Objetivo - 4,04 Describir el propósito, ventajas, y casos de uso de IPsec y SSL VPN

4.04 - Explicar el propósito, ventajas y retos asociados con IPsec

IPsec - Seguridad IP

Seguridad del protocolo Internet (IPsec) es un conjunto de protocolos para asegurar las comunicaciones del protocolo de Internet (IP) de autenticación y el cifrado de cada paquete IP de una sesión de comunicación. IPsec incluye protocolos para establecer la autenticación mutua entre los agentes al inicio de la sesión y negociación de claves criptográficas que se utilizará durante la sesión. IPsec puede ser utilizado en la protección de los flujos de datos entre un par de host (host-a-host), entre un par de puertas de enlace de seguridad (red a red), o entre una puerta de enlace de seguridad y un host (red-a-host).


El protocolo de seguridad de Internet (IPsec) utiliza los servicios de seguridad criptográficos para proteger las comunicaciones a través del protocolo de Internet (IP). IPsec soporta la autenticación a nivel de red entre pares, autenticación del origen de los datos, integridad de datos, confidencialidad de los datos (cifrado), y protección de repetición.

IPsec es un esquema de seguridad de extremo a extremo que opera en la capa de Internet de protocolos de Internet, mientras que algunos otros sistemas de seguridad de Internet de uso generalizado como Transport Layer Security (TLS) y Secure Shell (SSH), operan en la parte superior capas de capa de aplicación. Por lo tanto, IPsec protege cualquier tráfico de aplicaciones sobre una red IP. IPsec puede asegurar automáticamente las aplicaciones en la capa  IP.

IPSec vs VPN SSL: Criterios de Transición y Metodología

IPSec VPN es lo más adecuado para el acceso punto a punto. Un túnel abierto protege los datos entre dos redes privadas o entre máquinas de IT gestionadas y una red privada. IPSec es una solución perfectamente viable cuando se requiere una conexión permanente entre dos lugares específicos, por ejemplo, entre una sucursal u oficina remota y una sede corporativa. También puede ser utilizado con éxito para proporcionar acceso a un pequeño número finito de los trabajadores a distancia utilizando ordenadores portátiles corporativos.

Muchas implementaciones IPSec existentes pueden seguir trabajando bien para los casos en que fueron desplegados en un principio. IT podría considerar mantener IPSec en estas áreas limitadas y ampliar el acceso remoto a otras áreas, como socios de confianza o usuarios de la extranet, a través de una solución paralela como VPN SSL. Mientras que una VPN SSLL paralela es una opción viable para algunas empresas, la transición de todos los casos de acceso a través de una única puerta de enlace VPN SSL en última instancia cuesta menos y es más fácil de administrar.

Mientras que muchas organizaciones todavía implementan soluciones IPSec hoy, sin embargo, para el acceso remoto seguro el impulso se ha desplazado claramente a las VPN SSL. Algunas organizaciones sustituyen a las versiones anteriores de IPSec con versiones más recientes que optimizan mejor la provisión de agentes, o proporcionan elementos de control de punto final.
Sin embargo, estas mejoras en IPSec VPN pueden no ser tan flexibles o robustas como soluciones VPN SSL.

Con un mayor acceso desde dispositivos de punto final no gestionados, el control de punto final se convierte en un factor de riesgo clave. Para los dispositivos administrados, algunos proveedores de soluciones IPSec sugieren mantener IPSec y la adición de un control de acceso a la red solución (NAC). Sin embargo, esto se suma en gran medida a los costes y la complejidad de la administración y el mantenimiento de un aparato separado para lograr el control del punto final, y además no proporciona controles de acceso granulares debajo de la capa de aplicación, lo que permitiría esencialmente el dispositivo remoto para ser un nodo en la red.


Sustitución de IPsec

El dominio de la técnica IPSec como una solución de acceso remoto innovador alcanzó su punto máximo hace casi una década. Las VPN IPSec ya no son una solución de acceso remoto eficaz cuando se comparan los costes de gastos generales de IT y el deseo de los controles de acceso granular para dispositivos con las exigencias actuales de una fuerza de trabajo cada vez más móvil.

