El estado de las SSL VPN
09/04/2008

Las organizaciones empezaron a cosechar los beneficios de las comunicaciones de datos en red mediante el cableado físico entre grupos de trabajo en las instalaciones de sus oficinas. La información era asegurada mediante la disuasión física. Conforme las compañías se expandieron, conectaban las oficinas remotas mediante líneas privadas (dedicadas) rentadas que eran implementadas y administradas por proveedores locales de telefonía con infraestructuras que no eran fáciles de amenazar, sin acceso interior a las instalaciones de los proveedores.

Pero estas “líneas privadas,” incluyendo enlaces frame relay y ATM (asynchronous transport mode), eran relativamente caras y se volvían financieramente difíciles para las compañías en constante crecimiento. Por lo tanto, cuando la tecnología de las “redes privadas virtuales” (o VPNs) se hizo disponible, las compañías no tardaron en reconocer las ventajas de aprovisionar conexiones virtuales, seguras, sobre infraestructura pública, insegura pero económica, incluyendo redes telefónicas y más tarde, internet.

El panorama ha cambiado drásticamente en los años recientes. El acceso a Internet se ha vuelto ampliamente disponible y costeable. Ya no se ofrece el acceso a la red solamente en la oficina y el hogar, sino en muchos puntos intermedios, incluyendo hoteles, aeropuertos, cafeterías e incluso lugares entre ellos, mediante las maravillas de la cobertura móvil. Este boom en la accesibilidad ha revolucionado la forma en que operan los negocios modernos, conforme el modelo de la “empresa distribuida” se hace cada vez más viable, con trabajadores ubicados en áreas físicamente desconectadas pero manteniendo las conexiones virtuales con sus compañeros, socios, clientes y los recursos corporativos.

La otra cara de la moneda es que las amenazas en la red han mantenido el ritmo con la proliferación del acceso a internet, creando una variedad y frecuencia mucho más amplia de ataques de intrusos y malware para atrapar a los desprevenidos. Mucho peores que leves molestias, estas nuevas amenazas en la red tienen el potencial de interrumpir los negocios y causar daño financiero, a veces irrecuperable.

Para combatir estos nuevos peligros, las organizaciones inicialmente emplearon paquetes de antivirus, para proteger a la red corporativa del ocasional malware que llegaba por correo electrónico o alguna insospechada descarga de software. Pero con más y más empleados conectados a la red corporativa a través de conductos de internet no administrados, o incluso no observables para el personal de IT (incluyendo kioscos públicos de internet y puntos de acceso inalámbrico) estas medidas de protección se están volviendo rápidamente inadecuadas para responder a ataques en la red más sofisticados. Actualmente las compañías tienen un equilibrio delicado entre ofrecer acceso ubicuo a las redes corporativas en tiempo real, y proteger los recursos esenciales de las actividades maliciosas.

Las soluciones VPN tradicionales no abordan óptimamente la necesidad de las organizaciones actuales de implementar rápidamente la solución de acceso remoto seguro al gran número de empleados, a través probablemente de grandes distancias, con diferentes papeles y necesidades. En otras palabras, la tecnología VPN anterior no califica muy bien. Por lo tanto, si bien las soluciones anteriores pueden ser adecuadas para la conectividad segura sitio a sitio, cuando las oficinas distribuidas necesitan conectar sus LANs en una configuración WAN virtual, un acceso remoto seguro más “granular” es mejor para soportar a los usuarios remotos individuales, aspecto en que las SSL VPN son excelentes.

La capacidad de las SSL VPN de ofrecer acceso al usuario dinámicamente, sin importar su ubicación o el dispositivo con el que se conecten, es una bendición para los administradores de IT. También ahorra en hardware, evitando la necesidad de dar a cada usuario una PC configurada por la compañía. Los usuarios se pueden conectar en forma segura a través de cualquier computadora, incluyendo sus laptops, computadoras en casa, computadoras rentadas e incluso kioscos de internet. Como los usuarios tienen sus propios derechos de acceso, pueden compartir el uso de una sola computadora física manteniendo su correo electrónico y archivos de red aislados y protegidos de otros usuarios.

