Actualidad y validez de las VPN empresariales - Logicalis
Actualidad y validez de las VPN empresariales - Logicalis
Actualidad y validez de las VPN empresariales - Logicalis
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
TENDENCIA<br />
<strong>Actualidad</strong> y <strong>vali<strong>de</strong>z</strong><br />
<strong>de</strong> <strong>las</strong> <strong>VPN</strong> <strong>empresariales</strong><br />
Descubra en este artículo<br />
<strong>las</strong> aplicaciones y variantes<br />
<strong>de</strong> <strong>VPN</strong> que mantienen su<br />
posición tradicional <strong>de</strong> acceso,<br />
y conozca <strong>las</strong> nuevas opciones<br />
y servicios que habilita esta<br />
tecnología <strong>de</strong> red y su impacto<br />
en el negocio y el mercado.<br />
Luis Guembes, Engineering Manager<br />
<strong>de</strong> <strong>Logicalis</strong> Andina<br />
10 | Marzo 2011 - <strong>Logicalis</strong> Now<br />
Por Luis Guembes, Engineering Manager <strong>de</strong> <strong>Logicalis</strong> Andina<br />
La evolución <strong>de</strong> los servicios<br />
Virtual Private Network (<strong>VPN</strong>),<br />
primero como remplazo <strong>de</strong> los<br />
Servidores <strong>de</strong> Acceso Remoto<br />
(Remote Access Service, RAS),<br />
luego como método efectivo<br />
para interconectar sucursales<br />
<strong>de</strong> empresas medianas y en los<br />
últimos tiempos, como opción<br />
preferida para el trabajador<br />
remoto <strong>de</strong> cualquier nivel<br />
jerárquico <strong>de</strong> una empresa, hacen<br />
que el tema siempre sea relevante<br />
para los medios especializados en<br />
Tecnologías <strong>de</strong> la Información<br />
y la Comunicación.<br />
Como en otros casos similares,<br />
muchos fabricantes han tratado<br />
<strong>de</strong> reinventar la tecnología <strong>VPN</strong> y<br />
han surgido variantes interesantes<br />
como Voice and Vi<strong>de</strong>o Enabled<br />
IPSec <strong>VPN</strong> (V3PN), Cisco<br />
Easy <strong>VPN</strong> (CE<strong>VPN</strong>), entre<br />
otros, que no han cambiado<br />
sustancialmente la percepción <strong>de</strong>l<br />
cliente que, como era <strong>de</strong> esperarse,<br />
siguió invirtiendo en soluciones<br />
tecnológicas que tienen más<br />
sentido para el negocio y protegen<br />
a la empresa <strong>de</strong> los vaivenes <strong>de</strong>l<br />
mercado actual.<br />
Seguridad <strong>de</strong>l ejecutivo en<br />
tele trabajo <strong>de</strong>s<strong>de</strong> casa<br />
El trabajo <strong>de</strong>s<strong>de</strong> casa tiene un<br />
enorme número <strong>de</strong> efectos<br />
positivos tanto para el empleado<br />
como para la empresa: ahorro<br />
<strong>de</strong> tiempo, transporte, energía<br />
eléctrica, mantenimiento <strong>de</strong><br />
facilida<strong>de</strong>s, entre otros.<br />
Los elementos que habilitan el tele<br />
trabajo son fundamentalmente,<br />
una conexión <strong>de</strong> banda ancha <strong>de</strong><br />
calidad media y un dispositivo<br />
seguro que conecte la oficina<br />
<strong>de</strong>l hogar con la corporación.<br />
Sin embargo, <strong>las</strong> verda<strong>de</strong>ras<br />
causas que aceleran la adopción<br />
empresarial <strong>de</strong> tele trabajo son<br />
la garantía <strong>de</strong> que <strong>las</strong> políticas<br />
corporativas <strong>de</strong> seguridad serán<br />
respetadas e implantadas en<br />
la oficina en casa, y es en este<br />
escenario don<strong>de</strong> <strong>las</strong> soluciones <strong>de</strong><br />
<strong>VPN</strong> completan el cuadro.<br />
El tele trabajo ya no está limitado<br />
a tener una computadora en<br />
casa, sino que abarca nuevos<br />
dispositivos <strong>de</strong> productividad,<br />
como por ejemplo, teléfono, fax,
impresora, vi<strong>de</strong>o conferencia<br />
o incluso, un sistema <strong>de</strong><br />
Telepresencia personal en casa,<br />
todos ellos conectados a la red<br />
corporativa con <strong>las</strong> mismas<br />
prestaciones funcionales<br />
y <strong>de</strong> seguridad.<br />
La puerta segura<br />
al escritorio virtual<br />
El escritorio, al margen <strong>de</strong><br />
ser el interface generalmente<br />
aceptado, representa un peligro<br />
local difícilmente visible por la<br />
seguridad tradicional, por lo que<br />
la i<strong>de</strong>a <strong>de</strong> usar un escritorio fuera<br />
<strong>de</strong> <strong>las</strong> amenazas <strong>de</strong>l dispositivo<br />
<strong>de</strong> acceso, es muy positiva<br />
porque resuelve un enorme<br />
