En los últimos años ha surgido una gran diversidad de equipos que incorporan la etiqueta “IP ready”. El motivo de este “boom” se debe, entre otros factores, a la utilización de un protocolo único de comunicación que evita desplegar cableados diferenciados para la voz, la imagen y los datos. El mismo cableado nos sirve para todo. Ahora el técnico que monta un teléfono, o una cámara IP, solo tiene que saber qué dirección IP poner, o configurar el cliente DHCP.
La migración de aplicaciones a IP, ha obligado también a modificar la forma de pensar de algunas empresas. Antes, una oficina de 400 personas eran unos 500-550 puertos de red. Ahora, ya estamos viendo redes de más de 1000 puertos para esas 400 personas (por ejemplo en edificios inteligentes).
La tecnología de red IP ha permitido migrar muchos servicios y ayudar a su gestión / monitorización desde un punto central de una gran variedad de elementos. Gracias a las posibilidades del software y al incremento de puertos y aplicaciones disponibles han surgido nuevos servicios en red, como Comunicaciones Unificadas (integración de la telefonía fija, móvil, mensajería instantánea, agenda de reuniones de Outlook, directorio de teléfonos…), aparte de la utilización de la red como elemento de gestión o configuración de aparatos eléctricos tradicionales como neveras, sensores de temperatura del CPD, alarmas o cámaras IP entre otros.
La entrada en la red de estos nuevos equipos, ha ayudado a la creación de un sinfín de servicios, a los que nos estamos acostumbrando poco a poco y pronto consideraremos indispensables.
Una vez tenemos definidos los servicios de red (VLAN, calidad de servicio, tipo de servicio, prioridades y filtrado) que vamos a aplicar a todo lo que se conecta a la red, nos enfrentamos al siguiente nivel: la movilidad dentro de la misma. Hasta hace poco, los equipos no se movían de su sitio. Como mucho de vez en cuando, había que mover un departamento. Pero a medida que los equipos conectados incrementan, es importante disponer de herramientas que nos ayuden a gestionar todas las configuraciones de red. Ésta tiene que estar preparada para responder a las necesidades de un entorno cambiante, donde ya nadie tiene un sitio fijo. Y teniendo en cuenta que con la telefonía IP, nos podemos encontrar más de un equipo por puerto de acceso (y eso sin contar con los mini-switch de emergencia para incrementar los puertos en una zona) las nuevas redes tienen que ser capaces de diferenciar entre distintos equipos en un mismo puerto, y poderles aplicar los servicios apropiados. Ya no sirve aplicar reglas al puerto, ¡las reglas se tienen que aplicar al equipo final que se conecta!
La clave para poder asignar los servicios de red a cada equipo que se conecta, de forma dinámica y totalmente automatizada, es la autenticación. Gracias a ella, podemos asignar de forma dinámica estos servicios, en cualquier punto de la red, o incluso en una oficina diferente a la habitual. La red ya no está “abierta a todo”, sino que está latente. Cuando un equipo se conecta, lo autentificamos, y en base a quién es, donde está, y qué hora es, podemos asignarles unos recursos u otros. El login de una recepcionista, no puede entrar en la red el domingo a media noche en un puerto del CPD, aunque su acreditación sea correcta. En ese caso, hay que denegar los servicios de red al equipo (y no al puerto), y avisar del evento. De la misma forma, un administrador de red tiene que disponer de sus accesos de gestión a la DMZ, esté donde esté de la red, ya sea en su oficina, su mismo edificio, país o continente.
En resumen, cada día habrá más aplicaciones en la red, todas ellas con sus necesidades de calidad de servicio, filtrado del tráfico y limitaciones de ancho de banda. Estos servicios de red tendrán que ser asignados a todos los equipos de forma dinámica y automática para proporcionar la movilidad de un entorno flexible en constante evolución, sin penalizar la seguridad, y la facilidad de uso del usuario final, o del administrador de la red.
Donde hoy solo vemos claro unas pocas aplicaciones conectadas a la red, pronto veremos que estas se multiplican. Es importante dotar a las redes que se están migrando hoy, de herramientas para poder ser utilizadas al máximo en el futuro como el PoE, métodos de autenticación, asignación de recursos de red de forma dinámica, sistemas de localización, facilidad de uso, etc. No es de extrañar, que en un futuro no muy lejano los departamentos de IT, puedan oír preguntas como “¿en qué puerto puedo conectar mi cafetera?” La respuesta tiene que ser: “donde tú quieras, la red ya sabe que tiene que hacer”
Dispositivos IP: Algunas cuestiones de seguridad
Sin embargo, esta imparable tendencia no está exenta de riesgos. A medida que las empresas conectan dispositivos a sus redes IP, tales como fotocopiadoras, impresoras, cámaras de seguridad e incluso sistemas de aire acondicionado, los peligros provenientes de virus y gusanos y otros ataques potenciales se incrementa considerablemente. Muchas organizaciones se preocupan exclusivamente de las amenazas que suponen los usuarios y sus dispositivos de uso personal conectados a la red, tales como PC´s y PDA´s. Pero con la proliferación de los dispositivos IP, la verdadera preocupación debería centrarse en los ataques que pueden venir de esas máquinas, si se infectan.
