¿Son seguras las VPN?

9 febrero, 2021
VPN conectada

En este artículo de Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y experto en ciberseguridad, vamos a aprender qué es una VPN (virtual Private Network) y por qué todos creemos saber lo que es, pero pocos conocen lo que realmente es o qué puede realizar.

Como su nombre indica, la VPN es una red privada entre dos puntos. Hasta aquí nada nuevo, lo que seguro que muchos se piensan es que es segura o cifrada y aquí es donde se comete el primer error: una VPN por defecto NO es cifrada. Veamos un ejemplo

vpn
Fig. 1: VPN Simple

Tenemos un dispositivo con direccionamiento privado 192.168.1.10 y nos conectamos a una VPN simple (Fig.1) en la que nos dirige a otra red privada en este caso con direccionamiento privado. En este caso del rango 50.x 

En este caso no existe seguridad, todo lo que se enruta a través suyo es público. Se podría “escuchar” fácilmente si se tiene acceso al medio de transmisión. Por eso, por lo general lo que se hace es cifrar esta VPN para que nadie pueda acceder a ella, con un algoritmo de cifrado y una clave compartida, que es diferente a la clave del usuario de la VPN. Así lo que haremos es configurar la capa de cifrado, poniendo el algoritmo AES por ejemplo, en los dos lados de la VPN.

vpn-2
Fig. 2: VPN con seguridad

Bueno, pues ya está, parece fácil, ¿no? La teoría es simple, la práctica no tanto…

¿Cómo podemos tener esa VPN en casa? O lo que es mejor, cuando viajamos y así estar seguros de acceder a las webs sensibles (bancos, universidad…) sin problemas. Lo podemos hacer de dos maneras, al estar en casa. 

La primera mediante dispositivos físicos. Podemos comprar un firewall-VPN, (en realidad serian dos, uno para cada extremo, por ejemplo, para casa y para la oficina). Y así crear un túnel que siempre estará conectado entre los dos dispositivos.

De esta manera, sin nada más que la configuración adecuada, se tiene todo conectado con todo directamente con el direccionamiento del otro lado. Como podemos ver en la imagen 3, la lavadora podría enviar a imprimir a la oficina el estado de ésta cada semana directamente.

Cómo funciona una VPN
Fig. 3: vpn con 2 dispositivos físicos

La gran ventaja de esta configuración es que siempre está activa, y permite que todos los dispositivos de un lado vean directamente el otro. Si tenemos una centralita telefónica en la empresa que funcione con IP internamente (servidor físico dentro de la entidad) esta configuración nos permitirá tener un teléfono IP en casa con una extensión de la oficina, como si estuviéramos allí recibiríamos y desviaríamos las llamadas a las otras personas.

Esta simple configuración sobre IPSec nos acepta una conexión de un site con IP dinámica, solo necesitamos lo mismo en el otro lado (cambiado de orden las IP_policy) y el Gateway, que en este caso el propio Firewall-VPN hace de router (por lo del Wan1_ppp…).

Otra versión es tener un PC o portátil en el que se pueda instalar un cliente SSL que se conecte al firewall_VPN de la empresa/casa/universidad mediante el protocolo SSL. En muchos fabricantes lo tenemos gratis, sólo hay que bajar e instalar el cliente SSL, configurar el servidor de la VPN, usuario y contraseña, eso nos conectará al servidor VPN. En este caso se puede hacer desde cualquier parte, mediante una WiFi, Ethernet o 4G/5G

Cómo funciona una VPN
Fig.4: VPN con SSL

En la figura 4 podemos ver que el portátil está navegando a través de la VPN hacia su empresa (o universidad… ) pero ¿realmente está seguro a la hora de navegar? La Respuesta es NO. Si vemos su configuración, podemos ver que no se está enviando todo el tráfico hacia la VPN, solo va a navegar a través del canal seguro el tráfico que sea únicamente de la empresa. Lo podemos ver en la figura 6. En la figura 5 podemos ver como realmente está navegando.

Cómo funciona una VPN
Fig. 5 VPN SSL con tráfico parcial a la VPN
Fig. 6:  Configuración VPN por SSL
 

Si se necesita navegar de forma segura, ya sea en una WiFi abierta de un hotel, restaurante, etc. lo mejor es asegurarnos de que estamos enrutando todo el tráfico hacia la VPN, por que nos podemos encontrar con problemas después de visitar la web del banco pensando que estábamos navegando de forma segura. Una forma de asegurarnos es mirar la IP pública que tenemos en cada instante. Con una VPN en la que enrutamos todo el tráfico por la VPN la web myip.com nos dirá la IP pública de la empresa o casa, si esta únicamente pasando el tráfico del rango de la VPN final tendremos una IP del proveedor de internet al que estemos conectados en ese momento.

Aun hay otra opción para conectarse, la L2TP, para aquellos dispositivos en los que no exista el cliente SSL, por ejemplo, desde una tablet o móvil. En este caso el funcionamiento es idéntico al anterior, ya que es un programa el que crea la VPN hacia el servidor/firewall de casa o empresa, usualmente con una conexión L2TP mediante un túnel IPSec. 

En el caso del servidor de L2TP la configuración es muy sencilla y solo necesita el mismo Gateway que habíamos definido para la VPN de punto a punto entre dos firewalls i la configuración para la L2TP donde únicamente hay que dar la IP que queremos tener en la VPN y el usuario que se permite enviar.

Fig. 7: Configuración L2TP
 

En este caso es el cliente L2TP del teléfono/Tablet/ PC /MAC el que decide si quiere enrutar todo el tráfico hacia la VPN o solo el que ha de ir a la oficina o casa. Pasa lo mismo que en el otro caso, si no enviamos todo el tráfico la navegación no será segura, ya que el tráfico externo a la entidad será enviado por el canal público.

Una VPN segura es la que envía toda la navegación hacia el túnel y desde el otro lado se va a internet. Como podemos ver en la figura 8

Cómo funciona una VPN
Fig. 8  Envío de todo el tráfico a la VPN

También hay la posibilidad de no comprar un firewall-VPN para poderlo en casa, en la empresa o universidad y pagar por un servicio de VPN a una empresa que proporcione este servicio. Hay muchas y variadas. Básicamente ofrecen el servicio de SSL enrutando todo el tráfico hacia su servidor y a través de éste navegar por internet de manera “segura”… claro, segura si es una empresa que no quiere “vender” tu navegación por que te ha ofrecido una VPN gratuita, de algún modo ha de sacar beneficio económico, lo más seguro que sea vendiendo tu navegación a empresas de marqueting, o porque está en un país que poco le importa la privacidad de las personas.

Toca decidir, si compramos un cacharro; si pagamos por un servicio que no estaremos seguros;  o si simplemente no hacemos nada y regalamos los datos bancarios a los delincuentes cuando estamos navegando (o recibiendo correo) desde fuera de casa o de la oficina.

Autor / Autora
Doctor en Ingeniería Informática por la UOC y profesor en la misma universidad. Además, es especialista en Ciberseguridad y hacking ético.
Etiquetas
Comentarios
Deja un comentario