Skip to main Content
Artículo

Cómo saber si necesitas una VPN, un firewall o ambos

Global Knowledge
  • Fecha: 01 December, 2021

Proteger sus activos informáticos de las amenazas es una parte esencial de las actividades digitales empresariales y personales. Las redes privadas virtuales (VPN) y los cortafuegos son dos herramientas de seguridad que se utilizan habitualmente para ayudar a reducir los riesgos y mantener la usabilidad. Cuando se utilizan conjuntamente, las comunicaciones informáticas se filtran y cifran.

Sin embargo, ¿necesitas ambas cosas? ¿Funciona bien una u otra? Vamos a responder a esas preguntas a continuación.

Siga leyendo para saber:

  • Qué son estas herramientas
  • Cuándo conviene utilizarlas
  • Sugerencias de implantación
  • El estado de la seguridad en Internet

Nuestras actividades personales diarias y las tareas de trabajo a menudo obligan a utilizar Internet. Ya sea desde un smartphone o un ordenador personal, muchos de nosotros estamos conectados la mayor parte del día.

Sin embargo, el mundo online no es un lugar seguro para jugar o hacer negocios si no se está adecuadamente preparado. Atrás quedaron los días en los que se era anónimo por defecto y un objetivo improbable para los hackers y atacantes. Hoy en día, cada acción en línea puede suponer un riesgo de interceptación, suplantación de identidad, secuestro, ataque en el medio, toma de posesión de la cuenta, infección de código malicioso y mucho más.

Afortunadamente, existen opciones para las grandes organizaciones, los entornos de pequeñas oficinas/oficinas domésticas (SOHO) y los particulares que pueden reducir considerablemente los riesgos en línea. Esas opciones son considerar la implementación de una VPN y/o un firewall.

¿Qué es una VPN?

Una red privada virtual (VPN) es una red remota segura o una conexión a Internet que cifra sus comunicaciones entre su dispositivo local y un dispositivo o servicio remoto de confianza.

Una VPN es una recreación digital o electrónica de un concepto del mundo físico - específicamente, la idea de un cable de red físico aislado y dedicado que sólo usted puede usar y acceder.

Las VPN crean una versión virtual de un cable físico envolviendo, encapsulando o conteniendo las comunicaciones de red inseguras estándar en un protocolo de túnel que encripta el contenido transportado. Las comunicaciones protegidas por una VPN siguen atravesando las mismas vías de red compartidas que el tráfico normal, pero como la carga útil está encriptada, el resultado es el equivalente a un cable físico dedicado y aislado.

¿Cuáles son las ventajas de una VPN?

Los beneficios de una VPN incluyen:

  • Mejora de la seguridad de las comunicaciones gracias al cifrado
  • Acceso remoto seguro y/o control remoto
  • Servicios de anonimato, en algunos casos
  • Dirección IP de origen o de cliente enmascarada
  • Bloqueo de ataques de atacantes locales (físicos y lógicos)

También hay otros beneficios potenciales. Por ejemplo, algunas organizaciones experimentan una mejora del rendimiento de la red con el uso de las VPN. Esto puede deberse a la racionalización de las comunicaciones, la eliminación de protocolos auxiliares y las comunicaciones que consumen recursos. Algunas organizaciones también pueden experimentar un ahorro de costes, principalmente por la reducción de los costes de recuperación y reparación debido a los compromisos causados por las comunicaciones de texto plano.

Tipos de VPN

Hay tres tipos principales de VPN:

Modo de transporte host-to-host

Una VPN de transporte de host a host crea una conexión segura entre dos sistemas individuales. En este tipo de VPN, sólo se cifra la carga útil. Sin embargo, las cabeceras de los paquetes de protocolo, que guían la comunicación a través de la red intermediaria, permanecen en su forma original de texto plano.

Así, el contenido de una transmisión está protegido, pero la identidad de quienes se comunican queda expuesta. Este tipo de VPN se suele utilizar en entornos de redes privadas en los que existe un nivel general de confianza en la red, pero cuando se necesita una protección adicional para comunicaciones específicas de host a host, como la replicación de bases de datos o las copias de seguridad periódicas.

Túnel de sitio a sitio

Una VPN de sitio a sitio en modo túnel crea una conexión segura entre dos redes o ubicaciones físicas diferentes. En este tipo de VPN, tanto la carga útil como las cabeceras de los paquetes originales están cifradas. Se añade una cabecera de túnel adicional al contenido cifrado para dirigir la comunicación de un extremo de la VPN al otro. Las comunicaciones entre dos sistemas sólo se cifran mientras están en el propio túnel.

