De SSLVPN a IPsec: Noruega insta a abandonar el protocolo en favor de la seguridad

De SSLVPN a IPsec: Noruega insta a abandonar el protocolo en favor de la seguridad

Las organizaciones de infraestructura crítica deben cambiar su protección de red.

El Centro Nacional de Ciberseguridad de Noruega (NCSC) recomienda encarecidamente a las organizaciones que sustituyan SSL VPN/WebVPN por alternativas más seguras debido a los frecuentes casos de explotación de vulnerabilidades en dispositivos de red. Esta medida está destinada a proteger las redes corporativas de hackeos y otros ciberataques.

NCSC subraya la necesidad de completar la transición a nuevas soluciones para el año 2025. Para las organizaciones sujetas a la "Ley de Seguridad" y para la infraestructura crítica, el plazo se reduce hasta finales de 2024.

NCSC recomienda reemplazar los productos SSL VPN/WebVPN por soluciones basadas en el protocolo IPsec utilizando IKEv2. A diferencia de SSL VPN/WebVPN, IPsec con IKEv2 proporciona un nivel de seguridad más alto mediante la encriptación y autenticación de cada paquete de datos, lo que reduce la probabilidad de ataques exitosos.

Ventajas de IPsec con IKEv2

SSL VPN y WebVPN proporcionan acceso remoto seguro a la red a través de internet utilizando los protocolos SSL/TLS, creando un túnel encriptado entre el dispositivo del usuario y el servidor VPN. Sin embargo, las frecuentes vulnerabilidades en estos protocolos los hacen menos fiables.

Aunque IPsec con IKEv2 también tiene sus desventajas, NCSC asegura que la transición a este reducirá significativamente la superficie de ataque para incidentes de acceso remoto debido a su menor susceptibilidad a errores de configuración en comparación con SSL VPN.

Recomendaciones prácticas de NCSC

Para una transición exitosa a IPsec con IKEv2, NCSC sugiere los siguientes pasos:

  • Reconfigurar las soluciones VPN existentes o reemplazarlas.
  • Migrar a todos los usuarios y sistemas al nuevo protocolo.
  • Desactivar la funcionalidad SSL VPN y bloquear el tráfico TLS entrante.
  • Utilizar autenticación basada en certificados.

En casos donde las conexiones IPsec no sean posibles, NCSC propone el uso de conexiones de banda ancha 5G.

Para las organizaciones cuyas soluciones VPN no soportan IPsec con IKEv2 y necesitan tiempo para planificar y realizar la migración, NCSC ofrece recomendaciones temporales. Entre ellas, registro centralizado de actividades VPN, estrictas restricciones geográficas y bloqueo de acceso a proveedores de VPN, nodos de salida Tor y proveedores de VPS.

Recomendaciones similares para el uso de IPsec en lugar de otros protocolos también han sido dadas en los EE. UU. y el Reino Unido. Varias vulnerabilidades en la implementación de SSL VPN descubiertas en los últimos años en productos de Cisco, Fortinet y SonicWall son explotadas activamente por hackers para vulnerar redes.

Por ejemplo, en febrero, Fortinet informó que hackers chinos usaron dos vulnerabilidades en FortiOS SSL VPN para hackear organizaciones, incluida una red militar en los Países Bajos. En 2023, operaciones utilizando el ransomware Akira explotaron una vulnerabilidad en SSL VPN en los routers Cisco ASA para hackear redes corporativas, robar datos y encriptar dispositivos.

¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?

Descubre cómo construir una muralla impenetrable