Actualidad
Noruega recomienda a las empresas que abandonen las VPN SSL antes de finales de 2025
17 de mayo de 2024 | 7:13 pm
Recomendaciones para la transición a soluciones VPN más seguras
La necesidad de implementar medidas más seguras para el acceso remoto a las redes empresariales ha surgido debido a la explotación recurrente de vulnerabilidades en soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), conocidas como SSLVPN, WebVPN o VPN sin cliente. El Centro Nacional de Ciberseguridad (NCSC) recomienda la transición a opciones más seguras como Internet Protocol Security (IPsec) con Internet Key Exchange (IKEv2).
Motivos para la transición y plazos para su implementación
La transición a soluciones de acceso remoto más seguras debe completarse antes de finales de 2025, y para las entidades sujetas a la Ley de Seguridad, antes de finales de 2024.
Durante un período prolongado, el NCSC ha observado y alertado sobre vulnerabilidades críticas en las soluciones VPN basadas en SSL/TLS. La gravedad de estas vulnerabilidades y su explotación reiterada por actores maliciosos hacen necesario un cambio a alternativas más seguras. Se recomienda específicamente la adopción de IPsec con IKEv2, una solución que también ha sido sugerida por autoridades de otros países.
El objetivo principal de esta recomendación es reducir la superficie de ataque y las vulnerabilidades asociadas con el acceso remoto seguro. Es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en productos de la categoría SSLVPN. Aunque las soluciones basadas en IPsec con IKEv2 también pueden presentar vulnerabilidades, esta elección tecnológica conlleva una menor superficie de ataque y una menor tolerancia a errores en la configuración de la solución.
Medidas y recomendaciones para la reducción de riesgos
Para minimizar el riesgo asociado al uso de VPN como solución de acceso remoto, se recomienda planificar la eliminación de SSLVPN y la transición a IPsec IKEv2.
La implementación de esta transición variará según el tamaño de la organización, el número de empleados, la arquitectura, la elección del proveedor y el área de aplicación. Las organizaciones deben comenzar la planificación a corto plazo. El NCSC sugiere una eliminación completa de SSLVPN y la adopción de IPsec IKEv2 a más tardar para finales de 2025. Para las entidades reguladas por la Ley de Seguridad o consideradas críticas para la sociedad, la recomendación es completar esta transición antes de finales de 2024.
El NCSC no proporciona recomendaciones específicas para productos o protocolos alternativos a IPsec, y no ha evaluado soluciones propietarias para el acceso remoto seguro. Cabe destacar que muchos proveedores de soluciones VPN basadas en TLS (SSLVPN) también ofrecen configuraciones que utilizan IPsec con IKEv2.
En ubicaciones donde no sea posible establecer una conexión IPsec, se recomienda el uso de 5G a través de móvil o banda ancha móvil como alternativa, en lugar de desviarse de la recomendación de IPsec. Es importante señalar que el uso de IPsec IKEv2 no excluye el empleo de soluciones modernas y seguras integradas en el sistema operativo subyacente, como Always On VPN (no DirectAccess) en Windows, o soluciones basadas en el protocolo WireGuard que aseguren la gestión de usuarios y dispositivos, así como el registro centralizado de autenticación y actividad.
Acciones a implementar durante la transición
- Reconfigurar la solución VPN existente para soportar IPsec IKEv2. Si la solución actual no lo soporta, planificar y reemplazarla por una que sí lo haga.
- Migrar usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
- Desactivar la funcionalidad SSLVPN y verificar que no respondan puntos finales.
- Bloquear todo el tráfico TLS entrante al servidor VPN.
- Utilizar autenticación mediante certificados.
Hasta que la organización haya establecido IPsec IKEv2, el NCSC recomienda las siguientes medidas durante el período de transición:
- Asegurar que la solución VPN registre en un receptor de registros centralizado, y permitir la detección y seguimiento rápido de actividades sospechosas.
- Permitir únicamente el tráfico entrante de los países necesarios (geofencing).
- Bloquear el acceso desde infraestructuras inseguras como servicios de anonimización (proveedores de VPN y nodos de salida de Tor) y proveedores de VPS.
Estas acciones y recomendaciones del NCSC buscan garantizar un acceso remoto seguro y confiable, reduciendo las vulnerabilidades y mejorando la seguridad general de las redes empresariales.
Más noticias
Rebeldes toman Damasco y declaran la ciudad «libre del tirano» Bashar al Assad
8 de diciembre de 2024 | 8:27 am
El presidente sirio habría huido del país en un avión sin destino conocido El conflicto en Siria ha alcanzado un punto de inflexión este domingo …
Seguir leyendo «Rebeldes toman Damasco y declaran la ciudad «libre del tirano» Bashar al Assad»
- Última oportunidad de compra de Bitcoin en $85000 objetivo $120.000
- Israel y Líbano firman un alto el fuego: los puntos clave del acuerdo
- Trump lidera el camino para convertir a Estados Unidos en la capital de las criptomonedas
- Bitcoin en la Onda 5 precios explosivos hasta $170.000
- El Rey Emérito bajo investigación: ilustres denuncian irregularidades en su regularización fiscal
- Pablo Motos y Jorge Martín: la presión detrás de su decisión sobre la Revuelta
- Microsoft Teams cambia el juego: traducción en tiempo real para todos
- «Al menos salvémonos nosotros» la reflexión de Viktor Orbán que da qué pensar
- El «pantallazo a negro» en la reunión por la DANA: ¿Fallo técnico o maniobra premeditada?
- El temido sistema «Mano Muerta» de Rusia: ¿El fin del mundo automatizado?
- Cara de perro de la reina Letizia a Díaz Ayuso
- Feijóo derrotado en Europa: Teresa Rivera será vicepresidenta de la Comisión Europea
- Rusia intensifica la amenaza aérea con posibles ataques hipersónicos
- Evita invertir en memecoins de baja capitalización
- La sombra del almuerzo Mazón – Feijóo el día de la DANA ¿Qué se intenta ocultar?
- Vuelco en la estimación electoral para la Comunidad Valenciana noviembre 2024