Introducción
Dado la situación de cuarentena por el
virus humano COVID-19, más conocido Coronavirus, se ha recomendado el uso de
redes virtuales (VPN) a las empresas, aquellas que pueden hacerlo, y uso de soluciones
de video conferencia.
Este documento posee las recomendaciones
de seguridad para tener en cuenta con el uso de estas tecnologías.
1) Redes VPN (Virtual Private
Network o Red Privada Virtual)
Esto permite que los usuarios (empleados
de la organización) y terceros que requieran usar aplicaciones que están
alojadas on-premise en la compañía, puedan ser accedidas y usadas.
Aquí planteamos las problemáticas por
tipo de acceso:
a)
Acceso
con equipos propios de la compañía
Este caso es para aquellas
organizaciones que han brindado a sus empleados o terceros equipos propios para
acceder a la red de la empresa y usar las aplicaciones on-premise o locales de
la red corporativa o empresarial. Puntos
para tener en cuenta:
ü
Antimalware: una vez que el equipo se
conecta a la VPN, si el mismo tiene instalado el antimalware de la organización,
va a tratar de conectarse a la consola y verificar si hay alguna actualización
disponible. Esto puede impactar en el uso de ancho de banda y el Throughput (tasa
de transferencia efectiva). Si la consola se actualiza y trata de actualizar
los clientes, ya sea equipos on-premise como los que están conectados por redes
virtuales (VPN), el despliegue de las actualizaciones va a impactar en el
firewall y en el consumo de ancho de banda de Internet de la empresa por donde
se conectan los usuarios a la red VPN.
ü
Actualizaciones
de aplicaciones:
una vez que el equipo se conecta a la VPN, intentará conectarse a la consola de
actualización de parches y nuevas versiones de software, por lo cual, tratará
indicarle a la consola que está en línea esperando el despliegue de las
actualizaciones. Imaginen el impacto de consumo de recursos (Firewall, ancho de
banda, etc) si se trata de actualizar una cantidad importante de
actualizaciones o con un tamaño considerado.
ü
Politicas
de AD: Muchos
FW se integran adecuadamente a la plataforma de Active Directory y permiten que
una vez que se conecta la VPN la PC reciba las políticas de AD para PC y el
usuario. Tener en cuenta este punto cuando se restringe demasiado las acciones
del usuario y el mismo no puede hacer cambios de configuración, que solo podrán
ser aplicadas cuando el equipo se encuentre on-premise nuevamente.
ü Contraseñas: Los usuarios remotos, al querer
conectarse y suelen olvidar las contraseñas de acceso a la VPN y muchas veces
las PC que poseen no están correctamente integradas al AD. Esto genera
problemas al usuario que intenta loguearse.
ü
Soporte: en muchas ocasiones el
usuario posee problema con alguna aplicación que usa en su equipo. Si no se
cuenta una herramienta de acceso remoto, esto podría provocar que el usuario ya
no acceda a ciertas aplicaciones.
ü Telefonía: muchos usuarios poseen en sus
PC, software de telefonía que permite hacer llamadas internas y externas. Tener
en cuenta que esto pega a nivel de Throughput (tasa de transferencia efectiva).
En el caso de impactos en los vínculos de Internet, el síntoma es el ruido
latoso en las conversaciones.
ü
Impresiones: en muchas ocasiones el
usuario intenta mandar una impresión por la VPN a una impresora de red,
generando un consumo innecesario, ya que no siempre hay una persona que puede
verificar y tomar dicha impresión.
ü
Terminal
Server: Los
accesos por RDP o sesiones de Terminal Server se vuelven una alternativa
interesante por las organizaciones, ya que permiten minimizar el consumo de
ancho de banda de Internet y permite que se usen aplicaciones on-premise sin
riesgo. El problema, es que muchas veces están dimensionados para cierta
cantidad de usuarios y en un momento dado, todos los usuarios de la compañía se
conectan a él, generando un impacto en el consumo de recursos importantes.
ü
Navegación: Los usuarios si navegan
usando el vínculo de la VPN, pueden generar una sobre demanda sobre el vínculo,
impactando en el Throughput.
b)
Acceso
con equipos propios del usuario
Este caso es para aquellas
organizaciones que NO han brindado a sus empleados o terceros equipos
propios para acceder a la red de la empresa y usan sus propios equipos para
acceder a la empresa mediante redes VPN. Puntos para tener en cuenta:
ü Antimalware: Los usuarios si usan VPN
para conectarse a la red LAN de la empresa usando equipos propios, pueden generar
un riesgo a la red de la organización si el usuario en su PC no posee un
antimalware instalado y cierto estándar de seguridad. Si bien hay ciertos
clientes VPN que al instalarse evalúan si el equipo está en condiciones para
conectarse, si no pide al usuario del equipo que realice las mitigaciones
correspondientes para que la conexión se establezca, que, en la mayoría de los
casos, los usuarios desconocen como implementarlos.
