Microsoft y Ars aconsejan VPN de túnel dividido para minimizar los problemas del coronavirus

Cuando el SARS alcanzó su punto máximo, el trabajo remoto aún no era lo suficientemente práctico como para que los esfuerzos de cuarentena afectaran mucho las redes de las oficinas. Sin embargo, con el coronavirus, la mayor parte del conjunto de herramientas necesario para trabajar desde casa o de viaje está disponible, pero muchas redes de oficinas están teniendo dificultades para manejar el repentino aumento de escala.

Escala de Internet frente a escala de VPN

No hay mucho que pueda hacer con una conexión WAN (red de área amplia) que no sea lo suficientemente robusta para manejar el tráfico de trabajadores remotos a la infraestructura interna, como servidores de archivos y servidores de aplicaciones. Pero gran parte de la infraestructura de una empresa típica ya no está en el sitio; es cada vez más probable que esté alojada en la nube, detrás de su propio conjunto de firewalls y filtros de protección.

Tradicionalmente, la mayoría de las VPN de oficina están configuradas para enrutar no solo el tráfico de la oficina, sino también todos tráfico, incluido el tráfico destinado a Internet, a través del túnel VPN del usuario. Para la mayoría de los sitios, eso significa pagar una multa doble, o peor, por todo el tráfico de Internet de los usuarios conectados a VPN. Cada solicitud HTTPS y su respuesta posterior deben llegar dos veces al lado de carga y descarga de la WAN de la oficina. Esto ya es suficientemente malo con una WAN simétrica, por ejemplo, un enlace de fibra de 500 Mbps, pero es más que un castigo para una WAN asimétrica, como un enlace coaxial de 100 Mbps de bajada/10 Mbps de subida.

La idea detrás de los túneles VPN enrutados globalmente es permitir que un firewall de oficina inspeccione y monitoree todo el tráfico. Sin embargo, el tráfico de Internet moderno está encriptado casi en su totalidad de extremo a extremo, lo que hace que dicha inspección tenga un valor dudoso. Hay pocas razones para enrutar el tráfico de Office 365 a través de la conexión a Internet local de una oficina típica, en lugar de permitir que fluya directamente desde el trabajador remoto a la nube.

Enrutamiento tanto como sea posible directamente a Internet

Por lo general, recomendamos el enrutamiento solamente el tráfico de la oficina a través de una VPN de oficina y permitir que todo el tráfico de Internet proceda directamente a su destino; esto puede reducir fácilmente el tráfico de VPN en un orden de magnitud o más, y el filtrado y la supervisión a nivel de enrutador en la mayoría de las oficinas no son particularmente útiles en primer lugar.

Hacer las cosas de esta manera es simple: el administrador de la red deshabilita el enrutamiento global en sus configuraciones de VPN y solo enruta las subredes de la oficina a través del túnel. Los detalles varían según la implementación de VPN, pero en los clientes de VPN de Cisco, por ejemplo, es una simple casilla de verificación que se activa o desactiva.

Permitir el enrutamiento directo de Internet solo para Office 365

Los entornos algo más paranoicos (u orwellianos) podrían no estar dispuestos a renunciar todos control sobre el tráfico vinculado a Internet, sin embargo, prefiriendo en su lugar habilitar solo servicios seguros conocidos, como Office 365.

Esto plantea la pregunta, ¿cómo hacer identifica el tráfico con destino a Office 365? Microsoft proporciona una API para identificar puntos finales de servicio de Microsoft, que se pueden consultar a través de un script de Powershell. Aunque la empresa recomienda configurar un procedimiento de actualización dinámico y regular para usar la API para recolectar todos los puntos finales necesarios, Microsoft también ha proporcionado una lista simple que es correcta por ahora.

Desafortunadamente, IPv6 recibe su tratamiento habitual de «eh, tal vez más tarde»: Microsoft informa que los puntos finales de IPv6 simplemente pueden ignorarse y señala que sus servicios «actualmente operarán con éxito solo en IPv4, pero no al revés».

Imagen de listado por CDC