Cómo proporcionar acceso seguro a red para trabajadores remotos

By Graham Walker

Últimamente hemos recibido numerosas preguntas acerca del uso de VPN para que los trabajadores accedan a recursos corporativos desde casa o desde ubicaciones remotas. He reunido algunas de estas preguntas en esta publicación y espero que mis respuestas les sean de utilidad.

¿Cómo puede mi personal trabajar desde casa y acceder a la red de la empresa?

Como casi todo lo relacionado con sistemas informáticos, la mejor solución depende de las prioridades de la empresa: seguridad, flexibilidad y facilidad de uso. Por regla general, las soluciones VPN ofrecen experiencias de usuario muy próximas (o incluso idénticas) a las que el trabajador tiene en la oficina, lo que significa que puede mantener la productividad en casa y utilizar las mismas aplicaciones con el mismo nivel de acceso a los archivos sin necesidad de recibir formación especializada.

Para empezar, ¿qué es una VPN?

Red privada virtual (Virtual Private Network) es el nombre con el que se conoce una conexión segura entre dos dispositivos, normalmente a través de una red no segura como Internet. Puede que también hayan oído hablar de «túnel», pero esta es una clase de conexión más amplia que no siempre proporciona seguridad. Para que un túnel sea seguro, debe incluir autenticación de dispositivos o usuarios, de forma que sepamos quién está intentando conectar, así como algún tipo de cifrado para impedir (o al menos dificultar) que la conversación sea interceptada.

Por consiguiente, una VPN autentica los dispositivos y cifra los datos utilizando protocolos estándar para facilitar al máximo una conexión segura entre dispositivos y redes a través de Internet. Sin embargo, existen diversos tipos de VPN y es necesario que tanto el dispositivo que intenta conectar como la red utilicen el mismo tipo, ya que de lo contrario la conexión no funciona. La elección del tipo depende de cómo se desee priorizar la flexibilidad, la facilidad de uso y la seguridad.

¿Qué tipos de VPN existen?

Actualmente se utilizan dos tipos principales de VPN: IPsec y SSL/TLS. Vamos a analizar los dos tipos desde el punto de vista de las prioridades de la empresa.

Internet Protocol Security (IPsec) exige la instalación de un software cliente específico en el dispositivo del usuario. El software contiene claves secretas para identificar de manera exclusiva al dispositivo y la configuración y establecer una conexión cifrada con la red. Esto significa que su empresa controla los tipos de dispositivos que pueden utilizar sus trabajadores, pero las claves secretas y el cifrado debe configurarlos su equipo de IS en cada dispositivo. Por tanto, sus trabajadores solo pueden utilizar dispositivos corporativos preconfigurados o entregar sus dispositivos al equipo de IS para que configure en ellos el acceso a VPN IPsec.

Secure Sockets Layer / Transport Security Layer (SSL/TLS) es una solución más flexible que permite que el trabajador utilice cualquier dispositivo para conectar de forma segura con su red corporativa. El trabajador tiene que descargar primero un cliente aprobado (OpenVPN es una buena opción) y después instalar un breve script preparado por el equipo de IS para configurar el cliente y establecer una conexión segura. Las ventajas que ofrece son menor necesidad de configuración por parte del equipo de IS y mayor flexibilidad para sus trabajadores —algo especialmente útil si no dispone de equipos preconfigurados o si su empresa necesita organizar rápidamente el acceso mediante VPN.

¿Qué tipo de VPN debo utilizar?

El tipo de VPN que debe utilizar depende de las prioridades de la empresa, lo que puede implicar el uso de una combinación de ambos tipos.

Allied Telesis security appliances bridge Ethernet LANs across a wide-area connection

Figure 1 - SSL VPNs for Remote Workers

Las SSL/TLS VPNs suelen ser una buena opción cuando surge de repente la necesidad de acceder a la red y se dispone de poco tiempo para prepararla, o cuando los trabajadores remotos disponen de acceso limitado al soporte de IS y no pueden llevar a la oficina el dispositivo del trabajo para que lo configuren. Este puede ser el caso de trabajadores remotos o itinerantes que no pasan mucho tiempo en la oficina y que desean elegir el dispositivo que utilizan para trabajar. También hay que tener en cuenta que en algunos hoteles y espacios públicos se bloquea el tráfico IPsec. SSL/TLS no suele verse afectada del mismo modo, lo que la convierte en la opción preferida por la mayoría de los trabajadores itinerantes.

bridged VLANs through UTM routers to PCs

Figure 2 - Site-to-Site IPsec VPN

Las IPsec VPNs son la mejor opción para aplicaciones más estáticas o a largo plazo, ya que la configuración adicional que requieren está justificada por la seguridad extra que proporcionan. Por este motivo, las VPN IPsec suelen utilizarse para proporcionar acceso seguro entre oficinas distantes entre sí (conocido como acceso «site-to-site» o sitio a sitio), donde el enlace es permanente y se dispone de soporte de IS. Las VPN IPsec también pueden ser la opción idónea para trabajadores que utilizan equipos de la empresa (por ejemplo, portátiles) y que teletrabajan ocasionalmente o manejan información sensible.

¿Cómo puedo implementar VPN sin sobrecargar a mi equipo de IS?

Somos conscientes que, a pesar de las ventajas que comporta la implementación de una solución VPN para trabajadores remotos, para muchas empresas puede resultar demasiado complicado o exige demasiada dedicación, sobre todo si el equipo de sistemas TIC tiene otras prioridades. Por eso ofrecemos un servicio con el que evaluamos sus requisitos y posteriormente diseñamos e implementamos una solución que encaje con las necesidades de su empresa. Nuestras soluciones pueden ser desde una VPN SSL para un equipo de trabajadores itinerantes, hasta una solución de VPN corporativa para múltiples centros o incluso una arquitectura SD-WAN completa. Nosotros nos ocupamos de toda la configuración, la comprobación y el soporte o, si lo prefiere, podemos formar a su equipo TIC para que se encargue del soporte de la solución que implementamos.

Llámenos hoy mismo para obtener más información.