ü Actualizaciones: si el cliente VPN al ser
instalado o usado pide que el S.O esté al día con las actualizaciones es un
problema. Ya que el usuario debe realizar esta tarea técnica que muchas veces
no es posible porque algún amigo le ha instalado el S.O y seguramente el mismo
no sea una versión original por lo cual las actualizaciones no podrán llevarse
a cabo.
ü Soporte: el usuario muchas veces va a
necesitar soporte, porque no siempre su equipo, ya sea de uso personal,
funciona adecuadamente y el mal funcionamiento de este puede provocar que este
usuario no pueda trabajar.
ü
Terminal
Server: Los
accesos por RDP o sesiones de Terminal Server se vuelven una alternativa
interesante por las organizaciones, ya que permiten minimizar el consumo de
ancho de banda de Internet y permite que se usen aplicaciones on-premise sin
riesgo. El problema, es que muchas veces están dimensionados para cierta
cantidad de usuarios y en un momento dado, todos los usuarios de la compañía se
conectan a él, generando un impacto en el consumo de recursos importantes.
ü
Navegación: Los usuarios si navegan
usando el vínculo de la VPN, pueden generar una sobre demanda sobre el vínculo,
impactando en el Throughput.
En base al análisis de los puntos
anteriores, vamos a redactar las recomendaciones. Tengamos en cuenta que se
debe balancear funcionalidad con seguridad, sobre todo en aquellos puntos en
donde el usuario posee un equipo personal para acceder a la red. La planificación
es sumamente importante en estos casos.
Recomendaciones
En base al análisis del punto
anterior, se plantean las siguientes recomendaciones, siempre y cuando las
soluciones que posee la empresa u organización lo permitan.
1) Acceso con equipos propios de
la compañía
Ítem
|
Recomendación
|
Para tener en cuenta
|
Antimalware
|
Configurar la aplicación para que se
actualice usando el vínculo de Internet que posee el usuario, no vía VPN.
|
Esto va a requerir que el usuario tenga
permitido navegar por su vínculo a Internet o al menos tenga acceso a ciertos
sitios.
|
Actualizaciones
|
Configurar la aplicación para que no
requiera la implementación de actualizaciones vía VPN, a menos que sea estrictamente
necesario, por un riesgo de seguridad.
|
Las actualizaciones muchas veces
impactan en la aplicación y/o S.O y pueden provocar un fallo si el usuario no
es paciente en su instalación. Adoctrinar al usuario sobre la importancia de estas.
|
Soporte
|
Contar con una línea telefónica de
soporte y asegurarse que los usuarios tengan instalado un software para
acceso remoto a la PC para brindarle soporte al equipo.
|
|
Telefonía
|
Configurar el protocolo SIP o
similar para que sea usado por Internet de manera directa y no por el usuario
vía red VPN, ya que con esto se evitan varios saltos en la red y evita
latencias.
|
La aplicación instalada en la PC
debe contar con permisos de acceso a Internet.
|
Impresiones
|
Adoctrinar a los usuarios para que
generen archivos PDF y lo suban a un repositorio que utilice el sector en
donde trabaja.
|
Evitar el envío de PDF por correo
para no consumir ancho de banda.
|
Terminal Server
|
Analizar si es posible balancear la
carga de uso con otros servidores con los mismos roles. Dejar su uso solo para ciertas aplicaciones,
ya que hay otras que pueden ser usadas en el equipo local.
|
Restringir el uso de Internet en los
servidores de Terminal Server ayuda en la baja de consumo de recursos
realizadas por los browsers.
Tenga en cuenta de contar con las Cals de acceso o licencias para no tener problemas por el uso. En el caso de no contar con ella habilite el modo de prueba por 60 días.
|
Navegación
|
Permitir la navegación al usuario
desde su red de Internet. Algunas soluciones
de antimalware poseen filtros locales que restringen accesos a sitios Web que
no brindan valor a la empresa.
|
Es importante, ya que los usuarios
suelen escuchar radio y el streamming impacta en los vínculos de la
organización. Si libera su uso y ajusta el antimalware no sería un riesgo
para la organización.
|
2) Acceso con equipos propios del
usuario.
Ítem
|
Recomendación
|
Para tener en cuenta
|
Antimalware
|
Es importante que el usuario
disponga de un antimalware en su equipo. Si no dispone, intentar brindarle
una solución vía soporte remoto.
|
Generar una red de cuarentena,
aislada de la red principal desde donde pueda acceder a los servicios que
requiere de la red corporativa, para que si su PC está infectada no infecte
la red corporativa vía VPN.
|
Actualizaciones
|
En el caso de no estar actualizado
el S.O, permitir la instalación del cliente VPN o habilitar el uso de VPN vía
SSL. El problema de esta segunda opción es que impacta en los recursos del
Firewall, en mayor consumo de CPU y Memoria.
|
Generar una red de cuarentena,
aislada de la red principal desde donde pueda acceder a los servicios que
requiere de la red corporativa, para que si su PC está infectada no infecte
la red corporativa vía VPN.
