VPN SSL o red privada virtual Secure Sockets Layer
Una VPN SSL es un tipo de red privada virtual (VPN) que utiliza el protocolo Secure Sockets Layer (SSL) —o más a menudo, su sucesor, el protocolo Transport Layer Security (TLS)— en navegadores web estándar para proporcionar capacidad VPN de acceso remoto y seguro. SSL VPN permite que los dispositivos con conexión a internet establezcan una conexión VPN segura de acceso remoto con un navegador web. Una conexión SSL VPN utiliza cifrado de extremo a extremo (E2EE) para proteger los datos transmitidos entre el software del cliente del dispositivo de punto final y el servidor SSL VPN a través del cual el cliente se conecta de forma segura a internet.
Las empresas utilizan VPN SSL para permitir que los usuarios remotos accedan de forma segura a los recursos de la organización, así como para proteger las sesiones de internet de los usuarios que acceden a internet desde fuera de la empresa. Las VPN SSL son importantes porque proporcionan un mecanismo E2EE para las sesiones de internet de los clientes y porque se pueden implementar fácilmente sin la necesidad de un software de cliente especializado que no sea un navegador web moderno. Al proporcionar un mayor nivel de compatibilidad con plataformas de cliente y configuraciones para redes remotas y firewalls, las VPN SSL proporcionan conexiones más confiables.
Debido a que el propio protocolo SSL ha sido desaprobado por el Grupo de trabajo de ingeniería de internet (IETF) y reemplazado por TLS, las VPN SSL que se ejecutan en los navegadores modernos ahora usan TLS para cifrar y autenticar los datos transmitidos a través de la VPN.
Las VPN SSL permiten a los usuarios acceder a recursos de red restringidos de forma remota a través de una ruta segura y autenticada cifrando todo el tráfico de red y haciendo que parezca que el usuario está en la red local, independientemente de la ubicación geográfica.
La razón principal para utilizar un producto VPN SSL es evitar que partes no autorizadas escuchen las comunicaciones de la red y extraigan o modifiquen datos confidenciales. Los sistemas SSL VPN ofrecen opciones seguras y flexibles para que los empleados de la empresa, los teletrabajadores y los contratistas se conecten de forma remota a las redes empresariales privadas.
Para implementar una VPN SSL, las organizaciones pueden comprar un dispositivo independiente que funcione únicamente como un servidor VPN SSL; un dispositivo integrado, como un firewall de próxima generación o un producto de gestión de amenazas unificado que ofrece capacidad SSL VPN; o como servicio, utilizando un dispositivo VPN SSL virtual.
Cómo funcionan las VPN SSL
Las VPN SSL se basan en el protocolo TLS, que ha reemplazado al antiguo protocolo SSL, para asegurar el acceso remoto. Las VPN SSL permiten a los usuarios autenticados establecer conexiones seguras a los servicios HTTP y HTTPS internos a través de navegadores web estándar o aplicaciones cliente que permiten el acceso directo a las redes.
Hay dos tipos principales de VPN SSL: portal VPN y túnel VPN. Una VPN de portal SSL permite una conexión VPN SSL a la vez a sitios web remotos. Los usuarios remotos acceden a la puerta de enlace SSL VPN con su navegador web después de haber sido autenticados a través de un método compatible con la puerta de enlace. El acceso se obtiene a través de una página web que actúa como portal a otros servicios.
Una VPN de túnel SSL permite a los usuarios acceder de forma segura a múltiples servicios de red a través de navegadores web estándar, así como otros protocolos y aplicaciones que no están basados en la web. El túnel VPN es un circuito establecido entre el usuario remoto y el servidor VPN; el servidor puede conectarse a uno o más sitios web, servicios de red o recursos remotos a la vez en nombre del cliente. La VPN de túnel SSL requiere que el navegador web maneje contenido activo y proporcione una funcionalidad a la que no se puede acceder de otra manera a través de una VPN de portal SSL.
Ventajas de las VPN SSL
Una de las principales ventajas de una VPN SSL es que utiliza la tecnología TLS implementada en los navegadores web modernos, por lo que no es necesario instalar un software de cliente específico. Eso facilita la implementación. Además, los circuitos encriptados creados usando TLS brindan una seguridad de conexión saliente mucho más sofisticada que los protocolos VPN tradicionales.
Otro beneficio es que las VPN SSL requieren menos gastos administrativos y soporte técnico que los clientes VPN tradicionales debido a su facilidad de uso y su dependencia de los clientes web más utilizados. Las VPN SSL permiten a los usuarios elegir cualquier navegador web, independientemente de los sistemas operativos (SO) que estén ejecutando sus dispositivos.
