Una VPN de confianza cero (Zero Trust VPN), es una red privada virtual (VPN) que se basa en la idea de que no se debe confiar en ningún usuario o dispositivo, ya sea dentro o fuera de la red. En lugar de confiar en la autenticación y autorización de usuarios y dispositivos, el enfoque de confianza cero requiere verificar y autenticar todas las solicitudes de acceso y todas las actividades en la red. Esto se puede lograr mediante el uso de técnicas de autenticación multifactor y el monitoreo continuo de la actividad de la red para detectar comportamientos sospechosos. El objetivo de una VPN de confianza cero es proteger la red de amenazas internas y externas y garantizar la seguridad y la privacidad de la información.
Asegure la red: descubra los beneficios de una VPN Zero Trust.
Existen muchos beneficios al utilizar una VPN de confianza cero para proteger su red. Algunos de ellos incluyen:
- Mayor seguridad: La verificación y autenticación de todas las solicitudes de acceso y actividades en la red proporciona una capa adicional de protección contra amenazas internas y externas.
- Mayor privacidad: La encriptación de todo el tráfico de red protege la información sensible y asegura que solo pueda acceder a ella la persona autorizada.
- Mayor flexibilidad: La capacidad de configurar y personalizar la VPN de confianza cero según las necesidades de su organización le permite adaptar la solución a sus requisitos específicos de seguridad y privacidad.
- Mayor rendimiento: La optimización de la red mediante el uso de una VPN de confianza cero puede mejorar el rendimiento y la velocidad de la red.
- Mayor eficiencia: la automatización de procesos y la eliminación de la necesidad de realizar verificaciones manuales de usuarios y dispositivos puede mejorar la eficiencia y reducir el tiempo y los recursos necesarios para asegurar la red.
Este tipo de redes, dan un nuevo enfoque a las soluciones actuales de VPN. Añadiendo mayores capas de seguridad, escalabilidad y menos administración.
Mikrotik y Cloudflare, revolucionando Zero Trust VPN
Juntos, Mikrotik y Cloudflare pueden proporcionar una solución de VPN de confianza cero que combine la tecnología de Mikrotik para optimizar y mejorar el rendimiento de la red con la plataforma de seguridad de Cloudflare para proteger la red de amenazas internas y externas.
La solución de VPN de confianza cero de Cloudflare se basa en la plataforma de seguridad de Cloudflare, que incluye características como autenticación multifactor, monitoreo de actividad y detección de amenazas. Estas características se combinan para proporcionar una capa adicional de protección y seguridad a la red, protegiéndola de amenazas internas y externas.
Además, la solución de confianza cero de Cloudflare incluye opciones de configuración y personalización para adaptarse a las necesidades específicas de su organización y garantizar que se cumplan los estándares de seguridad y privacidad necesarios.
Gracias a la funcionalidad de contenedores en RouterOS v7, podremos instalar directamente el cliente en nuestros routers. La configuración del cliente de Cloudflare Zero trust es realmente muy sencilla, puedes mirar el video de Mikrotik sobre su configuración.
Hay que tener en cuenta que el contendor de Clouflare para la conexión ZeroTrust funciona en su versión oficial en arquitecturas amd64 y arm64. Esto significa que si realizamos la instalación en un router Mikrotik x86 o arm64, no tendremos problemas, pero si la arquitectura es arm no tendremos un contenedor listo para instalar de forma oficial. Pero hay soluciones para esto último.
¿Es gratuito el servicio Zero Trust de Cloudflare?
El servicio de VPN ZT, tiene varios planes, desde uno totalmente gratuito hasta las versiones de pago, con el servicio gratuito tenemos límites bastante aceptables para su uso, como 50 usuarios de VPN, puedes consultar la siguiente tabla con los planes actuales.
Puedes consultar los precios actuales desde aquí.
¿Qué opciones de instalación tengo dentro de Cloudflare?
