigan siendo relevantes de cara al servicio de acceso seguro y al acceso a la red de Zero Trust.
La pandemia ha acelerado el desarrollo de mejores formas de servir y asegurar a los trabajadores remotos, lo que hace que sea un buen momento para volver a examinar las VPN.
Recientemente, las VPN han recibido un impulso técnico con la incorporación de opciones de protocolo que mejoran la funcionalidad muy por delante de donde estaban cuando se inventaron. Al mismo tiempo, las nuevas arquitecturas de seguridad Zero Trust Network Access (ZTNA), Secure Access Service Edge (SASE) y Security Service Edge (SSE) se están abriendo paso en lo que había sido el dominio de las VPN de acceso remoto.
VPNs vs ZNTA
La tesis principal de ZTNA es que hay que autenticar a todos los usuarios y dispositivos que quieran acceder a la red. En lugar de conceder amplias franjas de acceso privilegiado, es “tacaño” en cuanto a lo que se concede, cuándo y a quién. Esto se debe a que la confianza cero asume que las amenazas pueden originarse tanto dentro como fuera de la red corporativa. Aunque algunas empresas han renunciado por completo a las VPN IPsec en favor de redes más completas basadas en la ZTNA, siguen necesitando otros tipos de protección, como cifrar los teléfonos inteligentes de los empleados para evitar que sean rastreados y pirateados cuando viajan.
Cloudflare tiene una buena explicación de las diferencias entre ZTNA y VPN, centrándose en tres características:
- Capas OSl: Las VPNs IPsec operan en la capa 3, la capa de red, mientras que ZTNA -y por extensión SSE y SASE- opera principalmente en las capas 4 a 7 a través de gateways y utilizando protocolos web como TLS. Esto significa que ZTNA ofrece una protección más completa, especialmente cuando se trata de proteger aplicaciones y dispositivos específicos. Pero la protección de capa 3 es útil para bloquear movimientos de malware más amplios y para segmentar su red para clases particulares de usuarios.
- Hardware y software en las instalaciones: La mayoría de las VPN corporativas requieren sus propios servidores locales a los que se conectan los puntos finales a través del software del cliente en cada dispositivo. Esto significa que el servidor puede ser un único punto de fallo, y normalmente significa que el tráfico hacia y desde los recursos basados en la nube debe pasar por el centro de datos corporativo que alberga el servidor, lo que agrega latencia. La ZNTA tiene una huella más ligera y suele implementarse con recursos basados en la nube y puede funcionar con o sin agentes de software específicos para puntos finales. Cuando emplean agentes, pueden añadirse a la carga de la CPU del endpoint.
- Control granular: La mayoría de las VPN están orientadas a proteger toda una red proporcionando un túnel protegido a través del cual las máquinas remotas pueden acceder a la red. Esto suena bien en teoría, pero es malo en la práctica porque un solo endopoint infectado que obtenga acceso puede servir como punto de partida para un ataque de malware en toda la red. La ZTNA puede ser más precisa al restringir tanto el acceso a la red como el acceso a las aplicaciones y, por lo tanto, puede aplicar políticas de grano fino que permiten el acceso de un usuario específico, en un dispositivo específico, en un momento específico, para una aplicación específica. Esta seguridad adaptable y más flexible es una gran ventaja cuando se trata de dispositivos no gestionados, del tipo BYOD, o de dispositivos IoT, que no tienen ningún software cliente que los proteja. ZTNA también puede utilizarse como una forma de unificar varias herramientas de gestión de la seguridad. Por ejemplo, Prisma Access de Palo Alto Networks utiliza ZTNA para combinar sus firewalls, brokers de seguridad de acceso a la nube y herramientas SD-WAN
A pesar de estas diferencias, hay situaciones en las que las VPN y ZTNA pueden coexistir. Por ejemplo, una VPN puede utilizarse cuando se conecta una oficina remota o cuando los usuarios necesitan conectarse a servidores de archivos locales. Las VPN merecen un análisis más detallado en este momento por dos razones. En primer lugar, las VPN y la ZTNA pueden complementarse entre sí y proporcionar una envoltura de seguridad más completa, especialmente cuando un gran número de trabajadores permanecen en ubicaciones remotas.
Pero lo más importante es que el entorno del protocolo VPN ha mejorado mucho en los últimos 15 o 20 años. IPsec ha sido sustituido en gran medida por la versión 2 de Internet Key Exchange (IKEv2), un protocolo de tunelización que es compatible con Windows, macOS e iOS. Además, incluye el sistema NAT (Network Address Transversal), que proporciona una reconexión más rápida del túnel para los dispositivos móviles cuando se desplazan, utiliza AES y Blowfish para mejorar el cifrado y la autenticación, basada en certificados para evitar los ataques de intermediarios. IKEv2 también es compatible con muchas VPN empresariales, como la SSL AnyConnect de Cisco y los productos VPN de Juniper.
