La VPN (Virtual Private Network o Xarxa Privada Virtual) és una de les eines de ciberseguretat més esmentades i, alhora, una de les més malenteses. Molts empleats i empreses utilitzen VPNs de consumidor pensant que això els protegeix completament, quan en realitat una VPN és només una peça d’un sistema de seguretat més ampli.
Aquest article explica què és exactament una VPN empresarial, quan és imprescindible i com triar-la i implementar-la correctament.
Què és una VPN i com funciona
Una VPN crea un túnel xifrat entre el dispositiu de l’usuari i un servidor VPN. Tot el tràfic que viatja per aquest túnel està xifrat, cosa que significa que:
- En xarxes públiques o insegures (cafeteries, aeroports, hotels): ningú a la mateixa xarxa pot interceptar el tràfic de l’usuari.
- En accés remot a recursos corporatius: l’empleat que treballa des de casa pot accedir als servidors, aplicacions i carpetes de l’empresa com si estigués físicament a l’oficina.
VPN de consumidor vs. VPN empresarial: diferències clau
| Característica | VPN de consumidor (NordVPN, ExpressVPN…) | VPN empresarial (OpenVPN, Cisco, Fortinet…) |
|---|---|---|
| Propòsit principal | Privacitat online, accés a contingut geo-restringit | Accés remot segur a recursos corporatius |
| Gestió centralitzada | No | Sí: l’admin controla qui accedeix a què |
| Integració amb directori corporatiu | No | Sí (Active Directory, LDAP, RADIUS) |
| Polítiques d’accés granulars | No | Sí: accés per usuari, rol, dispositiu |
| Auditoria i logs | Limitada | Completa |
Una VPN de consumidor com NordVPN o ExpressVPN NO és adequada per donar accés remot a recursos corporatius.
Quan una VPN és imprescindible per a la teva PIME
1. Teletreball amb accés a recursos locals
Si els teus empleats treballen des de casa i necessiten accedir a servidors de fitxers locals, aplicacions instal·lades en servidors físics de l’empresa o sistemes de gestió empresarial allotjats localment, necessites una VPN corporativa.
2. Ús freqüent de xarxes WiFi públiques
Si els teus empleats treballen habitualment des de cafeteries, aeroports, hotels o espais de coworking i accedeixen a correu corporatiu o dades de clients, una VPN és altament recomanable.
3. Connexió entre seus
Si la teva empresa té dues o més oficines que necessiten compartir recursos de xarxa, una VPN site-to-site connecta les dues xarxes com si fossin una sola.
4. Protecció de l’accés RDP
Si tens servidors Windows als quals els empleats accedeixen mitjançant Escriptori Remot (RDP), exposar el port RDP directament a internet és extremadament perillós. La VPN actua com a porta d’entrada.
Quan una VPN pot no ser suficient
La VPN tradicional té limitacions importants:
- No protegeix davant amenaces internes: Un empleat amb accés a la VPN pot accedir a tot el que hi ha dins de la xarxa.
- No és adequada per a entorns 100% cloud: Si les teves aplicacions són SaaS, la VPN no afegeix protecció significativa.
Per a aquests escenaris, el model ZTNA (Zero Trust Network Access) és més adequat. Solucions com Cloudflare Access, Zscaler Private Access o Microsoft Entra Private Access implementen el principi de “mai confiïs, sempre verifica”.
Solucions VPN per a PIMEs: comparativa
Solucions basades en maquinari
| Solució | Preu aprox. | Pros | Contres |
|---|---|---|---|
| Ubiquiti UniFi | ~300-500€ (maquinari) | Excel·lent relació qualitat-preu, sense llicències recurrents | Requereix configuració tècnica |
| Fortinet FortiGate | ~400-800€ + llicències | Molt complet, inclou firewall, IDS/IPS | Més complex, més car |
| pfSense/OPNsense | Gratuït (programari) | Open source, molt flexible | Necessites maquinari compatible |
Solucions al núvol (sense maquinari a l’oficina)
| Solució | Preu/mes | Pros | Contres |
|---|---|---|---|
| Tailscale | Gratuït (fins a 3 usuaris) / ~5€/usuari | Basat en WireGuard, increïblement fàcil de configurar | Més orientat a equips tècnics |
| Cloudflare Access | Gratuït (fins a 50 usuaris) | ZTNA modern, molt escalable | Corba d’aprenentatge |
| NordLayer | ~7€/usuari/mes | Fàcil d’usar, orientat a PIMEs | Menys control granular |
| Perimeter 81 | ~8€/usuari/mes | Bona UX, ZTNA inclòs | Preu una mica elevat |
Recomanació per a PIMEs petites (fins a 15 empleats) sense IT dedicat: Tailscale per a accés tècnic entre dispositius i NordLayer per a empleats que necessiten navegar segur des de xarxes públiques.
Com implementar una VPN correctament
Error 1: No activar MFA a la VPN
Si la VPN només requereix usuari i contrasenya, un atacant que obtingui aquelles credencials té accés complet a la xarxa de l’empresa. El MFA és obligatori.
Error 2: Fer servir protocols obsolets
PPTP i L2TP sense IPSec tenen vulnerabilitats conegudes. No els facis servir. Opta per OpenVPN, WireGuard o IKEv2.
Error 3: No monitoritzar els accessos
Revisa regularment els logs de la VPN: qui es connecta, des d’on, a quines hores. Els accessos inusuals poden indicar que unes credencials han estat compromeses.
Error 4: No tenir un procés d’offboarding
Quan un empleat abandona l’empresa, el seu accés a la VPN s’ha de revocar immediatament.
Rendiment i productivitat
Un dels motius pels quals molts empleats eviten fer servir la VPN és que alenteix la connexió. Alguns consells:
- Fes servir WireGuard en lloc d’OpenVPN: és significativament més ràpid.
- Situa el servidor VPN a la mateixa ciutat o regió que els usuaris.
- Configura split tunneling per al tràfic d’aplicacions SaaS (M365, Google).
Conclusió
La VPN és una eina imprescindible per a qualsevol empresa amb empleats que treballen fora de l’oficina o que necessiten accés a recursos locals. Però no és una solució màgica: s’ha d’implementar correctament, amb MFA, protocols moderns i un procés de gestió d’accessos.
Per a la majoria de PIMEs, la combinació d’una solució com Tailscale o NordLayer per a l’accés remot, juntament amb MFA i un gestor de contrasenyes corporatiu, ofereix un nivell de seguretat molt elevat a un cost raonable.
Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions específiques a la vostra empresa.