Cómo bloquear vpns no autorizadas

Estás en una reunión sobre el aumento de los salarios del personal de TI (ok, probablemente no); es entonces cuando notas que uno de los asistentes sonríe en silencio mientras usa su computadora portátil. Miras casualmente su pantalla y te das cuenta de que está mirando las sillas de montar ardientes de Mel Brooks en lugar de participar en la reunión. Con la tecnología implementada en su empresa, se pregunta cómo podría estar sucediendo esto.

Más adelante en el día, después de asegurarse de que el empleado en cuestión esté en la lista de despidos, verifica la configuración de su firewall y enrutador. Efectivamente: los sitios de películas están bloqueados. ¿Entonces que hay de nuevo? La respuesta es que el firewall o los bloques del enrutador no captaron el hecho de que el que pronto sería un empleado estaba usando una red privada virtual (VPN) para ocultar la naturaleza de su tráfico.

Por supuesto, este es solo un ejemplo de los problemas que el uso saliente de VPN puede causar en una red. Hay muchos más, lo suficiente, de hecho, que los senadores Ron Wyden (D-Oregon) y Marco Rubio (R-Florida) han pedido al Departamento de Seguridad Nacional (DHS) de los Estados Unidos que investigue el uso de VPN por parte de los empleados federales. El objetivo de la investigación es determinar si el uso de VPN debe prohibirse dentro del gobierno federal.

En ese caso, la preocupación es la amenaza de seguridad planteada por los operadores de VPN extranjeros que podrían interceptar el tráfico en sus servidores y conservar una copia. Los principales proveedores con los que se preocupan los senadores son las empresas con sede en China y Rusia, pero también están preocupados por los operadores cuyos servidores podrían verse comprometidos por naciones igualmente adversas.

(Crédito de la imagen: Statista)

Las VPN pueden verse comprometidas

El problema es que estas naciones y otras persiguen mucho más que secretos de estado. También buscan la gran cantidad de información que las VPN pueden llevar en estos días, la mayoría de las cuales pueden usar para una variedad de propósitos. Eso incluye datos tales como procesos comerciales, secretos comerciales, listas de contactos del software de gestión de relaciones con los clientes (CRM) y todo tipo de información personal que sus empleados almacenan sobre ellos o sus contactos.

Aunque una VPN es una conexión encriptada entre los dos puntos donde está configurada, una vez que llega al servidor en el otro extremo, la encriptación puede finalizar. Cualquier información que pase por ese servidor puede verse comprometida. Pero hay otras amenazas además de eso.

Debido a que una conexión VPN es lógicamente similar a simplemente conectar un cable de red muy largo, también hay una conexión desde el servidor VPN al dispositivo cliente en su red. Esta conexión se puede utilizar para comprometer la computadora en su extremo y quizás también su red. Ahora puedes ver la naturaleza de esta amenaza.

Los diferentes tipos de VPN

Y no olvidemos que hay más de un tipo de VPN. Existe la VPN saliente que se usa en los dispositivos del cliente (como en la computadora portátil del empleado ignorante antes mencionado), que se usa con frecuencia para evitar los límites regionales en cosas como películas y música, para proteger la información que se transmite desde ubicaciones inseguras y para evitar el robo de datos mientras viaja. Luego están las VPN que se configuran entre servidores en dos ubicaciones, como entre una oficina en casa y una sucursal. Estamos hablando del primer tipo.

En este tipo, también hay múltiples razones para tener una VPN, una de las cuales es vincular a servicios fuera de su red, como un sitio de películas. La otra razón es establecer una conexión segura al llamar, como cuando el único Wi-Fi que puedes encontrar está en McDonald's. Aquí me estoy centrando en llamar a un servidor VPN remoto.

Al considerar la red de su organización, los problemas relacionados con el enlace saliente a un servidor VPN son diferentes de los que son para un usuario individual en el hogar. Por un lado, la red pertenece a su empresa y usted es responsable del tráfico que pasa al exterior. Además, usted es responsable de los éxitos de rendimiento que pueden ocurrir si tiene varias personas, por ejemplo, viendo películas en alta definición (HD) mientras todos los demás intentan trabajar.

Hacer cumplir una buena política de VPN

Si bien habrá excepciones dependiendo de las necesidades de su organización, una buena política es bloquear el tráfico saliente de VPN antes de que pueda salir de su red. Además, debe solicitar al departamento de recursos humanos (RR. HH.) Que publique una regla que prohíba el uso de VPN a menos que esté específicamente permitido para casos individuales. Desea que participe el departamento de recursos humanos para que pueda tomar medidas cuando alguien descubra cómo sortear sus bloques de VPN.

A continuación, debe configurar sus firewalls o enrutadores (o ambos) para evitar el acceso saliente de VPN. Aquí hay seis cambios que debes hacer:

Cree una lista negra de sitios web públicos de VPN conocidos y mantenga la lista actualizada ya que la lista puede cambiar constantemente.

Cree listas de control de acceso (ACL) que bloqueen las comunicaciones VPN, como el puerto UDP 500, que se usa con frecuencia.

Use las capacidades de inspección con estado de su firewall para buscar comunicaciones encriptadas, especialmente aquellas que se dirigen a ubicaciones extranjeras. Probablemente no desee interferir con la sesión bancaria de un empleado, pero una sesión que dure una hora no es alguien que busca el saldo de su tarjeta de crédito. Y, por supuesto, muchos sitios web utilizan encriptación Secure Sockets Layer (SSL) en estos días, por lo que no puede simplemente prohibir la encriptación.

Busque aplicaciones VPN públicas en máquinas propiedad de la compañía. Estas no son las mismas que las aplicaciones para su VPN entrante, sino que son aplicaciones para habilitar conexiones VPN salientes.

Configure una red especial solo para visitantes en su controlador Wi-Fi (o enrutador si es una empresa pequeña) que solo permite conexiones a recursos específicos de Internet, generalmente aquellos que se ejecutan en el puerto 80 (sitios web) o el puerto 443 (SSL). También es posible que desee permitir los puertos 25, 465 y 587, que son necesarios para el correo electrónico. Deberías negar todas las demás conexiones.

Recuerde que hay algo de una carrera armamentista entre los vendedores de VPN e intentos de bloquear su uso. Debe estar atento a los esfuerzos para evitar el uso inapropiado de VPN en su red y, si es necesario, tomar medidas para detenerlo, utilizando las reglas de recursos humanos si es necesario.

Pensamientos finales

• ¿Por qué no elijo la mejor VPN para China? ¿Por qué no elijo la mejor VPN para China?
• Los mejores enrutadores VPN para 2019 Los mejores enrutadores VPN para 2019
• Las empresas deben comprender el riesgo de los servicios de VPN Las empresas deben comprender el riesgo de los servicios de VPN

Sé que parece inconsistente haber revisado y recomendado productos VPN de vez en cuando haber cuestionado su valor, pero esta es una situación en la que, a pesar del valor que tienen para la seguridad, las VPN no siempre se usan adecuadamente. No desea una red abierta entre su organización y un adversario, y probablemente no desea que los empleados vean películas (o peor) en el trabajo.

Si bien debe decidir qué constituye el uso apropiado de VPN para sus empleados, recuerde: no es un problema de libertad o neutralidad de la red. Es su red privada y usted es responsable del tráfico que circula por ella. Tienes todo el derecho de controlarlo.