Actualidad
Noruega recomienda a las empresas que abandonen las VPN SSL antes de finales de 2025
17 de mayo de 2024 | 7:13 pm
Recomendaciones para la transición a soluciones VPN más seguras
La necesidad de implementar medidas más seguras para el acceso remoto a las redes empresariales ha surgido debido a la explotación recurrente de vulnerabilidades en soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), conocidas como SSLVPN, WebVPN o VPN sin cliente. El Centro Nacional de Ciberseguridad (NCSC) recomienda la transición a opciones más seguras como Internet Protocol Security (IPsec) con Internet Key Exchange (IKEv2).
Motivos para la transición y plazos para su implementación
La transición a soluciones de acceso remoto más seguras debe completarse antes de finales de 2025, y para las entidades sujetas a la Ley de Seguridad, antes de finales de 2024.
Durante un período prolongado, el NCSC ha observado y alertado sobre vulnerabilidades críticas en las soluciones VPN basadas en SSL/TLS. La gravedad de estas vulnerabilidades y su explotación reiterada por actores maliciosos hacen necesario un cambio a alternativas más seguras. Se recomienda específicamente la adopción de IPsec con IKEv2, una solución que también ha sido sugerida por autoridades de otros países.
El objetivo principal de esta recomendación es reducir la superficie de ataque y las vulnerabilidades asociadas con el acceso remoto seguro. Es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en productos de la categoría SSLVPN. Aunque las soluciones basadas en IPsec con IKEv2 también pueden presentar vulnerabilidades, esta elección tecnológica conlleva una menor superficie de ataque y una menor tolerancia a errores en la configuración de la solución.
Medidas y recomendaciones para la reducción de riesgos
Para minimizar el riesgo asociado al uso de VPN como solución de acceso remoto, se recomienda planificar la eliminación de SSLVPN y la transición a IPsec IKEv2.
La implementación de esta transición variará según el tamaño de la organización, el número de empleados, la arquitectura, la elección del proveedor y el área de aplicación. Las organizaciones deben comenzar la planificación a corto plazo. El NCSC sugiere una eliminación completa de SSLVPN y la adopción de IPsec IKEv2 a más tardar para finales de 2025. Para las entidades reguladas por la Ley de Seguridad o consideradas críticas para la sociedad, la recomendación es completar esta transición antes de finales de 2024.
El NCSC no proporciona recomendaciones específicas para productos o protocolos alternativos a IPsec, y no ha evaluado soluciones propietarias para el acceso remoto seguro. Cabe destacar que muchos proveedores de soluciones VPN basadas en TLS (SSLVPN) también ofrecen configuraciones que utilizan IPsec con IKEv2.
En ubicaciones donde no sea posible establecer una conexión IPsec, se recomienda el uso de 5G a través de móvil o banda ancha móvil como alternativa, en lugar de desviarse de la recomendación de IPsec. Es importante señalar que el uso de IPsec IKEv2 no excluye el empleo de soluciones modernas y seguras integradas en el sistema operativo subyacente, como Always On VPN (no DirectAccess) en Windows, o soluciones basadas en el protocolo WireGuard que aseguren la gestión de usuarios y dispositivos, así como el registro centralizado de autenticación y actividad.
Acciones a implementar durante la transición
- Reconfigurar la solución VPN existente para soportar IPsec IKEv2. Si la solución actual no lo soporta, planificar y reemplazarla por una que sí lo haga.
- Migrar usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
- Desactivar la funcionalidad SSLVPN y verificar que no respondan puntos finales.
- Bloquear todo el tráfico TLS entrante al servidor VPN.
- Utilizar autenticación mediante certificados.
Hasta que la organización haya establecido IPsec IKEv2, el NCSC recomienda las siguientes medidas durante el período de transición:
- Asegurar que la solución VPN registre en un receptor de registros centralizado, y permitir la detección y seguimiento rápido de actividades sospechosas.
- Permitir únicamente el tráfico entrante de los países necesarios (geofencing).
- Bloquear el acceso desde infraestructuras inseguras como servicios de anonimización (proveedores de VPN y nodos de salida de Tor) y proveedores de VPS.
Estas acciones y recomendaciones del NCSC buscan garantizar un acceso remoto seguro y confiable, reduciendo las vulnerabilidades y mejorando la seguridad general de las redes empresariales.
Más noticias
Nuevo equipo de bomberos de Bizkaia viaja a Valencia para continuar las labores de rescate
11 de noviembre de 2024 | 9:05 am
Tercera dotación enviada desde Bizkaia para apoyar en la emergencia por la DANA Este sábado, un convoy con 17 efectivos del Servicio de Prevención, Extinción …
- Detienen al jefe de delitos económicos en Madrid con más de €20M ocultos en su domicilio
- Gobierno de España bloquea la web ayudavalencia.es por presunto fraude en donaciones de criptomonedas
- Felipe González y Aznar compañeros de bulos
- EE.UU. programa el lanzamiento de un misil hipersónico el día de las elecciones para probar su disuasión nuclear
- Escudo balístico desplegado para Pedro Sánchez en Paiporta durante momentos de alta tensión
- Mazón pide al Gobierno Sánchez ayudas extratosféricas
- Gobierno y Generalitat Valenciana estiman en €2.600M los daños en infraestructuras tras la DANA
- Yolanda Díaz anuncia un «escudo laboral» para proteger a los afectados por la DANA
- Fundación Amancio Ortega crea un fondo de €100M para afectados por la DANA
- Mazón convoca una sesión extraordinaria del Consell en medio de especulaciones sobre su dimisión
- Óscar Puente el gran ganador en la gestión de la DANA
- Coletazos de la DANA en Catalunya: inundaciones, alertas y transporte afectado
- Mazón abandonado por el PP se tambalea
- Cómo activar los avisos de Protección Civil y emergencias en smartphones
- Toreros gratis tras la DANA
- Alcaldesa de Valencia instala luces de Navidad mientras continúan las labores de rescate