Hay una serie de preguntas clave que un responsable de TI debe hacerse: qué elementos hay conectados a la red en cada momento, qué es lo que realmente hay dentro de cada uno de estos dispositivos y si las tecnologías de seguridad con las que cuenta son capaces de ir más allá de simplemente asegurar redes de Pc´s. Si la respuesta a estas preguntas no es 100% afirmativa, la red de la organización está en peligro.
Se espera que las redes corporativas crezcan exponencialmente en los próximos años. Sin embargo, este crecimiento no va a venir del crecimiento de número de puertos destinados a usuarios, sino que vendrá del gran número y tipología de dispositivos autónomos que se conectarán. Desde teléfonos IP hasta sistemas de inventario IP basados en tecnologías de identificación por radiofrecuencia, las posibilidades son ilimitadas, y resulta crucial que un modelo de seguridad de empresa evolucione de acuerdo con la tecnología.
Hay cuatro enfoques básicos para abordar el problema y eliminar los riesgos
1. Aplicar control de acceso a los dispositivos IP. Aunque un Pc puede utilizar tecnologías como 802.1x para autenticar su identidad y obtener acceso a la red, una fotocopiadora o una cámara no puede hacerlo. Eso no significa que deba ignorarse la necesidad de control de acceso, sino que se han de emplear nuevos métodos de control de acceso adecuados a este tipo de dispositivos
2. Herramientas de protección proactiva para entornos típicos de PC. Generalmente implican la instalación de un agente en el PC que informa a la red de los parches disponibles, antivirus y estado de configuración, de modo que los PC desconfigurados estén controlados. Aunque este es un buen método para los PC´s es normalmente bastante difícil encontrar dispositivos IP diferentes del PC que admitan estos agentes. Con el fin de determinar el riesgo de una máquina, debe realizarse una valoración del mismo al conectar la máquina. Típicamente, esta técnica implica el escaneo de vulnerabilidades, que enlaza con las reglas de políticas de los conmutadores y de los puntos de acceso, de modo que cuando el scaneado detecta configuraciones no habituales (puertos abiertos, respuesta extraña a las pruebas, etc.) la red pueda actuar para controlar el riesgo
3. La capacidad de proporcionar asistencia en la reparación de sistemas desconfigurados después del aislamiento. La reparación manual de eventos relacionados con un PC pueden solucionarse por medio de un CD o disquette. Sin embargo, los dispositivos IP solo permiten actualizaciones a través del interfaz de red. Esto hace que poco deseable poner una máquina en cuarentena, puesto que no se puede simplemente cerrar el puerto cuando surge un problema. Por el contrario, se precisa un nivel de control mucho más granular, de modo que el conmutador o punto de acceso pueda suprimir todos los protocolos y aplicaciones a excepción de los necesarios para llevar a cabo las tareas administrativas. Este tipo de política de cuarentena sólo está disponible en dispositivos de red muy sofisticados que admiten políticas, y excede con mucho de las capacidades de cuarentena de las VLANs al uso.
4. La capacidad de proporcionar funcionalidades de respuesta dinámica. Aunque el control de acceso y la protección proactiva permiten que una red decida quien y qué debería permitirse en el sistema, hay todavía un riesgo de que un sistema autorizado se convierta en peligroso después de conectado. Como tal, la red de comunicaciones debe utilizar tanto las tradicionales como las nuevas capacidades de detección, junto con las funciones de ajuste de políticas y rápida localización.
Por ejemplo, si un servidor del área de radiología de un hospital se infecta con un virus después de entrar en servicio, lo más probable es que sea el sistema IDS el que detecte la infección. Estos sistemas detectan el ataque y conocen la dirección IP de la fuente, pero no pueden hacer mucho para suprimir el ataque. Si la infraestructura de red es capaz de hacerse eco de este ataque y localizar el interfaz del puesto desde el que se realiza el mismo, un cambio en la política local puede quitar, suprimir o poner en cuarentena el sistema.
Este enlace entre detección, localización y respuesta se encuentra actualmente sólo en productos de seguridad de red avanzados, pero resultará crítico en redes de dispositivos autónomos a medida que el número de nodos se incrementa más allá de la capacidad del personal de TI para llevar a cabo la reparación de forma manual en un tiempo aceptable.
Estas cuatro técnicas – control de accesos, protección proactiva, reparación asistida y respuesta dinámica – han sido inicialmente aplicadas para proteger y responder a amenazas en redes de PC´s. Como las redes inevitablemente se expanden con la introducción de dispositivos IP de todo tipo, estas herramientas resultan críticas para proporcionar seguridad. El reto será ampliar sus capacidades para proteger de forma adecuada a la empresa de las amenazas y el riesgo originado en cualquiera de estos nuevos dispositivos.