Más vale Tipping Point que lamentar

En entrevista con eSemanal, Moshe Speckman compartió los objetivos de la división de seguridad de 3Com: con Tipping Point se puede prevenir cualquier amenaza en una red sin lamentar pérdidas o intrusiones.

La unión de esfuerzos entre 3Com y Tipping Point retoma el paso para lograr lo que se hablado por muchos años: la convergencia de voz, datos y otras aplicaciones en la red.
Para lograr la convergencia se necesita una base muy fuerte, la cual requiere sistemas y soluciones de seguridad para garantizar que la información no solamente tenga la integridad necesaria, sino también pueda hacerse uso máximo de los recursos que existen en la red, que originalmente no fue diseñada para eso.
Tal es la sinergia entre las dos empresas que ahora, en julio, ya tienen integrado un sistema de cuarentena de Tipping Point, que hace un análisis de todos los paquetes que pasan por la red, los switches y routers, y permite distribuir o desviar cualquier tipo de información válida, ya sea voz o datos, a una VLAN o a un puerto serial.
La cuarentena está preparada para contener paquetes con problemas, en cuyo caso manda mensajes para informar a los ingenieros y éstos tomen la acción necesaria.
“Con Tipping Point bloqueamos el ataque. Lo que todavía se tiene que hacer, es que si existe un elemento infectado –que obviamente existe porque causó ese problema– alguien tiene que repararlo y no existía una tecnología para informar que existía. Ahora, esta herramienta informa que existe el problema en una dirección MAC (Media Access Control) determinada.
Los ingenieros deben corregir el problema y, mientras tanto, toda la información se envía por una VLAN separada para que no infecte el resto del tráfico”, expone Speckman.
El directivo agrega que una gran ventaja de este sistema de cuarentena es que brinda diferentes niveles de seguridad.
Puso como ejemplo la máquina de Ignacio Leñero, el director general de 3Com en México, para quien la política asignada a su dirección MAC o IP es que no bloquee el tráfico, sino que anuncie a más de un administrador para que tome las decisiones necesarias, “porque las transacciones que él hace son críticas. Quizá, la política sea que Ignacio pueda hacer las transacciones y parar las infecciones que él pueda estar mandando”.
El punto principal es que las redes que se diseñaron anteriormente no fueron pensadas para soportar diferentes tecnologías una sobre otra. Por si fuera poco, se están conectando más y más puntos, las vulnerabilidades que existen son más variadas y vienen de más puntos.
“Para que realmente una red funcione al 100% se requiere de una base de seguridad muy fuerte y fue por eso la compra”, comparte Speckman.
Firewall vs. Prevención
Un firewall se dedica a abrir o cerrar puertos específicos para aplicaciones. El problema es que algunas de éstas pueden requerir el puerto 80 y la mayoría de los firewalls lo tienen abierto, existen vulnerabilidades que explotan el puerto 80; entonces un firewall no las puede bloquear.
El firewall fue diseñado para bloquear y manejar el acceso de ciertas aplicaciones por el perímetro. Como en la red se maneja el tráfico interno, el que no pasa por esa área perimetral, se necesita otro tipo de elemento.
Éste es un Sistema de Prevención de Intrusos (IPS) que no se enfoca en el puerto ni en la aplicación, sino en el paquete que inspecciona, de la capa dos a la siete.
La única forma de realizar esta tarea sin agregar un tiempo de retraso a la red es tener una plataforma de hardware, la cual tenga procesadores diseñados específicamente para, en paralelo, activar todos los filtros que inspeccionan los paquetes y tomar una decisión inmediata “y es lo que nosotros tenemos en nuestro producto y es la gran diferencia entre nosotros y otros IPS”, expone Speckman.
Agrega que otros IPS están basados en procesadores Pentium, lowdancers, que mandan cierto nivel de información a una tabla y se quedan ahí por cierto tiempo y no causan problemas, pero generan latencia y si existen aplicaciones como VoIP –que está creciendo bastante en México y el resto del mundo–, el paquete no va a llegar a tiempo; existirá demora cuando llegue la voz.
