Mikrotik 11 enero 2023 / LanPixel · 4 min lectura
Contenido

Una VPN de confianza cero (Zero Trust VPN), es una red privada virtual (VPN) que se basa en la idea de que no se debe confiar en ningún usuario o dispositivo, ya sea dentro o fuera de la red. En lugar de confiar en la autenticación y autorización de usuarios y dispositivos, el enfoque de confianza cero requiere verificar y autenticar todas las solicitudes de acceso y todas las actividades en la red.

Beneficios de una VPN Zero Trust

  1. Mayor seguridad: La verificación de todas las solicitudes proporciona una capa adicional de protección contra amenazas internas y externas.
  2. Mayor privacidad: La encriptación de todo el tráfico de red protege la información sensible.
  3. Mayor flexibilidad: Capacidad de configurar y personalizar la VPN según las necesidades de la organización.
  4. Mayor rendimiento: Optimización de la red mediante el uso de una VPN de confianza cero.
  5. Mayor eficiencia: Automatización de procesos y eliminación de verificaciones manuales.

Mikrotik y Cloudflare, revolucionando Zero Trust VPN

Juntos, Mikrotik y Cloudflare pueden proporcionar una solución de VPN de confianza cero que combine la tecnología de Mikrotik con la plataforma de seguridad de Cloudflare, incluyendo autenticación multifactor, monitoreo de actividad y detección de amenazas.

Gracias a la funcionalidad de contenedores en RouterOS v7, podremos instalar directamente el cliente en nuestros routers. El contenedor de Cloudflare funciona en arquitecturas amd64 y arm64.

¿Es gratuito el servicio Zero Trust de Cloudflare?

El servicio tiene varios planes, desde uno totalmente gratuito hasta versiones de pago. El servicio gratuito permite 50 usuarios de VPN.

planes-zero-trust-Cloudflare.jpg

 

¿Qué opciones de instalación tengo dentro de Cloudflare?

Cuando accedes con tu usuario en la cuenta de Cloudflare y en la sección de ZeroTrust, deberás hacer un clic en «Túnel»

Podrás seleccionar en que sistema instalar el cliente, como puedes observar, incluye la sección de contenedores. Junto con los comandos a ejecutar, según el sistema.

Captura-de-pantalla-2023-01-08-a-las-19.23.55-2048x792.avif

¿Cómo instalo el contenedor si tengo arquitectura ARM?

Dentro de su repositorio oficial, actualmente no contamos con la arquitectura ARM, solo amd64 y arm64. Por este motivo, si contamos con un router ARM, no podremos utilizar la imagen oficial. Pero el uso de contenedores es muy flexible, sobre todo si ya contamos con sistema base como Ubuntu.

Para eso es necesario tener instalador un contendor Ubuntu, por ejemplo, puedes seguir esta guía. Y luego realizar la instalación desde el contenedor, los comandos son los siguientes:

# Add cloudflare gpg key
mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null

# Add this repo to your apt repositories
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared buster main' | tee /etc/apt/sources.list.d/cloudflared.list

# install cloudflared
apt-get update && apt-get install cloudflared

Luego de esto ya tendremos el cliente instalado, solo es necesario ajustar la variable CMD en el contenedor, para que cuando inicie, se active el túnel, también lo podrías hacer desde el mismo contenedor de Ubuntu.

Zero-trust-mikrotik

 

cloudflared tunnel --no-autoupdate run --token eyJhIjoiNDdkZWQ2MzEyNTgzNTQ5ZDkx

Cuando el contenedor se encuentre en el estado de «Running» ya estaremos conectados a la red Zero Trust en Cloudflare, lo podremos chequear del Dashboard.

Accediendo a los recursos

Luego de realizar la instalación, ya podremos acceder a los recursos internos a través de un nombre de dominio externo, por ejemplo, voz.dominio.com que apunte a https://192.168.110:7000 donde tenemos un servidor VOIP en la red local. Esto nos garantiza que no exponemos nuestra IP pública de nuestro router ni servicios, evitando posibles vectores de ataques. El establecimiento de la conexión se hace a través de Cloudflare y el cliente instalado, todo el proceso está encriptado.

Mikrotik-clodfalre

Añadiendo una capa más de seguridad.

Con la configuración anterior, podremos acceder con un subdominio a nuestro recurso interno, sin marcar ningún tipo de VPN. Pero también es posible que alguien realice un escaneo del dominio y encuentre su nombre y pueda intentar acceder por medio de otras técnicas de ataque.

Cloudflare añade muchas opciones en su política de seguridad, podremos ahora añadir que cuando se acceda al dominio voz.dominio.com envíe un código al correo electrónico de determinados usuarios o dominios.

Eso lo realizamos en la sección «aplicaciones»

Cloudflare-mk

Seleccionamos Self-hosted e ingresamos nuestro dominio público de acceso (creado anteriormente).

Cloud-mk2

Añadimos en la política que acepte a los usuarios de nuestro dominio.

cloud-mk4

Ahora, cada vez que accedamos al dominio voz.dominio.com nos solicitará un código que enviará por correo electrónico a usuarios de nuestro dominio, aquí podremos realizar muchas políticas adicionales, como que solo acepte usuarios específicos, de un país de origen, bloqueo de otros dominios, etc.

Notas finales

Como hemos visto anteriormente, este esquema VPN trae muchos beneficios, ya que no dependemos de un servidor central, exponer la IP pública, instalar clientes, ni tampoco preocuparnos por algún tipo de bloqueo en la red en la que nos encontremos.

Las soluciones de este tipo aumentan las capas de seguridad, ya que no se confía en ningún usuario y requieren otro tipo de validaciones.

El uso de contenedores y Mikrotik hacen posible que cada vez más servicios se puedan integrar en la red. En este caso soluciones de VPN.

Aún queda un largo camino para la adopción total de soluciones de este tipo, Cloudflare nos ofrece varios documentos sobre esta solución.

Información Zero Trust Cloudflare

Enfoque de migración

¡Nos vemos la próxima!

Compartir en Facebook Compartir en X Compartir en LinkedIn
Volver al blog
Ver todos los artículos