|
Soporte
|
Contar con una línea telefónica de
soporte y asegurarse que los usuarios tengan instalado un software para
acceso remoto a la PC para brindarle soporte al equipo.
|
Analizar si es factible la
instalación de un software para soporte remoto en la PC del usuario.
|
Telefonía
|
Configurar el protocolo SIP o
similar para que sea usado por Internet de manera directa y no por el usuario
vía red VPN, ya que con esto se evitan varios saltos en la red y evita
latencias.
|
La aplicación instalada en la PC
debe contar con permisos de acceso a Internet, por lo cual la VPN debe
permitir navegación desde el vínculo del usuario.
|
Impresiones
|
Adoctrinar a los usuarios para que
generen archivos PDF y lo suban a un repositorio que utilice el sector en
donde trabaja.
|
Evitar el envío de PDF por correo
para no consumir ancho de banda.
|
Terminal Server
|
Analizar si es posible balancear la
carga de uso con otros servidores con los mismos roles. Dejar su uso solo para ciertas aplicaciones,
ya que hay otras que pueden ser usadas en el equipo local.
|
Restringir el uso de Internet en los
servidores de Terminal Server ayuda en la baja de consumo de recursos
realizadas por los browsers.
Es recomendable usar VPN por SSL para estos
casos.
|
Navegación
|
Permitir la navegación al usuario
desde su red de Internet. Algunas soluciones
de antimalware poseen filtros locales que restringen accesos a sitios Web que
no brindan valor a la empresa.
|
Es importante, ya que los usuarios
suelen escuchar radio y el streamming impacta en los vínculos de la
organización. Si libera su uso y ajusta el antimalware no sería un riesgo
para la organización.
|
2)
Herramientas
de Call Conference.
Debido
a consultas recibidas, detallamos las recomendaciones para el uso cuidadoso de las
soluciones de Call Conference o chat:
1. No abrir ningún link que nos llegue por correo invitándonos a una Call o Reunión si no ha sido validada previamente con el emisor. Se han detectado correos basura con links para bajar código malicioso por parte de terceros. Verifique primero con el emisor si le envió un link para una reunión y valide por último la herramienta a utilizar.
2. Una vez finalizada la sesión, verifique de haber cerrado bien el chat. Muchas veces queda abierto y la otra persona puede llegar a ver o escuchar lo que hace posteriormente. Cierre las sesiones.
3. Utilice las herramientas que le recomienda su organización. Hoy hay una gran oferta de aplicaciones, pero no todas funcionan bien o son las adecuadas.
4. No abra links de publicidad que pueden aparecer en las herramientas de Chat o Call.
5. Si no es necesario, no habilite la cámara, ya que esto consume recursos de Internet. En muchas ocasiones se usa para validar el usuario con quien está en línea (ver realmente el interlocutor) y luego desactivar la mismas.
6. Utilice en lo posible auriculares y micrófonos para mejorar la comunicación.
7. Al momento de realizar una conferencia, pause aquellas aplicaciones que consuman Internet y puede hacer que la reunión sea de mala calidad.
8. Tenga cuidado cuando habilite la cámara, que imagen usa por detrás, si es posible ofúsquelo como hace Teams de Microsoft por ejemplo.
9. Verifique los contenidos de los correos electrónicos cuidadosamente, hay muchos correos spam maliciosos (phishing) con invitaciones a sesiones de chat.
10.Para los organizadores de sesiones, planteamos las siguientes recomendaciones:
a) La sesión debe estar configurada para que el administrador del encuentro apruebe o rechace las conexiones de las personas que se suman a la sesión. No sume personas que no logra identificar, ya que hay muchas personas que les gusta molestar en las sesiones.
b)Si el encuentro es masivo, comparta la misma a un canal de difusión como Youtube y los asistentes podrán trasladar sus inquietudes a los disertantes vía el chat, en donde el administrador de la sesión puede trasladar las mismas al disertante para que las responda en línea.
c)Si se envía el link de la sesión a las personas interesadas o registradas, verifique que al unirse a la sesión las cámaras estén activas para identificarlas, micrófono en mute y que la conexión cuando se establezca con el nuevo participante permanezca en un estado de “aprobación” para que el moderador o administrador verifique la identidad del asistente y le permita el acceso. Si tiene dudas, habilite el micrófono de la persona que se va a sumar y verifique la identidad de este.
d)Cuando envíe las invitaciones del evento, en la misma comunicación NO remita la contraseña de acceso a la reunión. Envíe la misma posteriormente incluso por otra vía.
e)Haga seguimiento de los asistentes y si detecta cualquier comportamiento inadecuado, expulse el mismo de la sesión.
f )Si debe dar permisos a otro asistente para que comparta contenidos, verifique que realmente es la persona que desea autorizar para que presente contenidos en la sesión.
Por último #quedeseencasa y siga el protocolo de cuidados personales para evitar contagios de coronavirus.
Hasta la Próxima.