Cuando accedes con tu usuario en la cuenta de Cloudflare y en la sección de ZeroTrust, deberás hacer un clic en «Túnel»
Podrás seleccionar en que sistema instalar el cliente, como puedes observar, incluye la sección de contenedores. Junto con los comandos a ejecutar, según el sistema.
¿Cómo instalo el contenedor si tengo arquitectura ARM?
Dentro de su repositorio oficial, actualmente no contamos con la arquitectura ARM, solo amd64 y arm64. Por este motivo, si contamos con un router ARM, no podremos utilizar la imagen oficial. Pero el uso de contenedores es muy flexible, sobre todo si ya contamos con sistema base como Ubuntu.
Para eso es necesario tener instalador un contendor Ubuntu, por ejemplo, puedes seguir esta guía. Y luego realizar la instalación desde el contenedor, los comandos son los siguientes:
# Add cloudflare gpg key
mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null
# Add this repo to your apt repositories
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared buster main' | tee /etc/apt/sources.list.d/cloudflared.list
# install cloudflared
apt-get update && apt-get install cloudflared
Luego de esto ya tendremos el cliente instalado, solo es necesario ajustar la variable CMD en el contenedor, para que cuando inicie, se active el túnel, también lo podrías hacer desde el mismo contenedor de Ubuntu.
cloudflared tunnel --no-autoupdate run --token eyJhIjoiNDdkZWQ2MzEyNTgzNTQ5ZDkx
Cuando el contenedor se encuentre en el estado de «Running» ya estaremos conectados a la red Zero Trust en Cloudflare, lo podremos chequear del Dashboard.
Accediendo a los recursos
Luego de realizar la instalación, ya podremos acceder a los recursos internos a través de un nombre de dominio externo, por ejemplo, voz.dominio.com que apunte a https://192.168.110:7000 donde tenemos un servidor VOIP en la red local. Esto nos garantiza que no exponemos nuestra IP pública de nuestro router ni servicios, evitando posibles vectores de ataques. El establecimiento de la conexión se hace a través de Cloudflare y el cliente instalado, todo el proceso está encriptado.
Añadiendo una capa más de seguridad.
Con la configuración anterior, podremos acceder con un subdominio a nuestro recurso interno, sin marcar ningún tipo de VPN. Pero también es posible que alguien realice un escaneo del dominio y encuentre su nombre y pueda intentar acceder por medio de otras técnicas de ataque.
Cloudflare añade muchas opciones en su política de seguridad, podremos ahora añadir que cuando se acceda al dominio voz.dominio.com envíe un código al correo electrónico de determinados usuarios o dominios.
Eso lo realizamos en la sección «aplicaciones»
Seleccionamos Self-hosted e ingresamos nuestro dominio público de acceso (creado anteriormente).
Añadimos en la política que acepte a los usuarios de nuestro dominio.
Ahora cada vez que accedamos al dominio voz.dominio.com nos solicitara un código que enviará por correo electrónico a usuarios de nuestro dominio, aquí podremos realizar muchas políticas adicionales, como que solo acepte usuarios específicos, de un país de origen, bloqueo de otros dominios, etc.
Notas finales
Como hemos visto anteriormente, este esquema VPN trae muchos beneficios, ya que no dependemos de un servidor central, exponer la IP pública, instalar clientes, ni tampoco preocuparnos por algún tipo de bloqueo en la red en la que nos encontremos.
Las soluciones de este tipo aumentan las capas de seguridad, ya que no se confía en ningún usuario y requieren otro tipo de validaciones.
El uso de contenedores y Mikrotik hacen posible que cada vez más servicios se puedan integrar en la red. En este caso soluciones de VPN.
Aún queda un largo camino para la adopción total de soluciones de este tipo, Cloudflare nos ofrece varios documentos sobre esta solución.
Información Zero Trust Cloudflare
¡Nos vemos la próxima!