Redes inteligentes frente a los nuevos retos de seguridad
En el mundo de la seguridad en TI también es válido este principio. Ciertamente, una empresa se enfrenta a amenazas aquí y ahora, y es a ellas a quienes tiene que hacer frente. Sin embargo, merece la pena tener en consideración cuáles son las tendencias que se apuntan en cuanto amenazas de seguridad y tenerlas en cuenta a la hora de invertir en seguridad, de modo que se proteja la inversión realizada en la mayor medida posible.
A día de hoy, las empresas están preocupadas por virus y gusanos, que dejen inutilizados sus sistemas de información, y algunas por temas de intrusiones o robo de datos. En definitiva, amenazas que tienen detrás un usuario. De ahí la obsesión de fabricantes y clientes por asegurar sus sistemas mediante el acceso controlado. Pero lo cierto es que todo apunta a que en los próximos años, la mayoría de los dispositivos conectados a puertos Ethernet no tendrán detrás a un ser humano dirigiendo flujos de datos. Serán dispositivos que operen de manera autónoma, tales como cámaras de videovigilancia o máquinas de vending.
Este nuevo contexto exige unas políticas de seguridad muy diferentes, y merece la pena tenerlo en cuenta a la hora de invertir en seguridad, si se quiere evitar la obsolescencia prematura de la inversión.
A medida que la conectividad basada en redes Ethernet se va extendiendo a espacios públicos de una empresa, con objeto de dar servicio a estos nuevos dispositivos IP, estos puntos de acceso hacen la red más vulnerable a usos inapropiados. La solución pasa por gestionar la red de tal modo que esos puertos queden inhabilitados para cualquier otro dispositivo que no sea aquel a que están destinados. Ello exige la capacidad de la red para gestionar políticas con elevada granularidad. Si disponemos de esta capacidad de gestión en el núcleo de la red, todo el sistema será capaz de comprender las características del tráfico o protocolo que utiliza una cámara de video, por ejemplo, y aplicará una política que impida la conectividad de cualquier dispositivo que no se adapte a este perfil. Pasaríamos de una estrategia basada en “lo que no está expresamente prohibido está permitido” a una basada en “lo que no está expresamente permitido está prohibido”.
La red es capaz de comprobar si un determinado dispositivo es adecuado con el perfil para el que está configurado un determinado puerto. De este modo, aunque alguien sea capaz de desconectar una cámara de su puerto y conectar allí su portátil, la red no reconocerá este último, y simplemente impedirá cualquier intento de conexión. Este enfoque de seguridad de red es especialmente relevante en lo que respecta a la migración a voz sobre IP, porque el punto de acceso es uno de los asuntos más peliagudos en el sistema de VoIP de una empresa. Los teléfonos IP con navegador incorporado, capaces de descargar aplicaciones y contenidos son algo muy prometedor, pero también suponen una potencial amenaza. Desde una perspectiva de seguridad, estos nuevos
teléfonos son equiparables a un PC, en cuanto a potencial peligrosidad, lo que significa que deberán ser tratados como PC en lo que respecta a políticas de antivirus, parches, etc. De este modo, una empresa que migre a VoIP está virtualmente multiplicando por dos sus puntos potencialmente vulnerables en el extremo de la red.
Por ello, la seguridad debe residir en el conmutador mismo donde se conecta el teléfono IP, de modo que las firmas de ataques puedan ser actualizadas de forma centralizada, y cualquier ataque de virus detenido en este punto, ya que serán detenidos en el punto de entrada de la red. Y lo más importante, no será necesario tener software de seguridad corriendo en todos y cada uno de los teléfonos.
Además, las características del tráfico de voz hacen posible una serie de mecanismos de protección que no pueden aplicarse al PC, pero si a los teléfonos. Por ejemplo, dado que el ancho de banda requerido por un teléfono IP es relativamente reducido, puede limitarse a nivel de puerto la cantidad disponible, de modo que se elimina la posibilidad de que desde los teléfonos IP se generen ataques de denegación de servicio o de inundación de paquetes.
Jorge Fernández, director de seguridad de Enterasys