Así, si un cliente de la Red A envía datos a un servidor de la Red B, la comunicación inicial atravesaría la Red A en texto plano; luego se cifraría al entrar en la VPN en el límite de la Red A; permanecería cifrada a través de Internet hasta llegar al límite de la Red B; y entonces la comunicación se descifraría y se enviaría a través de la Red B al servidor en texto plano. Este tipo de VPN se utiliza habitualmente para conectar redes remotas.

VPN host-to-site en modo túnel

VPN crea una conexión segura entre un solo ordenador y una red remota. En este tipo de VPN, tanto la carga útil como las cabeceras originales de los paquetes están cifradas. Al contenido cifrado se le añade una cabecera de túnel adicional para dirigir la comunicación de un extremo de la VPN al otro.

Las comunicaciones entre dos sistemas sólo se encriptan mientras se encuentra en el propio túnel, que comienza en el ordenador individual y termina en el límite de la red remota. Este tipo de VPN se denomina comúnmente VPN de acceso remoto y se utiliza para el teletrabajo o las actividades remotas en general.

¿Cuándo se debe utilizar una VPN?

Siempre que las comunicaciones puedan estar expuestas a la interceptación, a la escucha, a la suplantación, al secuestro o a los ataques del adversario en el medio - cualquier momento en el que el tráfico atraviese Internet o una conexión de red insegura y desconocida - una VPN proporcionaría seguridad a través del cifrado de las comunicaciones.

Las organizaciones deberían implementar VPNs para asegurar las comunicaciones entre ubicaciones, como las sucursales, y siempre que un trabajador necesite operar desde una ubicación remota. Los individuos deberían implementar VPNs para todas sus transacciones con cualquier servicio o recurso de Internet, ya sea utilizando un enlace de Internet de confianza en casa, en el trabajo o en cualquier otro lugar.

Es más importante utilizar una VPN cuando se accede a una red inalámbrica pública porque las conexiones no son típicamente seguras, lo que significa que su actividad en Internet es más vulnerable a los atacantes.

¿Cuándo una VPN no es la solución adecuada?

Una VPN de cliente a Internet es poco probable que una organización deba apoyar a sus empleados desde los sistemas cliente de la red de la empresa. Estas VPN de acceso remoto basadas en el cliente se utilizan a menudo para ocultar o enmascarar las actividades de los usuarios frente al filtrado y la supervisión de la empresa.

Si se permite establecer conexiones VPN basadas en el cliente con proveedores de Internet externos, el contenido de esas comunicaciones estaría cifrado. Esto permite a los usuarios eludir los filtros, acceder a contenidos bloqueados y evitar ser vigilados. Por lo tanto, las organizaciones deberían proporcionar VPNs a nivel de red para su uso, pero bloquear el uso de VPNs personales a nivel de cliente.

Sin embargo, las VPN personales son precisamente lo que un individuo necesita cuando utiliza una conexión de red pública, ya sea por cable o inalámbrica, como las que ofrecen los hoteles, restaurantes, cafeterías y centros de conferencias. En estas situaciones, se desea eludir los ataques locales o la excesiva vigilancia de los operadores.

Hay muy pocas circunstancias en las que una VPN no proporcionará una mayor seguridad y puede causar algunos inconvenientes. Pero, en su mayor parte, utilice una VPN en la mayoría de las situaciones, ya sea para uso organizativo o personal, excepto cuando dicho uso esté estrictamente prohibido por la política de seguridad de una empresa para evitar que se eluda la supervisión y los controles de seguridad.

¿Qué es un cortafuegos (firewall)?

Un cortafuegos es un producto de seguridad que filtra las comunicaciones. El filtrado puede realizarse bloqueando o abriendo puertos, bloqueando o permitiendo por dirección IP, o controlando las comunicaciones mediante el filtrado de contenidos.

El objetivo de un cortafuegos es apoyar las comunicaciones autorizadas y legítimas, al tiempo que impide las comunicaciones no autorizadas o maliciosas. Los cortafuegos también pueden proporcionar servicios o funciones adicionales, como el proxy, el NAT (es decir, la traducción de direcciones IP internas a direcciones IP externas públicas), el filtrado de malware, el filtrado de spam, etc.

¿Cuáles son las ventajas de un cortafuegos?

