El Norwegian National Cyber Security Centre (NCSC) recomienda reemplazar SSLVPN/WebVPN con alternativas más seguras. El motivo es la explotación recurrente de vulnerabilidades.
La transición a las medidas recomendadas debe completarse antes de finales de 2025. Para las empresas sujetas a la ley de seguridad (en Noruega) y esta migración debe realizarse antes de finales de 2024.
NCSC ha observado y alertado durante mucho tiempo sobre vulnerabilidades críticas en las soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), a menudo conocidas como SSLVPN, WebVPN o VPN sin cliente.
La gravedad de estas vulnerabilidades y la explotación recurrente de este tipo de fallos hacen que se recomiende reemplazar las soluciones de acceso remoto seguro que usan SSL/TLS por alternativas más seguras. La recomendación pasa por Internet Protocol Security (IPsec) con Internet Key Exchange (IKEv2). Otras autoridades de diversos países recomiendan la misma solución.
El propósito de esta recomendación es reducir la superficie de vulnerabilidad y ataque para el acceso remoto seguro. Es probable que se descubran nuevas vulnerabilidades de día cero en la categoría de productos SSLVPN en el futuro.
Cabe señalar que las soluciones que usan IPsec con IKEv2 también pueden tener vulnerabilidades, pero esta elección tecnológica conlleva una menor superficie de ataque y un menor grado de tolerancia a fallos en la configuración de la solución.
Medidas y recomendaciones
Para reducir el riesgo del uso de VPN como solución de acceso remoto a la red de la empresa, se recomienda establecer un plan para eliminar gradualmente SSLVPN y pasar a IPsec IKEv2.
El trabajo con esta transición puede variar según el tamaño de la empresa, el número de empleados, la arquitectura, la elección de proveedores y el ámbito de uso. Las empresas deben comenzar a planificar a corto plazo.
En ubicaciones donde no sea posible establecer una conexión IPsec, se recomienda el uso de 5G desde móvil o banda ancha móvil como una alternativa para no apartarse de la recomendación de IPsec.
Tenga en cuenta que el uso de IPsec IKEv2 no excluye soluciones modernas, seguras e integradas en el sistema operativo subyacente, como por ejemplo Always On VPN (no DirectAccess) en Windows, o soluciones basadas en el protocolo WireGuard que también garantizan consideraciones de seguridad como gestión de usuarios y máquinas, así como el registro centralizado de autenticación y actividad.
La recomendación puede implicar las siguientes medidas:
- Reconfigurar la solución VPN existente para soportar IPsec IKEv2. Si la solución no lo soporta, planificar y reemplazar la solución por una que lo haga.
- Migrar usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
- Desactivar la funcionalidad SSLVPN y verificar que cualquier punto final no responda.
- Bloquear todo el tráfico TLS entrante hacia el servidor VPN.
- Usar autenticación con certificado.
Hasta que la empresa haya establecido IPsec IKEv2, NCSC recomienda las siguientes medidas durante el período de transición:
- Asegurarse de que la solución VPN registre en un receptor de registro centralizado, y facilitar la detección y respuesta rápida a actividades sospechosas.
- Permitir solo tráfico entrante desde países necesarios (geofencing).
- Bloquear el acceso desde infraestructuras inseguras como servicios de anonimización (proveedores de VPN y nodos de salida de Tor) y proveedores de VPS.