Con las primeras implementaciones IPSec, la sobrecarga considerable implicada en el aprovisionamiento, mantenimiento y soporte de IPSec clientes dedicados fue tolerada porque el acceso IPSec tendía a restringirse solamente a pocos casos. En los últimos años, sin embargo, ya que la banda ancha se ha generalizado y los ordenadores portátiles son más baratos, ha habido un mayor incentivo se desplieguen más ordenadores portátiles y otros dispositivos móviles a más usuarios en toda la empresa, lo que aumenta la sobrecarga necesaria para soportarlo IPSec VPN . Aunque estos dispositivos son más propensos a ser transportados más allá de la oficina física para ser utilizados en el hogar o en otros sitios remotos, IPSec todavía los ve como nodos de la red, independientemente de su ubicación.

Los trabajadores también tienen ahora acceso a los recursos corporativos desde más dispositivos de punto final no gestionados directamente por IT, tales como ordenadores personales, ordenadores portátiles habilitados para WiFi, PDAs, teléfonos inteligentes y quioscos públicos.

Aunque la mayoría de los trabajadores de hoy no son los teletrabajadores a tiempo completo, muchos realizan habitualmente funciones de teletrabajo, como el envío y recepción de correo electrónico y archivos adjuntos desde su casa antes o después de las horas de trabajo, los fines de semana o durante las vacaciones. Además, los socios de negocios necesitan un acceso limitado a los recursos específicos de la red, que presenta retos adicionales de acceso remoto para el departamento de IT en el mundo actual de las cadenas de suministro externalizado. Al proporcionar a los empleados y socios de negocios con un mayor acceso a herramientas de negocios e información, la proliferación de dispositivos de punto final no gestionado se ha traducido directamente en una mayor productividad. Pero también ha aumentado considerablemente la complejidad de IT en el control de acceso remoto, minimizando así la viabilidad de VPN IPSec como una solución eficiente de acceso remoto.
Pero todavía los túneles IPsec se utilizan habitualmente en las comunicaciones de sitio a sitio.


4.04 - Explicar el propósito, ventajas y retos asociados con SSL VPN 

IPSec vs VPN SSL vs.: Criterios de Transición y Metodología

VPN SSL

SSL es el protocolo estándar para la gestión de la seguridad de la transmisión de mensajes en Internet. SSL es un protocolo de seguridad de capa superior de IPSec, que trabaja en la capa de aplicación en lugar de en la capa de red. Al operar en la capa de aplicación, SSL puede proporcionar el control de políticas y el acceso altamente granular requerido para el acceso remoto seguro. Debido a que SSL está incluido en todos los navegadores modernos, SSL VPN pueden potenciar a los trabajadores móviles actuales con el acceso remoto sin clientes, mientras que ahorra a los departamentos de IT la instalación y gestión de la complejidad de los clientes IPSec.

Las soluciones SSL VPN aumentan la productividad del personal, de los usuarios con PDA y otros dispositivos no administrados, lo que resulta en un mayor retorno de la inversión. Y al eliminar la necesidad de implementar y apoyar a los clientes, SSL VPN reduce la sobrecarga de IT, lo que resulta en un coste total más bajo.

Una VPN SSL utiliza SSL para proporcionar a los usuarios finales un acceso autorizado y seguro para compartir recursos web, cliente / servidor y del archivo. SSL VPN proporcionan autenticación de nivel de usuario, lo que garantiza que sólo los usuarios autorizados tengan acceso a los recursos específicos permitidos por la política de seguridad de la empresa. VPNs SSL comienza con la provisión de acceso a través de un navegador web, eliminando la necesidad de clientes de provisión para el dispositivo de punto final. Para el acceso avanzado, los agentes pueden ser necesarios, pero las VPN SSL permitien que tenga agentes aprovisionados y activados en el contexto del navegador Web en el Active X o Java basadao en clientes “delgados” que son empujados de forma transparente a través del navegador. De forma alternativa, la mayoría de las VPNs SSL permiten pre-provisionar un agente en el equipo del usuario que le permite acceder directamente a la VPN SSL sin tener que abrir un navegador web.

Los beneficios potenciales de la transición a una VPN SSL:

•  Aumento de la productividad: las VPN SSL trabaja en más lugares, incluyendo PCs para el hogar, quioscos, PDAs y dispositivos no administrados a través de redes cableadas e inalámbricas.