Los beneficios de un cortafuegos incluyen:

  • Filtrar las comunicaciones
  • Bloquear las transmisiones no autorizadas o maliciosas
  • Aislar una red privada de una red pública o no fiable
  • Reducir los casos de piratería informática
  • Bloqueo del tráfico falsificado
  • Aplicación técnica de la política de seguridad de la red

Dependiendo de las funciones que ofrezca un cortafuegos concreto, la lista de ventajas puede ampliarse considerablemente.

Tipos de cortafuegos

Existen muchos tipos de cortafuegos. La mayoría de los cortafuegos modernos o actuales son una mezcla de tipos en lugar de ser de un solo tipo. Los tipos más comunes de cortafuegos son:

  • Un cortafuegos de filtrado de paquetes es un tipo de cortafuegos relativamente básico que concede o deniega la comunicación únicamente en función de una dirección IP y/o un número de puerto. Cada vez que un cortafuegos admite comunicaciones para todos los visitantes, como cuando ofrece un puerto abierto para acceder a un sitio web, se está utilizando una regla de filtrado de paquetes.
  • Un cortafuegos a nivel de circuito toma una decisión de permitir/denegar basada en varios parámetros potenciales, incluyendo la dirección IP, el puerto, la cuenta de usuario y la hora. Este tipo de cortafuegos determina si se permite o no la existencia de una conexión. Si se permite, no se aplica ningún filtro futuro a la conexión.
  • Un cortafuegos a nivel de aplicación se centra en una sola aplicación o protocolo. Este tipo de cortafuegos puede realizar una inspección de contenidos para permitir o denegar las comunicaciones en función del contenido. Si se descubre un contenido no permitido, los paquetes se descartan y la conexión puede terminar.

  • Un firewall de inspección de estado está diseñado en torno al filtrado basado en comunicaciones válidas. Conoce el contenido y el contexto adecuados de las comunicaciones. Si se recibe una solicitud válida de contenido, se permite su paso; si se recibe una solicitud no válida o malformada, se bloquea.

  • Un firewall de nueva generación (NGFW) es una evolución del firewall de inspección de estado, que incluye muchos otros servicios de seguridad en una única solución. A veces denominados dispositivos UTM (gestión unificada de amenazas) o incluso MFD (dispositivos multifunción), un NGFW tiene un cortafuegos como núcleo, pero también puede ofrecer IDS, IPS, antimalware, antispam, inspección profunda de paquetes, filtrado de DNS, estrangulamiento del ancho de banda, filtrado de contenidos, seguimiento de palabras clave, etc.
    Además de estos tipos de cortafuegos, también hay cortafuegos de hardware y de software. Un cortafuegos de hardware es un ordenador dedicado y configurado para proporcionar exclusivamente servicios de cortafuegos.

  • Un cortafuegos de software es una aplicación instalada en un sistema operativo existente que añade servicios de cortafuegos a los programas y servicios existentes en ese sistema. Por último, también hay cortafuegos virtuales que se utilizan en infraestructuras de virtualización o en la nube.

¿Cuándo se debe utilizar un cortafuegos?

Un cortafuegos debe utilizarse siempre que haya un cambio en el nivel de confianza entre un segmento de red y otro. También se debe utilizar un cortafuegos entre una conexión de red y un sistema local (ya sea autónomo, cliente o servidor). Siempre existe el riesgo de que lleguen comunicaciones no válidas a su sistema a través de un enlace de red; por lo tanto, bloquear y filtrar el tráfico reduce el riesgo de verse comprometido por dichas comunicaciones.

¿Existe un UTM que pueda ofrecer tanto funciones de VPN como de cortafuegos?

Una solución de gestión unificada de amenazas (UTM) puede combinar comunicaciones de red múltiples, servicios de gestión y funciones de seguridad en un solo producto. Los UTM pueden comercializarse como cortafuegos con funciones adicionales que pueden proporcionar tanto servicios de cortafuegos como de VPN. Este tipo de UTM puede ser una buena opción para los entornos más pequeños con un personal de TI y un presupuesto mínimos.

Sin embargo, las organizaciones más grandes deberían considerar la posibilidad de implementar soluciones de cortafuegos y VPN por separado para obtener los mejores productos de cada categoría en lugar de conformarse con cualquier servicio o función que esté presente en un UTM. Cuando considere desplegar productos de cortafuegos y VPN por separado, evalúe la mejor arquitectura de implementación para sus necesidades.