Moy Speckman agrega que Tipping Point ayuda a prevenir ataques al Protocolo de Inicio de Sesión (SIP), también puede asignar cierto ancho de banda para protocolos específicos de voz, “lo que es un beneficio enorme, porque si estás hablando a la misma red para voz y datos, y mandas un archivo de 17MB, es posible que tu llamada se te caiga. Sin embargo, si tienes una calidad de servicio (QoS) a manera de establecer la verificación de velocidad de transferencia, un nivel de ancho de banda garantizado para el protocolo de voz, y que además no se pueda violar y siempre esté garantizado, se podrá mejorar la calidad de servicio de voz que se provee por medio de VoIP”.
La seguridad y el sistema operativo
Los sistemas operativos tienen tantos huecos que nosotros tenemos trabajo, comparte el directivo y agrega que el software tiene ciertas vulnerabilidades, el problema es cuando tienes millones de puntos conectados a una red utilizando Windows.
Por ejemplo, hacer una actualización de todos no puede hacerse lo suficientemente rápido: “te diría que 10% del personal hace su actualización en la primera notificación que hace Windows. Y ése es el problema: ¿cómo puede garantizarse en una empresa que se cumpla con esas reglas? Por eso es necesario un elemento basado en la red con un dispositivo separado para garantizar que las vulnerabilidades no vayan a hacer ningún daño”.
Speckman reconoce que aun cuando está en la tecnología, no hace sus actualizaciones de antivirus ni de Microsoft inmediatamente, porque aparecen cuando está ocupado y las deja para después.
Cuando algo así ocurre, alguien ya se conectó y mandó a alguien más el problema; “es decir, si sólo alguien no actualizó su aplicación, va a infectar toda la red, pero si se tiene Tipping Point de 3Com bloqueando o inspeccionando ese tráfico, esas vulnerabilidades no van a pasar”.
Cisco, muy lejos de Tipping Point
Cisco es un ejemplo; pero en un show en San Francisco, en marzo, John Chamber dio una plática sobre el roadmap que está empezando a tomar la compañía del puente; la diferencia es que esa vía, Tipping Point ya la tiene implementada, ¿cómo es que la implementamos nosotros inmediatamente?, se pregunta Speckman y contesta: “el producto de Tipping Point provee las soluciones, tecnologías y visiones que busca tener Cisco en los próximos cinco años”.
Al adquirir a Tipping Point, 3Com, como empresa de redes, puede unir inmediatamente lo mejor de su tipo en tecnología de seguridad IPS; primordialmente con una infraestructura de red muy fuerte en todo el mundo: voz sobre IP, redes inalámbricas, en las cuales ya está listo para empezar a dar el servicio de inmediato, “no es un sueño; en parte, lo que está tratando de hacer Cisco, lo está realizando en muchas etapas: quieren que tengas una credencial en tu red para que verifique que ya tienes todos los sistemas operativos adecuados, etcétera.
Eso lo tienen que hacer porque no tienen un dispositivo que haga la supervisión de todas las transacciones para enfocarse en la transacción en sí, “lo cual desde nuestra perspectiva es algo más eficiente de emplear, porque no importa la arquitectura de red, siempre y cuando pueda hacerse pasar ese tráfico por el punto donde se encuentra el IPS.
“3Com y Tipping Point pueden inspeccionar el tráfico, ya seas un empleado con esas credenciales o seas alguien que está visitando la empresa, con el sistema de cuarentena podemos identificar desde cuál dirección MAC proviene el problema”.
Speckman lo explica en otros términos: alguien, con su teléfono puede estar conectado a una red Wi-Fi y después, basado en la red, se conecta y está en otra dirección IP.
Por ello es importante poder identificar la dirección MAC, para que si un atacante se llega a conectar en un banco, si se conecta en una sucursal la red nos va a avisar y lo pondrá en una lista negra, cuando va a otra sucursal y se trata de conectar y la transacción proviene de la misma dirección MAC, obviamente lo va a bloquear hasta que gente de la administración de la red haya verificado que es un usuario genuino o lo eche definitivamente.
Seguridad hoy, integración mañana
El de 3Com y Tipping Point es un sistema muy completo hoy; “no es una visión para dentro de cinco años, es algo que ya está disponible y, punto aparte, el diseño es tan apropiado que se integra fácilmente a los productos de 3Com”.
