¿Qué es un túnel dividido VPN? ¿Es más seguro el split tunneling?

¿Qué es un túnel dividido VPN? ¿Es más seguro el split tunneling?

Lorena Fernández

Una red VPN, así como la conocemos, se da gracias a la creación de un túnel por el cual todo el tráfico de la red fluye. Uno de los beneficios principales es que, quien navegue por dicha VPN, generará un tráfico cifrado punto a punto, desde el cliente VPN hasta el servidor VPN, por tanto, su información estará protegida dentro de este túnel VPN. La información fuera del túnel VPN impide que la información sea leída por otras personas. Sin embargo, ¿es realmente necesario que cualquier tipo de tráfico pase por la VPN? No siempre. Por eso, hablaremos de una de las alternativas que podría optimizar su eficacia: el túnel dividido, o también conocido como split tunneling.

Es bueno recordar que una VPN tiene varias aplicaciones. Algunas de ellas son: acceso a recursos en Internet que están restringidos por la región, navegación privada y por qué no, para estar más seguros al momento de salir a Internet. Pero, una VPN cuenta con un detalle importante. La calidad de la conexión (velocidad y latencia) tiende a disminuir, principalmente por los algoritmos de cifrado que se implementan. En consecuencia, el usuario percibe un acceso más lento que cuando está fuera de una VPN. Y esto forma parte de la naturaleza de las redes privadas virtuales, sobre todo los clientes VPN que podemos instalar en los ordenadores de los usuarios. Por defecto, dichos clientes tienen control completo de todo el tráfico.

¿Qué es el túnel dividido?

Es una característica de las redes privadas virtuales (VPN) que permite configurar el tipo de tráfico en concreto que se desea que fluya por el túnel. Un ejemplo clásico es que todo el tráfico que provenga directamente de la red interna de una organización pase por la VPN, no así el tráfico en Internet en general que está bajo control del ISP. Así también, es posible ajustar las necesidades de VPN de acuerdo al tipo de aplicación o recurso que se esté utilizando. Por ejemplo, aquellas que manejen información muy delicada, que pasen por la VPN, lo demás, que salga a Internet con normalidad.

Otra manera de aprovechar el túnel dividido consiste en que los servicios ligados a la VPN se utilicen para bloquear determinado tráfico. Un ejemplo recurrente es el no permitir el acceso a un determinado sitio web, y se realiza el bloqueo mediante su dirección IP. Así también, existen otros servicios que permiten que los usuarios desactiven su conectividad a la VPN para acceder a ciertas aplicaciones o recursos.

Es posible hacer que, mediante esta característica de las VPN, se logra la creación de lo que se denomina «tráfico interesante» (interesting traffic). Esto último tiene que ver con todo tipo de tráfico que queremos monitorizar y/o proteger. ¿Por qué uno necesitaría de hacer estas distinciones? Puede ser por razones de seguridad o simplemente, para optimizar tus recursos de red disponibles.

Tipos de Túnel Dividido

  • Túnel Dividido Inverso: realiza un proceso de reversión del estándar propio del túnel permitiendo que todo el tráfico generado pase por el túnel VPN por defecto. Los usuarios pueden utilizar este método para poder elegir qué tipo de tráfico queda fuera de este túnel.
  • Ruteo basado en IP: Recordemos que el ruteo permite que los paquetes de datos viajen directamente al destino, claro está, de acuerdo a la dirección de IP de dicho destino. Sin embargo, es posible valerse de políticas basadas en routing para implementar una especie de túnel dividido. Dichas políticas aplican cambios en la tabla de enrutamiento, todo esto en base a consideraciones como el tamaño del paquete de datos.

¿De verdad es más seguro?

Hasta el momento, hemos explicado que el túnel dividido cuenta con beneficios, sobre todo a la hora de facilitar la gestión del tráfico de la red que administramos. Queda claro que a largo plazo no hay nada peor que contemplar el tráfico de Internet a través de un túnel VPN. Esto último no sólo genera inconvenientes a nivel administración de redes, sino también a nivel usuario que percibe en varias ocasiones, problemas para conectarse como la lentitud a la hora de acceder a ciertos recursos.

Sin embargo, hasta el momento no hay evidencia de que la gestión de las VPNs mediante el túnel dividido sea lo más seguro. Sobre todo, si hablamos de un escenario que consiste en trabajadores de una empresa que deben empezar a hacer sus actividades desde casa. Sumemos el hecho de que tienen que usar sus propios ordenadores. En este caso, ¿qué pasa si el ordenador de la persona se encuentra infectado por malware o cualquier otro tipo de virus? En el caso de que vaya a conectarse de forma remota vía VPN, aunque cuente con el túnel dividido, existe el riesgo de que este ordenador infectado «contagie» a la red. Lo que ocurre después, ya lo sabemos.