•  Menores costes: VPNs SSL funciona sin cliente o con clientes Web lígeros en lugar de clientes IPSec, lo que reduce las llamadas de gestión y soporte.

•  La seguridad es ampliada: SSL VPN proporcionan acceso granular y control de punto final en los dispositivos administrados y no administrados


Por qué deberías pasarte a SSL VPN

La fuerza de trabajo móvil demanda hoy accesos más seguros a cada vez más recursos desde cada vez más sitios. Los límites corporativos se están difuminando, con socios, proveedores y consultores que juegan un papel vital en las operaciones diarias como empleados. Estos cambios sugieren la necesidad de un modelo invertido para la red corporativa, evolucionando desde el modelo tradicional con paredes de perímetro a una red global distribuida que conecta empleados, socios y clientes a través de múltiples canales de Internet, intranet y VoIP. Los administradores de IT deben ahora asumir que cualquier usuario y dispositivo es un punto de riesgo potencial, si el usuario está accediendo de forma remota o conectado directamente a la LAN. Las iniciativas de recuperación de desastres y continuidad de negocio suponen un incentivo adicional para proporcionar acceso remoto desde cualquier ubicación del punto final. Las políticas de control de acceso granular se convierte en imprescindibles.

Asegurar las redes invertidas con control de acceso granular es un caso de uso ideal para la tecnología VPN SSL. Los aparatos de control de acceso basados en SSL son la clave para lograr el control de acceso a las aplicaciones. Las soluciones SSL VPN pueden detectar lo que se ejecuta en el dispositivo de punto final, proteger aplicaciones con control de acceso granular basado en la identidad del usuario y la integridad del dispositivo y conectar a los usuarios de forma segura y fácil a las aplicaciones en cualquier dispositivo.

Debido a que SSL es parte de cualquier navegador Web, soluciones SSL VPN proporcionan acceso sin cliente y con cliente Web ligero aumenta significativamente el número de puntos de los cuales los empleados, socios y clientes pueden acceder a los datos de la red. Las soluciones de VPN SSL simplifican enormemente el proceso de conexión para usuarios móviles, sin problemas atravesar NAT, cortafuegos y servidores proxy. Las soluciones SSL VPN reducen los costes de soporte.  SSL VPN de acceso sin cliente minimiza la sobrecarga que participa en el aprovisionamiento, configuración y mantenimiento de una solución de acceso remoto de la empresa.

Por otra parte, cierta soluciones de túnel SSL VPN proporcionan una experiencia completa “en la oficina” mediante la implementación de un auto-actualización, entregado cliente Web ligero, lo que elimina la necesidad de intervención directa de IT. Las soluciones SSL VPN también optimizan los costes de administración mediante el control de todos los accesos a los recursos de la empresa a través de una única puerta de enlace, centralizada.

Las soluciones SSL VPN también proporcionan una mayor seguridad en comparación con IPSec. Como SSL es un protocolo de capa de aplicación, una VPN SSL es inherentemente más adecuado para garantizar el acceso remoto basado en la aplicación. Las soluciones SSL VPN proporcionan, controles de seguridad de acceso granular, lo que garantiza que los usuarios tengan acceso sólo a los recursos designados o aplicaciones específicas para sus necesidades y de acuerdo con la política de seguridad.

Con las soluciones SSL VPN, el acceso del usuario final a cualquier recurso dado se restringe a no ser autorizado. Como resultado, la tecnología VPN SSL proporciona el control de acceso granular que requiere que todos los usuarios, independientemente de su ubicación, se les conceda permiso explícito para acceder a los recursos de red específicos. Con la tecnología SSL VPN, el control de acceso a las aplicaciones y las redes puede ser general o específico, según sea necesario para cumplir con las regulaciones y los mandatos de seguridad corporativas.

Una solución VPN SSL proporciona acceso remoto seguro a los recursos corporativos específicos.

4,04 - Dada una lista de entornos / situaciones, determinar que es apropiado para una solución IPsec y que es apropiado para una solución VPN SSL

SSL VPN vs IPSec

Cuando le pregunten sobre escenarios en los que la solución más apropiada sea IPSec o SSL VPN, recuerde que SSL VPN es la mejor solución para que los usuarios remotos accedan a recursos de la empresa de forma remota e IPSec es la mejor solución para el tráfico de túnel entre dos lugares de negocios.