Pero también hay dos protocolos VPN recientes, Wireguard y OpenVPN. Ambos cuentan con una serie de servicios de código abierto que incluyen una red de servidores, clientes finales y los propios protocolos.
OpenVPN
El proyecto OpenVPN ha sido adoptado por proveedores de VPN de consumo como Windscribe, Hotspot Shield, NordVPN y ExpressVPN, y es compatible con clientes de Windows, MacOS, iOS, Android y Linux. Esto tiene algunas ventajas para los usuarios empresariales, ya que al ser de código abierto, hay más ojos en el código y sus diversas implementaciones.
El proyecto ha desarrollado lo que denomina OpenVPN Cloud, que evita la necesidad de un servidor VPN in situ porque se puede conectar a él como servicio gestionado. Un nivel gratuito permite establecer tres conexiones simultáneas, y los planes mensuales comienzan en 7,50 dólares por conexión de punto final al mes para un mínimo de 10 conexiones. Eso baja a unos pocos dólares al mes para más de 50 conexiones. El software OpenVPN Server también está disponible para configuraciones de autoalojamiento a precios similares. Además de su VPN, el proyecto también ofrece CyberShield, un servicio que encripta el tráfico DNS, lo que resulta útil para evitar ataques DoS y man-in-the-middle.
OpenVPN funciona tanto en puertos TCP como UDP, lo que aumenta su flexibilidad. Esto significa que las conexiones a través de OpenVPN pueden ser más resistentes cuando los actores patrocinados por el Estado intentan bloquear los puertos de acceso remoto conocidos. Uno de los problemas es que la mayoría de los servidores locales de OpenVPN están en el hemisferio norte, por lo que los usuarios que se conecten desde otros lugares experimentarán latencias más largas. Los proveedores de nivel de consumidor, como ExpressVPN y NordVPN, tienen huellas globales más grandes.
WireGuard
WireGuard también es un proyecto de código abierto y, al igual que IKEv2, está diseñado para realizar reconexiones rápidas, lo que mejora la fiabilidad. Al igual que OpenVPN, viene con toda una constelación de servicios, incluyendo clientes de Windows, MacOS, iOS, Android y Linux, y es apoyado por proveedores de VPN de nivel de consumidor, incluyendo Mullvad, ProtonVPN, Surfshark, NordVPN y Private Internet Access. Sus defensores afirman que, gracias a su arquitectura sencilla, puede superar a otros protocolos VPN y puede implementarse fácilmente en colecciones de contenedores. Es gratuito y se ejecuta en cualquier puerto UDP. Sus autores han publicado instrucciones muy explícitas sobre sus limitaciones de seguridad, que incluyen la falta de ofuscación del tráfico y el hecho de que el protocolo es todavía un trabajo en progreso.
Con WireGuard u OpenVPN, las empresas tienen más poder y flexibilidad para evaluar su colección de protocolos remotos. Puede que venga por la seguridad pero se quede por la utilidad. Por ejemplo, puede utilizar la nube administrada de OpenVPN para ampliar o reducir rápidamente sus necesidades de acceso remoto, lo que se asemeja más al funcionamiento de las soluciones basadas en ZTNA.
OpenVPN y WireGuard en la empresa
Dado que tanto OpenVPN como WireGuard han sido adoptados por los proveedores de VPN de consumo, ¿por qué debería una empresa prestarles atención? En primer lugar, porque su menor sobrecarga puede reducir las latencias y mejorar la usabilidad. En segundo lugar, porque demuestran las ventajas de utilizar código abierto y métodos como las auditorías de seguridad de terceros para validar su valor, privacidad y otras características. Los proveedores de VPN para empresas podrían adoptar estas estrategias por razones de competencia para mejorar sus propias ofertas.
¿Significa esto que las empresas deben renunciar a SSE y SASE? En absoluto. Las empresas tienen todo tipo de necesidades de acceso remoto que abarcan una amplia colección de aplicaciones, requisitos de ancho de banda y dispositivos de usuario final. Las aplicaciones se ejecutan en todo tipo de infraestructuras: nube privada, nube pública, contenedores y equipos locales. Una empresa típica utiliza múltiples proveedores de identidad, herramientas de autenticación y configuraciones de red. Añade a esta mezcla la capacidad de SASE y SSE para aislar las sesiones de navegación o para establecer corredores de seguridad de acceso a la nube para asegurar aún más estos recursos.
Atrás quedaron los días en los que todos los usuarios remotos se conectaban a través de un rack de servidores de puerta de enlace alojados en el centro de datos, pero los últimos protocolos VPN pueden también complementar el valiente y no tan nuevo mundo de Zero trust.
-David Strom, cio.com