Qué hacer al momento de optar por esta variante de VPN

Lo primero que debemos considerar es qué características enfocadas a la seguridad ofrece cada servicio VPN. Para tener en cuenta, existen VPN basado en software y aquellos que están incluidos en los firewalls. Sobre todo, si optas por VPN basado en firewall, pregunta al proveedor cuáles son las opciones disponibles respecto al control del tráfico VPN.

Por otro lado, existen soluciones que limitan el acceso a la VPN teniendo en cuenta consideraciones como: la versión del sistema operativo del ordenador, la versión del antivirus y sus bases de datos de virus, además de otros aspectos que pueden ser definidos por quien requiera de la solución VPN.

En RedesZone siempre promovemos el uso de software gratuito y de código abierto, sobre todo cuando tienes limitaciones en cuanto a recursos, pero igualmente, todo el conocimiento necesario para implementar soluciones como PacketFence. Es una plataforma que está orientada a la revisión de los dispositivos previa a la conexión de los mismos a la VPN. Esto es sumamente útil cuando trabajamos para una organización que permite que los colaboradores utilicen sus propios dispositivos. Recordemos que a esta práctica se la conoce como BYOD (siglas en inglés de Trae tu propio dispositivo).

PacketFence se presenta como una solución de Control de Acceso a la Red (NAC). La misma cuenta con diversas características como la disponibilidad de un portal cautivo para que los usuarios involucrados se registren y autentiquen. Así también, cuenta con gestión centralizada de las conexiones tanto por cable como las inalámbricas. Algo que vale la pena destacar, es el hecho de que puedes integrar soluciones IDS/IPS como Snort, el cual está mencionado en nuestra guía de soluciones IDS/IPS. Incluso, si cuentas con escáneres de vulnerabilidad como Nessus, PacketFence es completamente compatible. En consecuencia, podrás crear una suite completa de seguridad de redes sin que necesites de altas inversiones a nivel económico. Más arriba, vemos un esquema de todas las posibilidades que tiene esta solución para controlar nuestras redes en cualquier aspecto, desde la autenticación hasta el profiling de los usuarios.

Si deseas probarlo, puedes acceder a su web oficial donde podrás encontrar dos opciones de descarga:

  • Código Fuente: Si cuentas con experiencia codificando, te sentirás bastante cómodo con esta opción. También encontrarás paquetes para algunas distribuciones Linux.
  • ZEN (Zero Effort NAC): en español podemos decir que es una versión de NAC sin esfuerzos. Es decir, la descarga consiste en un archivo ya pre-configurado para implementar Packet Fance lo antes posible. A su vez, cuenta con dos variantes:
    • Virtual Appliance
    • Live PacketFence System (una versión portable que puede caber en cualquier dispositivo de almacenamiento como uno USB).

Si sólo tengo un móvil, ¿puedo utilizar el túnel dividido VPN?

Por supuesto que sí, si configuras el cliente VPN con protocolos como IPsec, OpenVPN o Wireguard, podrás tener túnel dividido sin ningún problema. Además, aplicaciones VPN comerciales como PureVPN , NordVPN o Surfshark soportan también esta opción de configuración.

Estos servicios comerciales permiten realizar split tunneling de manera fácil y rápida, en la mayoría de ellas, verás una pantalla en donde visualizarás un botón de encendido el cual sirve para conectar y desconectar de la VPN con un sólo toque. Debes tener en cuenta que su característica de Ubicación Inteligente escoge el país que mejor calidad de conectividad ofrece. De acuerdo a la región en donde se ha hecho la prueba. Sin embargo, puedes elegir entre varios países incluyendo los de Asia, Europa, África y todo el continente de América.

En las opciones de configuración avanzadas de las diferentes aplicaciones podrás activar la tunelización dividida, y elegir entre varias opciones. Por ejemplo, en el caso de Express VPN tenemos lo siguiente:

La primera es la funcionalidad de VPN por defecto, la cual afectará a todo el tráfico que generes en Internet. La segunda y la tercera son las opciones que corresponden al túnel dividido y al túnel dividido reverso, respectivamente. Generalmente, es más fácil determinar qué aplicaciones no utilizarán la VPN, de manera a perder menos tiempo con estas configuraciones.