Con tantas ventajas, ¿son las SSL VPN sistemas VPN que se estén volviendo obsoletos muy pronto? Infonetics estima que el mercado de las SSL VPN crecerá saludablemente a más de US$600 millones para el 2008, pero las SSL VPN pueden coexistir con soluciones tradicionales, y a menudo lo hacen. Estas dos tecnologías no son excluyentes y las soluciones de los proveedores pueden incorporarlas a ambas. Por ejemplo, en las oficinas remotas, un producto (appliance) integrado de seguridad, puede proporcionar conectividad segura sitio a sitio, al centro de datos de la oficina matriz, para crear una WAN virtual y permitir que los usuarios en la sucursal interactúen con la LAN como una simple extensión de la red corporativa.

Los usuarios remotos y móviles, fuera de las instalaciones de la compañía, usarían la tecnología SSL VPN para establecer enlaces remotos seguros. Esta es una solución con lo mejor de dos mundos, para compañías que no tienen la necesidad de ofrecer acceso remoto o móvil a todo su personal. Sin embargo, el enfoque SSL VPN en escritorios en toda la corporación tiene una ventaja, y esta tendencia puede ver la salida de la tecnología IPSec VPN sitio a sitio, especialmente conforme crece la necesidad de un control y protección más granular a nivel de usuario individual.

Ciertamente, la evolución de la tecnología SSL VPN ya está coincidiendo con el surgimiento de una tendencia en la industria, el UAC: Unified Access Control, también conocido como NAC: Network Access Control. UAC es la respuesta a la necesidad de incrementar la seguridad en redes organizacionales.

Un marco de trabajo UAC completo, en teoría aborda todas las siguientes áreas de la seguridad: puntos de verificación de seguridad para terminales; evaluación del “nivel de salud de la seguridad” de los dispositivos que se conectan; prevención de amenazas día cero; anticipación de amenazas potenciales de manera proactiva, en vez de una mera reacción a amenazas identificadas; imposición dinámica de políticas; la capacidad de tomar acción inmediata contra actividades de alto riesgo que ocurran en la red, en tiempo real; cuarentena y remedios quirúrgicos; aislamiento y recursos para resolver problemas de amenaza; inteligencia de red; proporcionar información para toma de decisiones de gestión a los administradores de IT, incluyendo herramientas de visibilidad de red; decisión de políticas e imposición de políticas.

En el análisis final, el mercado decidirá al ganador. Hasta entonces, el concepto UAC es más un enfoque que una especificación técnica, y los administradores de IT deberán comparar diferentes soluciones antes de determinar cuál es el sistema ideal para sus organizaciones.

Los proveedores de servicios también están reconociendo las ventajas de la tecnología SSL VPN y, además de aprovechar su potencial para sí mismos, están construyendo servicios SSL VPN administrados como ofertas llave-en-mano para clientes corporativos. Los SSL administrados son atractivos para negocios que no quieren o no pueden evaluar, implementar y administrar sus propios sistemas de acceso remoto. Este es especialmente el caso para empresas pequeñas y medianas. Los SSL administrados por proveedores de servicio satisfacen esta necesidad del mercado y pueden contribuir a las ventas de los proveedores de servicios por administración de bienes de red.

Los proveedores de equipos de red están ofreciendo soluciones que específicamente abordan las ofertas de servicios SSL VPN administrados de proveedores de servicio. Estas soluciones de proveedores a menudo incluyen todas las innovaciones de los productos SSL VPN standalone para empresas, por lo que el cliente del proveedor no tiene que conformarse con menores características. Para aquellas empresas que no necesitan altos niveles de personalización, las ofertas administradas pueden tener más sentido, especialmente durante la fase inicial de la adopción y la experimentación.

Con una variedad más grande de opciones de comunicación, las redes de negocios se están despegando de los paradigmas tradicionales y restricciones históricas. La flexibilidad y el potencial ofrecido por el acceso internet ubicuo debe ahora ser equilibrado con medidas robustas y exhaustivas de seguridad para garantizar que las ventajas de negocios se mantengan y no se arriesguen.

La tecnología SSL VPN está probando ser un desarrollo tecnológico oportuno que aborda las necesidades actuales y emergentes de acceso remoto seguro, y tiene el potencial de convertirse en el mecanismo de control de acceso de facto. La SSL VPN también sirve como una piedra angular para el concepto de Control de Acceso Unificado (UAC), con este último potencialmente suplantando los supuestos actuales sobre la forma en que los usuarios deben acceder a importante información corporativa.

Fuente: Sergio Rodríguez Berdier, gerente de Cuentas Corporativas Cono Sur de Juniper Networks.