¿Son vulnerables las VPN?
Su seguridad exige el cumplimiento de una política estricta
Aunque los métodos de acceso remoto más antiguos como la marcación por tonos siguen vigentes, la gran mayoría de las empresas han recurrido a IP y están ahora construyendo sus propias VPNs o comprando servicios gestionados de VPN, como asegura Lisa Pierce, vicepresidenta de Forrester Research.
“La VPN más utilizada ahora mismo es IPSec –asegura Pierce–, pero creemos que SSL está casi al mismo nivel porque permite una administración más sencilla y resulta más flexible”. SSL está basada en tecnología de navegador y encuentra su público en aquellos que buscan establecer un acceso remoto sin tener que utilizar clientes de VPN como los que requiere IPSec.
Según las cifras de Forrester, el 62 por ciento de las empresas americanas utilizan IPSec para su acceso remoto y otro 20 por ciento asegura que lo están probando o poniendo en marcha. En este sentido, Pierce insiste en que “SSL está ya funcionando en el 28 por ciento de las empresas y otro 23 por ciento lo está valorando o comienza a utilizarlo. Algunas incluso utilizan ambas tecnologías. En un estudio independiente, Infotenics afirma que el uso de SSL es algo superior, hasta el 39 por ciento dentro de las pequeñas y medianas empresas.
Una tendencia significativa entre los proveedores de acceso remoto VPN es la de añadir funciones de seguridad a sus ofertas actuales (en especial firewall/dispositivos VPN) o producir nuevo hardware como soporte a esas funciones añadidas, según un reciente estudio de Current Analysis. “Hay una tendencia abrumadora hacia la UTM (Unified Threat Management o Gestión Unificada de Amenazas) y la inspección multi-capa”, asegura el estudio. Estos dispositivos inspeccionan los paquetes y pueden prevenir la entrada de virus, spyware o spam a la vez que permiten el tráfico remoto hacia la VPN. De esta manera, se complementa el software que comprueba si, por su parte, los equipos remotos tienen software para protegerse de ese tipo de ataques.
IDC prevé que esos dispositivos se acabarán convirtiendo en algo habitual. Compara las ventas de dispositivos UTM y las de firewall/dispositivos VPN y prevé que este año la venta combinada de SSL y equipos firewall/dispositivos VPN IPSec llegará al máximo y empezará a caer suavemente. Las ventas de UTM, por otro lado, crecerán de forma sostenida hasta 2008. Ese año, el negocio en torno a UTM llegará a los 1.980 millones de dólares en todo el mundo, lo que supone 180 millones más que lo que el estudio prevé para las ventas máximas de equipos firewall/VPN.
Los proveedores que incluyen ofertas en esta área son ServGate, Fortinet, SonicWall y Crossbeam, así como las empresas de equipamiento en red Cisco, Juniper y 3Com. Su atractivo es que reducen el número de dispositivos necesarios para desarrollar un análisis de seguridad, ayudan a poner orden dentro de los armarios y racionalizan el mantenimiento de los equipos.
El esperado salto de popularidad podría producirse gracias a mejoras en el rendimiento conforme estos productos vayan madurando, afirma Zeus Kerravala, analista del Yankee Group. Inicialmente, el hardware se ralentizaba por culpa del peso de las aplicaciones extra de seguridad, pero ese problema se está solucionando. “Ahora tenemos suficiente potencia de proceso para manejar todas las funciones”, afirma.
Mientras los aparatos que unen Internet y las VPNs de empresa amplían sus componentes de seguridad, también se amplían las clases de equipos que intentan acceder a esas VPNs. Según un reciente estudio de IDC, la mayoría de las empresas consultadas permitían el acceso remoto desde ordenadores portátiles y de sobremesa. Pero casi la mitad permitía que los dispositivos inalámbricos se conectasen vía e-mail y más de una de cada cinco permitían el acceso a recursos de intranet con una PDA o incluso teléfonos móviles, cita el estudio.
Para asegurar ese tipo de accesos, el software de VPN IPSec puede instalarse en aparatos portátiles y conectarse a puertas de acceso VPN estándar. Por ejemplo, algunos proveedores comercializan kits de herramientas para incorporar clientes VPN en teléfonos móviles y otros aparatos portátiles, que empresas de telefonía como Motorola utilizan. Los teléfonos inalámbricos con navegadores de Internet pueden obtener acceso a VPNs SSL sin necesidad de software adicional.
Servicios gestionados
Aunque no son tan populares como las VPNs de acceso remoto que los clientes pueden crear por sí mismos, los servicios gestionados de VPN suponen una alternativa que pueden mantener a raya los gastos, aseguran desde Forrester. Por otro lado, según un estudio de Infonetics, sólo el 14 por ciento de los encuestados usa servicios gestionados de VPN, y no hay un líder destacado entre los proveedores que lo ofrecen. Pese a todo, los grandes operadores locales y de larga distancia tienden a ser los preferidos, por delante de los competitivos operadores de intercambio local (CLEC).
Las empresas pueden sentirse atraídas hacia los servicios de VPN porque pueden resultar más baratas que configurar una VPN privada, administrarla, mantenerla y actualizarla.
También se irán haciendo más populares por la proliferación de múltiples tecnologías móviles como EV-DO, EDGE y WiMAX, afirma Pierce, debido a las ventajas del acceso inalámbrico y la capacidad de banda ancha de estas tecnologías, las empresas las irán adoptando cada vez más.
Para ayudar a este proceso, algunos proveedores de portátiles dan soporte a estos servicios de comunicación inalámbrica en sus modelos. Por ejemplo, HP afirma estar desarrollando un portátil con chips preinstalados para EV-DO, la tecnología celular CDMA utilizada por Verizon y Sprint Nextel para conseguir velocidades de hasta 700 Kbps. HP asegura tener también planes en marcha para admitir servicios de acceso de paquetes vía satélite de alta velocidad (HDSPA).
Esta opción será cada vez más popular, según Infonetics, que prevé que en 2009 las empresas de todo el mundo se gastarán 29.800 millones de dólares en servicios VPN, lo que supone 10 veces más de lo que se gastarán en comprar su propio equipo VPN.
El siguiente paso en los servicios de acceso remoto es el acceso SSL a la VPN corporativa, asegura Pierce. Así, si todos los sites de una empresa están enlazados por un servicio VPN MPLS, un usuario remoto podría acceder a toda la VPN vía SSL. “Todo el mundo querría tener acceso SSL a la red MPLS. Aún no es posible, pero es el siguiente gran movimiento”, afirma Pierce.