Además, los usuarios no necesitan descargar ningún software adicional o archivos de configuración ni seguir pasos complejos para crear una VPN SSL. A diferencia de otros protocolos de seguridad de túnel, como el Protocolo de túnel de capa 2 (L2TP) o la seguridad IP (IPsec), las VPN SSL solo requieren un navegador actualizado para establecer una red segura.
L2TP opera en la capa de enlace de datos —capa 2— del modelo de red de interconexión de sistemas abiertos (OSI), mientras que IPsec opera en la capa de red OSI —capa 3. Esto significa que se pueden cifrar más metadatos de red cuando se utilizan esos túneles. métodos, pero también requiere software y configuración adicionales para crear VPN con esos protocolos.
Las VPN SSL operan en la capa de transporte, por lo que el tráfico de la red se puede dividir más fácilmente en circuitos tunelizados de forma segura para acceder a recursos protegidos, o aplicaciones y circuitos no tunelizados para acceder a aplicaciones o recursos públicos.
Los servidores SSL VPN también se pueden configurar para permitir un control de acceso más preciso porque construyen túneles para aplicaciones específicas en lugar de para una red empresarial completa. Eso significa que los usuarios con conexiones VPN SSL pueden estar restringidos solo a aquellas aplicaciones para las que se les ha otorgado, no a toda la red.
Riesgos de seguridad
A pesar de los beneficios que proporciona una VPN SSL, los riesgos de seguridad también están asociados con la tecnología. A pesar de sus medidas de seguridad mejoradas, una red SSL puede ser susceptible de propagar Malware, incluidos software espía, gusanos, virus y programas troyanos.
Debido a que los usuarios pueden acceder a un servidor VPN SSL de forma remota, el dispositivo de un usuario remoto que no ejecuta software antivirus actualizado puede propagar malware desde una red local a la red de una organización.
Los piratas informáticos también pueden aprovechar la función de túnel dividido de una VPN SSL, que permite a los usuarios transmitir tráfico seguro a través de un túnel VPN SSL mientras utilizan canales no sintonizados para comunicarse a través de canales no seguros. El túnel dividido permite a un usuario con acceso remoto compartir el tráfico de red con redes públicas y privadas al mismo tiempo, lo que puede dar a un atacante la capacidad de ejecutar un asalto utilizando el canal no seguro como intermediario en el ataque.
Además, si una computadora remota tiene una conexión de red SSL VPN establecida a la red interna de una empresa y un usuario deja una sesión abierta, esa red corporativa interna estará expuesta a cualquiera que tenga acceso a ese sistema.
Otro peligro potencial ocurre cuando los usuarios intentan configurar una conexión VPN SSL utilizando una computadora de acceso público, como las de los quioscos. En esos casos, el usuario puede ser vulnerable a ataques que involucren registradores de pulsaciones de teclas instalados en un sistema que no es de confianza y que es poco probable que cumpla con las políticas y estándares de seguridad empresarial. Si hay registradores de pulsaciones de teclas, los atacantes pueden interceptar las credenciales de usuario y otra información confidencial.
VPN IPsec contra VPN SSL
El uso de una VPN SSL puede tener ventajas sobre el uso de una VPN IPsec. En primer lugar, las conexiones VPN de acceso remoto IPsec requieren la instalación del software cliente IPsec en los sistemas cliente, lo que, a su vez, puede requerir la compra y configuración de software adicional. Las VPN SSL se pueden configurar utilizando los navegadores existentes y una mínima modificación de la configuración.
Otra ventaja de SSL VPN sobre una VPN IPsec radica en su facilidad de uso. Si bien los diferentes proveedores de VPN IPsec pueden tener diferentes requisitos de implementación y configuración, las VPN SSL se pueden implementar con prácticamente cualquier navegador web moderno.
Diferencia entre VPN IPsec y VPN SSL
Además, una vez que el usuario está autenticado en una VPN IPsec, la computadora cliente tiene acceso completo a toda la red privada, lo que viola el principio de privilegio mínimo (POLP) y, como resultado, puede exponer algunos recursos privados a ataques. El uso de una VPN SSL, por otro lado, puede permitir un control de acceso más preciso al permitir la creación de túneles a aplicaciones específicas usando sockets en lugar de a toda la red. Esto permite a las organizaciones proporcionar diferentes derechos de acceso para diferentes usuarios.