problema: evitar que una brecha<br />
<strong>de</strong> seguridad en el dispositivo <strong>de</strong><br />
acceso amenace la integridad <strong>de</strong><br />
los sistemas, o la información <strong>de</strong><br />
la empresa.<br />
En este sentido, <strong>las</strong> soluciones <strong>de</strong><br />
escritorio virtual no <strong>de</strong>pen<strong>de</strong>n<br />
ni <strong>de</strong>l dispositivo <strong>de</strong> acceso, ni<br />
<strong>de</strong>l sistema operativo ya que se<br />
respaldan en un medio <strong>de</strong> acceso<br />
asegurado por una conexión <strong>VPN</strong><br />
<strong>de</strong> c<strong>las</strong>e empresarial, que pue<strong>de</strong><br />
usar conexiones LAN cableadas,<br />
conexiones inalámbricas e incluso<br />
3G para acce<strong>de</strong>r al escritorio<br />
remoto y ejecutar <strong>las</strong> aplicaciones<br />
informáticas tradicionales,<br />
aplicaciones propias <strong>de</strong> la empresa<br />
o acce<strong>de</strong>r a un servicio <strong>de</strong> nube a<br />
través <strong>de</strong> Internet.<br />
La conexión segura<br />
bajo <strong>de</strong>manda<br />
Uno <strong>de</strong> los temas más antiguos<br />
en seguridad <strong>de</strong> acceso remoto,<br />
es la exposición involuntaria<br />
<strong>de</strong> contenido sensible por el<br />
abandono <strong>de</strong>l dispositivo <strong>de</strong><br />
acceso. Esto pue<strong>de</strong> generarse<br />
<strong>de</strong>bido a un consi<strong>de</strong>rable número<br />
<strong>de</strong> razones, como por ejemplo<br />
cuando el usuario olvida su<br />
terminal sin proteger el acceso<br />
mientras se encuentra conectado<br />
vía <strong>VPN</strong> <strong>de</strong>s<strong>de</strong> un lugar público o<br />
<strong>de</strong> baja seguridad física.<br />
En este caso, la configuración<br />
dinámica <strong>de</strong>l acceso remoto vía<br />
<strong>VPN</strong>, normalmente asociada a<br />
una conexión continua, resuelve<br />
el problema si se configuran los<br />
parámetros básicos <strong>de</strong> tiempo<br />
<strong>de</strong> conexión y adicionalmente se<br />
asocia dicha conexión a recursos<br />
específicos <strong>de</strong> la corporación.<br />
Las soluciones dinámicas <strong>de</strong><br />
<strong>VPN</strong> pue<strong>de</strong>n cambiar los tipos<br />
<strong>de</strong> acceso <strong>de</strong>l cliente remoto en<br />
función <strong>de</strong> la c<strong>las</strong>ificación <strong>de</strong>l<br />
sitio <strong>de</strong> conexión, la cual se pue<strong>de</strong><br />
generar <strong>de</strong> forma automática<br />
registrando la red en la que se<br />
encuentra el cliente, como por<br />
ejemplo, red interna en dominio,<br />
red <strong>de</strong> casa, red pública.<br />
La información automática <strong>de</strong><br />
ubicación pue<strong>de</strong> registrarse en un<br />
perfil <strong>de</strong> usuario o <strong>de</strong> grupo en<br />
el sistema <strong>de</strong> directorio, como en<br />
el Lightweight Directory Access<br />
Protocol (LDAP), <strong>de</strong> manera que<br />
los accesos y el nivel <strong>de</strong> seguridad<br />
se adapten dinámicamente<br />
según corresponda.<br />
Un interesante efecto secundario<br />
<strong>de</strong> esta variante <strong>VPN</strong> es que<br />
habilita el roaming cuando<br />
el usuario se mueve en un<br />
espacio con diferentes formas <strong>de</strong><br />
cobertura, por ejemplo, cuando<br />
pasa <strong>de</strong> estar conectado por cable<br />
en la habitación <strong>de</strong> un hotel a<br />
estar conectado por WiFi en una<br />
sala <strong>de</strong> reuniones o eventos.<br />
El método para interconectar<br />
todo por Internet<br />
Las soluciones <strong>de</strong> <strong>VPN</strong> son el<br />
método i<strong>de</strong>al para conectar todo a<br />
través <strong>de</strong> internet, es <strong>de</strong>cir, <strong>de</strong>s<strong>de</strong><br />
el dispositivo <strong>de</strong> acceso,<br />
el medio <strong>de</strong> transporte y los<br />
recursos corporativos.<br />
La exposición <strong>de</strong> datos<br />
transportados en el dispositivo<br />
<strong>de</strong> acceso, o su transporte sobre<br />
una red pública como Internet,<br />
requieren un análisis cuidadoso<br />
para i<strong>de</strong>ntificar los riesgos reales<br />
en cada una <strong>de</strong> estas instancias.<br />
Luego, se <strong>de</strong>be <strong>de</strong>sarrollar una<br />
política <strong>de</strong> alto nivel y finalmente<br />
se <strong>de</strong>be forzar esta política en todo<br />
el conjunto.<br />
