Actualidad
Noruega recomienda a las empresas que abandonen las VPN SSL antes de finales de 2025
17 de mayo de 2024 | 7:13 pm
Recomendaciones para la transición a soluciones VPN más seguras
La necesidad de implementar medidas más seguras para el acceso remoto a las redes empresariales ha surgido debido a la explotación recurrente de vulnerabilidades en soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), conocidas como SSLVPN, WebVPN o VPN sin cliente. El Centro Nacional de Ciberseguridad (NCSC) recomienda la transición a opciones más seguras como Internet Protocol Security (IPsec) con Internet Key Exchange (IKEv2).
Motivos para la transición y plazos para su implementación
La transición a soluciones de acceso remoto más seguras debe completarse antes de finales de 2025, y para las entidades sujetas a la Ley de Seguridad, antes de finales de 2024.
Durante un período prolongado, el NCSC ha observado y alertado sobre vulnerabilidades críticas en las soluciones VPN basadas en SSL/TLS. La gravedad de estas vulnerabilidades y su explotación reiterada por actores maliciosos hacen necesario un cambio a alternativas más seguras. Se recomienda específicamente la adopción de IPsec con IKEv2, una solución que también ha sido sugerida por autoridades de otros países.
El objetivo principal de esta recomendación es reducir la superficie de ataque y las vulnerabilidades asociadas con el acceso remoto seguro. Es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en productos de la categoría SSLVPN. Aunque las soluciones basadas en IPsec con IKEv2 también pueden presentar vulnerabilidades, esta elección tecnológica conlleva una menor superficie de ataque y una menor tolerancia a errores en la configuración de la solución.
Medidas y recomendaciones para la reducción de riesgos
Para minimizar el riesgo asociado al uso de VPN como solución de acceso remoto, se recomienda planificar la eliminación de SSLVPN y la transición a IPsec IKEv2.
La implementación de esta transición variará según el tamaño de la organización, el número de empleados, la arquitectura, la elección del proveedor y el área de aplicación. Las organizaciones deben comenzar la planificación a corto plazo. El NCSC sugiere una eliminación completa de SSLVPN y la adopción de IPsec IKEv2 a más tardar para finales de 2025. Para las entidades reguladas por la Ley de Seguridad o consideradas críticas para la sociedad, la recomendación es completar esta transición antes de finales de 2024.
El NCSC no proporciona recomendaciones específicas para productos o protocolos alternativos a IPsec, y no ha evaluado soluciones propietarias para el acceso remoto seguro. Cabe destacar que muchos proveedores de soluciones VPN basadas en TLS (SSLVPN) también ofrecen configuraciones que utilizan IPsec con IKEv2.
En ubicaciones donde no sea posible establecer una conexión IPsec, se recomienda el uso de 5G a través de móvil o banda ancha móvil como alternativa, en lugar de desviarse de la recomendación de IPsec. Es importante señalar que el uso de IPsec IKEv2 no excluye el empleo de soluciones modernas y seguras integradas en el sistema operativo subyacente, como Always On VPN (no DirectAccess) en Windows, o soluciones basadas en el protocolo WireGuard que aseguren la gestión de usuarios y dispositivos, así como el registro centralizado de autenticación y actividad.
Acciones a implementar durante la transición
- Reconfigurar la solución VPN existente para soportar IPsec IKEv2. Si la solución actual no lo soporta, planificar y reemplazarla por una que sí lo haga.
- Migrar usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
- Desactivar la funcionalidad SSLVPN y verificar que no respondan puntos finales.
- Bloquear todo el tráfico TLS entrante al servidor VPN.
- Utilizar autenticación mediante certificados.
Hasta que la organización haya establecido IPsec IKEv2, el NCSC recomienda las siguientes medidas durante el período de transición:
- Asegurar que la solución VPN registre en un receptor de registros centralizado, y permitir la detección y seguimiento rápido de actividades sospechosas.
- Permitir únicamente el tráfico entrante de los países necesarios (geofencing).
- Bloquear el acceso desde infraestructuras inseguras como servicios de anonimización (proveedores de VPN y nodos de salida de Tor) y proveedores de VPS.
Estas acciones y recomendaciones del NCSC buscan garantizar un acceso remoto seguro y confiable, reduciendo las vulnerabilidades y mejorando la seguridad general de las redes empresariales.
Más noticias
El temido sistema «Mano Muerta» de Rusia: ¿El fin del mundo automatizado?
20 de noviembre de 2024 | 6:36 pm
Un legado de la Guerra Fría que podría cambiar el destino de la humanidad El sistema «Mano Muerta» (Perimetr en ruso), desarrollado durante la Guerra …
Seguir leyendo «El temido sistema «Mano Muerta» de Rusia: ¿El fin del mundo automatizado?»
- Evita invertir en memecoins de baja capitalización
- La sombra del almuerzo Mazón – Feijóo el día de la DANA ¿Qué se intenta ocultar?
- Vuelco en la estimación electoral para la Comunidad Valenciana noviembre 2024
- Biden puede autorizar ataques ucranianos en Rusia con armas de largo alcance
- Denuncia a MediaMarkt por lanzar portátil pedido por encima del muro durante el Black Friday
- La Vanguardia se suma a The Guardian y abandona X por la proliferación de contenido tóxico bajo Elon Musk
- PSOE y Sumar pactan impuesto a la banca y subida del IRPF a rentas altas
- Nuevo equipo de bomberos de Bizkaia viaja a Valencia para continuar las labores de rescate
- Los ultrasderechistas en Ferraz gritan «Gora ETA»
- Carlos Mazón desconectó su móvil en plena DANA para reunión privada con Maribel Vilaplana
- La llegada de una nueva depresión aislada puede traer nueva DANA
- Detienen al jefe de delitos económicos en Madrid con más de €20M ocultos en su domicilio
- Gobierno de España bloquea la web ayudavalencia.es por presunto fraude en donaciones de criptomonedas
- Felipe González y Aznar compañeros de bulos
- EE.UU. programa el lanzamiento de un misil hipersónico el día de las elecciones para probar su disuasión nuclear
- Escudo balístico desplegado para Pedro Sánchez en Paiporta durante momentos de alta tensión