Las nuevos avances en VPN SSL proporcionan mayor seguridad

Desde 2004, asistimos a un incremento en el número de compañías que ofrece soluciones de accesos remotos que se despliegan a través de navegadores y encriptación Secure Sockets Layer (SSL). Al mismo tiempo, las capacidades de los productos VPN SSL, que a menudo se implementan a través de un appliance, aunque no siempre, se están mejorando a un ritmo sorprendente.

Durante nuestras pruebas del Fire-Pass 4100, pudimos ver la rapidez con la que están cambiando las utilidades de las actuales herramientas VPN SSL. Capacidades como los accesos VoIP que eran difíciles de implementar hace unos años o que directamente ni existían, ahora son elementos bien documentados de estos productos.

Además, y aunque hubo un tiempo en el que las VPN SSL se veían como una aplicación que sólo se podía implementar 'in house', hoy en día muchas empresas se están lanzando a disfrutar de esta tecnología a través de servicios de outsourcing. Claramente, el outsourcing de la transmisión de datos seguros requiere un asesoramiento de riesgos, pero para los accesos remotos a aplicaciones de poco riesgo, el outsourcing puede ser un método efectivo de otorgar accesos a los usuarios.

Nuestras pruebas indican que hay dos temas especialmente importantes que los administradores de TI deben tener en cuenta con respecto a las redes privadas virtuales SSL. Primero, hay que pensar que las aplicaciones sofisticadas normalmente van a requerir algún tipo de plug-in ActiveX o Java en el navegador. Por lo tanto, no es totalmente cierto que estos productos sean 'clientless'.

De hecho, muchas de las soluciones similares que hemos puesto a prueba ofrecen agentes clientes que pueden ser preinstalados en el sistema del usuario. Si lo comparamos con la complejidad de configuración del software IPSec VPN, estos agentes VPN SSL son benignos.

Aún así, cualquier agente instalado aumenta la carga administrativa y ha de ser evaluado frente a los ahorros de tiempo de gestión de los productos VPN SSL. El segundo tema a considerar es la granularidad (flexibilidad) con la que se puede asegurar una implementación de VPN SSL. Estos productos ofrecen varias opciones de accesos externos que quedan fuera del control del departamento de TI, como son los accesos de los partners o asesores.

Al funcionar a escala de aplicación, los responsables de TI disponen de mayor flexibilidad sobre los derechos de accesos con los productos VPN SSL que con los VPN IPSec. El ejemplo clásico de una conexión VPN SSL es el de un kiosco público que se conecta a una aplicación Web, con poco control sobre el acceso físico. Conociendo esta situación, el personal de TI puede ofrecer opciones inteligentes sobre los privilegios de acceso a la red o aplicaciones. Por ejemplo, en un kiosco de reserva de viajes, la confirmación de billetes, precios, asientos asignados, etc. sí puede mostrarse, mientras que los datos de la herramienta ERP o los archivos de red no estarían disponibles. La identificación en los puntos extremos facilita este tipo de granularidad y conexión.

Seguridad en los puntos extremos

La identificación del punto extremo -el tipo y la localidad del dispositivo tanto en una red interna protegida como en una red externa no fiable- es una de las funcionalidades que más va a avanzar en los próximos meses. Una mejora que hará que también se incorpore la seguridad de estos puntos en concreto.

Actualmente, existen controladores de seguridad en los puntos extremos con el objetivo de comprobar, durante el proceso de log-on, la presencia y el estado de actualización de los productos antivirus y cortafuegos de los mayores fabricantes. El FirePass 4100 de F5 Networks ofrece esta capacidad.

También parece seguro que las herramientas que comprueban la seguridad de los puntos extremos de las VPN SSL se ampliarán en capacidad y funcionalidad. Las herramientas proporcionarán una comprobación no sólo durante el log-on sino durante toda la sesión. Algunos productos ya empiezan a ofrecer esta capacidad e impiden que los ataques lleguen a su destino final.