Los dos extremos <strong>de</strong> la conexión,<br />
tanto el dispositivo <strong>de</strong> acceso<br />
como los recursos corporativos »<br />
<strong>Logicalis</strong> Now - Marzo 2011 | 11
TENDENCIA<br />
» a los que <strong>de</strong>be acce<strong>de</strong>r, son<br />
relativamente fáciles <strong>de</strong> asegurar.<br />
Sin embargo, el medio <strong>de</strong><br />
transporte (Internet) no lo es,<br />
por lo que <strong>las</strong> soluciones <strong>VPN</strong><br />
proporcionan un camino cerrado<br />
y seguro para habilitar el uso <strong>de</strong><br />
internet como medio universal<br />
<strong>de</strong> transporte.<br />
Esta característica es el principal<br />
factor para explicar el crecimiento<br />
vertiginoso <strong>de</strong> los servicios en<br />
nube y <strong>las</strong> extranets <strong>de</strong> negocios<br />
en todos los mercados verticales.<br />
El problema <strong>de</strong> la i<strong>de</strong>ntidad<br />
Una solución <strong>VPN</strong> <strong>de</strong>sasociada<br />
<strong>de</strong> un sistema <strong>de</strong> control <strong>de</strong><br />
i<strong>de</strong>ntidad adicional, tiene<br />
como <strong>de</strong>bilidad fundamental<br />
la posibilidad <strong>de</strong> que alguien<br />
adquiera, <strong>de</strong> manera fraudulenta<br />
o casual, el usuario y contraseña<br />
necesarios para activar la conexión<br />
remota segura.<br />
12 | Marzo 2011 - <strong>Logicalis</strong> Now<br />
Una serie <strong>de</strong> tecnologías como<br />
TPM; sistemas biométricos;<br />
tokens y certificados dinámicos;<br />
reconocimiento biométrico<br />
<strong>de</strong> patrones <strong>de</strong> pulsaciones <strong>de</strong><br />
teclado; entre otras; aportan<br />
soluciones parciales al problema y<br />
exponen una enorme complejidad<br />
para llevarlos a la práctica, esto es,<br />
sin mencionar el pan<strong>de</strong>mónium<br />
que podría representar manejar un<br />
número significativo <strong>de</strong> soluciones<br />
que no se integran bajo una<br />
misma infraestructura <strong>de</strong> gestión<br />
y monitoreo.<br />
Este es un tema<br />
fundamentalmente resuelto<br />
mediante la elección <strong>de</strong> la<br />
arquitectura correcta, es <strong>de</strong>cir,<br />
una plataforma que consi<strong>de</strong>re <strong>de</strong><br />
antemano la variación permanente<br />
<strong>de</strong>l dispositivo <strong>de</strong> acceso y en el<br />
caso <strong>de</strong> movilidad, los cambios<br />
continuos en la ubicación <strong>de</strong>l<br />
usuario. Por lo tanto, la estrategia<br />
fundamental es la integración <strong>de</strong><br />
la gestión <strong>de</strong> seguridad,<br />
red e i<strong>de</strong>ntidad.<br />
Privacidad en conversaciones y<br />
vi<strong>de</strong>o conferencia sobre <strong>VPN</strong><br />
Las soluciones <strong>VPN</strong> han<br />
evolucionado y madurado,<br />
alcanzando estabilidad y calidad<br />
suficientes que permiten al usuario<br />
remoto conectado a través <strong>de</strong><br />
banda ancha domiciliaria acce<strong>de</strong>r<br />
a sus aplicaciones, registrar <strong>de</strong>s<strong>de</strong><br />
su casa un teléfono corporativo y<br />
participar <strong>de</strong> vi<strong>de</strong>o conferencias<br />
usando su computador o <strong>de</strong>s<strong>de</strong><br />
un dispositivo móvil, sea un<br />
celular inteligente o un dispositivo<br />
electrónico como Cisco CIUS.<br />
Aunque es posible realizar<br />
llamadas a través <strong>de</strong> internet,<br />
e incluso integrar la vi<strong>de</strong>o<br />
conferencia uno a uno usando<br />
un proveedor <strong>de</strong> mensajería<br />
instantánea, el factor primordial<br />
para preferir el uso <strong>de</strong> soluciones<br />
basadas en <strong>VPN</strong> es la seguridad<br />
<strong>de</strong>l enlace y <strong>de</strong>l contenido <strong>de</strong> <strong>las</strong><br />
conferencias, don<strong>de</strong> normalmente<br />
se intercambian datos sensibles o<br />
estratégicos para la compañía.<br />
Tanto los sistemas <strong>de</strong> telefonía<br />
IP como vi<strong>de</strong>o conferencia,<br />
no encriptan la información<br />
que transportan <strong>de</strong> manera<br />
automática, por lo que el<br />
punto inicial en estos casos es el<br />
conocimiento <strong>de</strong> la capacidad <strong>de</strong><br />
seguridad <strong>de</strong> estas plataformas<br />
y luego, establecer la mejor<br />
manera <strong>de</strong> explotar esta capacidad<br />
instalada sobre la solución<br />
<strong>VPN</strong> elegida.