Sopesar sus opciones: ¿Hardware o software?

Hardware: alto rendimiento, a menudo alto coste

Una solución de hardware para un cortafuegos o una VPN proporcionará recursos de hardware dedicados a esa función y servicio específicos. Estos dispositivos están diseñados para ofrecer operaciones de alto rendimiento para sus tareas particulares. Sin embargo, los dispositivos de hardware pueden ser bastante caros.

Los dispositivos de hardware a menudo pueden mejorarse mediante actualizaciones de firmware. En algún momento, la siguiente generación de un producto ofrecerá funciones que el hardware antiguo no puede soportar. Además, el hardware dedicado no puede reutilizarse para otros usos si el producto se queda obsoleto o es sustituido en el futuro.

Software: Bajo coste, estabilidad y fiabilidad

Una solución de software para un cortafuegos o una VPN dependerá de los recursos disponibles en el sistema anfitrión. Otras aplicaciones y servicios competirán por los recursos. Si hay una contención significativa por los recursos, los servicios de seguridad pueden no proporcionar un funcionamiento fiable o consistente.

Una solución de software puede ser a menudo una alternativa menos costosa que una solución de hardware, pero la fiabilidad y la estabilidad pueden ser sacrificadas por esos ahorros. A medida que un producto se mejora con el tiempo, las actualizaciones pueden aportar nuevas características y capacidades. Sin embargo, las actualizaciones importantes pueden requerir la compra de una versión más reciente o una ampliación de la licencia.

Recomendaciones generales de despliegue y elaboración de políticas de seguridad

Cuando se despliega un cortafuegos y/o una VPN, es crucial planificar el despliegue y la política de seguridad antes de comenzar la implementación real.

Al desplegar un cortafuegos, un buen punto de partida es hacer un inventario de las comunicaciones necesarias para las tareas empresariales o las actividades personales. Esto incluiría una lista de protocolos, puertos y aplicaciones.

A continuación, revise la documentación del cortafuegos. Esto debería ayudar a redactar un procedimiento paso a paso sobre cómo utilizar las interfaces de gestión de los cortafuegos específicos para implementar las configuraciones de los servicios de filtrado y seguridad para apoyar sus comunicaciones.

Al desplegar una VPN, un buen punto de partida es elaborar una lista de las circunstancias en las que los servicios VPN son necesarios, recomendados o pueden interferir. Esto debería ayudar a determinar cuál de los tres tipos de VPN se necesita para proporcionar comunicaciones seguras. Al elaborar la política de seguridad para la VPN, asegúrese de definir los requisitos para el uso de una VPN y los detalles de configuración y ajustes, incluyendo una política de uso aceptable (AUP).

Una vez que se haya implementado un cortafuegos o una VPN, compruebe a fondo que todas las configuraciones previstas son operativas. Confirme mediante pruebas que todas las comunicaciones autorizadas son posibles y que las formas de comunicaciones o conexiones no autorizadas están bloqueadas. Revise periódicamente la política de seguridad y los ajustes de configuración de su cortafuegos y VPN. Realice ajustes a medida que la tecnología cambie, que las tareas de su empresa evolucionen y que se descubran nuevos ataques.

Actúe

Ahora que sabe más sobre las VPN y los cortafuegos, debe reconocer que esto es sólo un punto de partida para obtener conocimientos de seguridad. Hay muchas otras preocupaciones vitales de seguridad que debe conocer. Porque sólo con el conocimiento puedes hacer un cambio a mejor. Todo el mundo tiene responsabilidades en materia de seguridad, tanto para sí mismo como para su empleador. Esa responsabilidad empieza por saber más y buscar los medios para adquirir más conocimientos.

Visite nuestra página de formación en ciberseguridad para obtener más información sobre los cursos de seguridad de Global Knowledge.

Temas relacionados:

Artículos relacionados
17 Jan 2020 Artículo

CISSP es una certificación que se paga mejor año tras año. Descubre por qué esta credencial (ISC) 2 sigue siendo tan relevante y valiosa para los prof...Leer más

04 Oct 2018

Global Knowledge descubrió varias características críticas que todas las organizaciones de ciberseguridad exitosas parecen compartir. Entonces, ¿cómo ...Leer más

10 Sep 2021 White Paper

Gain access to this lab and learn to use NMAP, an open-source port-scan tool, for network discovery, vulnerability scanning and security risk detectio...Leer más