Moy Speckman adelanta el panorama de aquí a 12 meses: incorporarán el primer appliance de Tipping Point con un switch de 3Com lo que permitirá flexibilidad y otra ventaja: mantener las plataformas independientes, “algo que con Cisco no puedes. Si quieres desarrollar la solución de Cisco todo tiene que ser de esa marca para que todo funcione y llegues a tener todo el paquete, con nosotros no es necesario: podemos tener ruteadores Cisco; switches Extreme; telefonía de 3Com y el IPS de Tipping Point, tenemos todo el sistema de seguridad”.
Es una gran diferencia entre la filosofía de 3Com y la que tienen los competidores, expresa el entrevistado y recalca: “utilizamos estándares abiertos; no queremos hacer nada propietario”.
Por supuesto existirán algunas facultades de la solución que permitirán mejor funcionamiento si una solución es completamente de 3Com que si no lo es. “Pero seguiremos enfocados en dos procesos en paralelo: uno, la integración a productos de switching que ya existe y, dos, con los productos IPS que tenemos hoy”.
Seguridad para las pequeñas empresas
3Com es muy bien reconocido por la PyME y en productos de volumen, por lo que es parte de su vocación tomar la tecnología e implementarla para PyME.
Al respecto, Speckman acepta que quizá Cisco logre hacerlo con Linksys, pero analiza lo que hace la compañía del puente: el sistema operativo de red (NOS) de Linksys no tiene nada que ver con el que tiene Cisco.
Agrega: “con nuestro producto, tomamos nuestro Threat Supression Engine –la misma tecnología– y lo aplicamos a los switcheo, ruteo y VPN que tiene 3Com, y la integración va a ser mucho más fuerte”.
Detección vs. Prevención
Es importante entender las diferencias entre IDS e IPS. Los conceptos se confunden el mercado. El Sistema de Detección de Intrusos (IDS, Intrusion Detection System) le ha dado un muy mal nombre a esta línea de productos, “porque sólo que generan alarmas y reportes, los cuales son muy completos y complejos, pero causan que se deba tener el recurso humano para llevar a cabo acciones contra todo lo que descubren”.
Con un IPS, el punto clave es tener una metodología, una solución que ayude a implementar automáticamente las políticas de seguridad necesarias, explica Speckman.
Lo que quiere decir que en el IPS se identifica el tipo de tráfico que se dejará pasar y el que no; por ejemplo, peer to peer (p2p), spyware, etcétera.
El IPS, automáticamente, conforme pasa el tráfico, inspecciona cada paquete, de la capa dos a la capa siete, y determina, basado en esa política, si el paquete puede continuar o se debe tirar, “lo importante es que no bloquea el flujo que viene de ese usuario, sólo bloquea el flujo maligno que viene de ese usuario, lo que es importante para comunicar al usuario que realmente tiene un problema”.
Pocos reportes, pero sustanciosos
Hablando de reportes y bitácoras, Tipping Point ofrece sólo los de información esencial con los 10 principales ataques y las 10 principales direcciones que tienen problema.
Además, el sistema de cuarentena manda una notificación y puede categorizar las notificaciones de acuerdo a su nivel de riesgo.
“Todo eso permite que el administrador use sus recursos humanos en cosas que realmente se tienen que aplicar; identifica exactamente cuál dirección MAC tiene el problema; qué daño causó y, en ciertos casos, el tipo de filtro que identificó el problema, todo lo cual detalla en qué consiste esa vulnerabilidad para prevenirla en el futuro”.
Ayuda con actualizaciones
El real problema de aplicar actualizaciones (parches) es que no se sabe si el parche va a funcionar o si va a perjudicar alguna otra aplicación en una instalación específica; con el IPS de Tipping Point se bloquean las vulnerabilidades que pueden atacar esa instalación.
El último martes de cada mes, Microsoft anuncia un nuevo juego de vulnerabilidades y nuevos parches. La ventaja es que Tipping Point actualiza cada 15 minutos.
Proporciona un Security Management System que hace un ping a la red de Akamai (que tiene servidores en 67 países) “y ahí es donde tenemos la vacuna digital”.
Cada 15 minutos revisa si hay una nueva actualización, se hace una descarga y automáticamente se refresca el juego de filtros disponibles.
¿Quiénes deben adoptar IPS?
“Si lo pudiera tener en mi casa, lo haría, afirma Speckman y puntualiza que una solución IPS no debería estar lejos del hogar o la pequeña oficina en casa: “si hay más de un usuario es recomendable tener este tipo de protección”.
Agrega que su empresa ya desarrolla dos productos, los cuales le permitirán acercarse más a ese tipo de mercado, donde vale la pena para cualquier aplicación de negocio que ya no sea personal, a su manera, lo pone en claro: “entre más pequeño es el negocio, mayor necesidad existe porque no tiene los recursos para contratar a un departamento de administración de sistemas”.
Eso no obsta para cuando las empresas aumentan de tamaño: “entre más grande es el negocio más puntos están conectados y más problemas puede llegar a tener, por eso tenemos productos que están enfocados a diferentes tipos de mercado”.
Para tener éxito en la venta de equipos de seguridad
Número uno: cuando vendan, que realmente lo prueben, que no se confíen de lo que dice la publicidad ni la mercadotecnia, porque existen muchos productos que pretenden ser algo que no son.
Número dos: que establezcan políticas enfocadas al tipo de negocio de sus clientes, que no pretendan ser todólogos porque no lo pueden ser; ni proteger contra todo
Número tres: cuando hagan una implementación no la hagan pensando que pueden ahorrar, porque la cantidad y variedad de aplicaciones que van a trabajar por esa misma red convergente va a ir creciendo. “Planeen para el futuro cuando hagan esa venta”.
Consejos para la seguridad
Las empresas no deben confiar su seguridad en un producto, deben tener varias capas de seguridad; “aunque tengan un IPS, que busquen antivirus, antispam, filtrado de contenidos, firewall, VPN, elementos separados que se puedan administrar”.
Speckman acepta que todos esos elementos están más fuera del alcance de una empresa pequeña, quizá deba vendérseles algún producto con todo integrado; pero conforme van siendo medianas o grandes es recomendable que adquieran elementos especializados.
Moy les aconseja: “siempre vean la seguridad por capas, no tengan demasiada confianza, porque no saben que están siendo atacados”.
El spyware es un ejemplo, quizás no se note, pero si la PC trabaja lentamente es porque cada función está siendo monitoreada; cuando la conexión a Internet está muy lenta puede ser que el enlace está comunicando a una dirección válida lo mismo que a un espía y quizá toda esa información que están sacando sea importante.
Todo ello sin considerar que esa inversión que se paga no funciona como debe ser y el usuario tal vez nunca se dé cuenta.
“Sin embargo, el hecho de que no se note no quiere decir que no hay ataques, no se debe de confiar”, apunta el directivo.
La ventaja de Tipping Point
Fue el primer IPS que incluyó sin costo adicional un juego de filtros que identifica cualquier tipo de tráfico de spyware, y no sólo lo bloquea, también identifica a cuál dirección IP iba direccionado.
El administrador siempre sabrá si una PC está infectada por spyware y la podrá limpiar; una vez limpia no habrá más spyware que la afecte. A menos que se vuelva a infectar en otra red, cuando el IPS detectará nuevamente que esa MAC está infectada y debe corregirla nuevamente. “La enorme ventaja es que el programa espía no se pasa a otras máquinas”.
Además, los productos de Tipping Point refuerzan la infraestructura para proveer un mejor servicio aprovechando el ancho de banda al 100% en aplicaciones que auténticamente son generadas por los usuarios de la red.
Las redes en los próximos cinco años
La visión de Moshe Speckman es que los switches a los que nos vamos a conectar tendrán incluido un IPS, el cual agregará más protección aun cuando la cantidad de vulnerabilidades crezca más todavía, “porque tendremos más aplicaciones, más puntos conectados a la redes y existirán más metodologías y filosofías de filtrado que vamos a implementar en empresas como la nuestra para identificar y bloquear todo tipo de ataques”.
Tipping Point
En enero del 2005, 3Com culminó lo necesario para adquirir Tipping Point Technologies, compañía alemana de 125 empleados, que en 2002 fue la primera en presentar un sistema de prevención de intrusos, ofreciendo protección a las aplicaciones y la infraestructura, con alta capacidad de desempeño para empresas e instituciones privadas y de gobierno. Actualmente, Tipping Point es una división de 3Com que complementa la misión de esta empresa en su búsqueda por crear redes seguras.