Fundamentos de seguridad en las redes

Las redes de campus de tercera generación ante todo deberán ser seguras, detalla un estudio de Forrester Research. Los fabricantes tienen mucho por hacer en este aspecto.

La complejidad de las redes de campus ha ido en aumento debido a las cada vez más crecientes amenazas a la seguridad; pero también porque al tradicional equipo de switcheo y ruteo se le han agregado dispositivos para la seguridad.
En este aspecto hay mucho por hacer: entre los usuarios para inculcarles el valor de estar comunicados con seguridad, y a las empresas habrá que explicarles lo fundamental que es mantener su información a buen resguardo de amenazas; pero los fabricantes tendrán que trazar un camino para ofrecerla como parte de las características tecnológicas de sus equipos.
Tras una seguridad efectiva
La alternativa de integrar diversas aplicaciones para brindar un blindaje de seguridad trajo aparejados problemas como interoperabilidad entre fabricantes, sobre todo porque adolece de uniformidad y todavía exige grandes esfuerzos de los administradores de red, para quienes lo ideal es contar con beneficios tales como: administración sencilla y centralizada, sin funciones duplicadas, éste es el precio de tener varios dispositivos diferentes instalados, por ejemplo, la protección contra ataques de negación de servicio (Denial of Service o DoS).
Esto complica la decisión sobre cuáles dispositivos usar bajo determinadas circunstancias y abre la posibilidad de que la red no funcione óptimamente porque hay demasiados equipos intentando asegurar las mismas partes de la red.
En este sentido el informe de Forrester Research propone que los switches para campus se establezcan como el punto principal de la seguridad.
El gran problema es que estos equipos sólo podían establecer redes virtuales (VLAN) estáticas para aislar a ciertos usuarios; filtrar tráfico por medio de listas de control de acceso; de dirección IP de origen o de destino; y puertos TCP muy conocidos.
Switches de tercera generación
Estos equipos ya pueden realizar una diversidad de tareas que coadyuvan a la seguridad. Entre ellas ser más flexibles para tener la capacidad de supervisar un flujo de datos y reconocer patrones anómalos; pero el requisito no es sólo observar el tráfico sospechoso, sino actuar automáticamente para detenerlos.
Por ejemplo, CLEARFlow de Extreme Networks cuenta los paquetes SYN que se envían y reciben desde un servidor y es capaz de tirarlos cuando exceden un umbral establecido.
Crossbeam Systems integra detección de intrusos y protección contra ataques DoS en un sólo dispositivo y el estudio explica que hay una tendencia para que los fabricantes de networking integren recursos como firewalls, VPN, detección de intrusos e identificación de ataques DoS en sus switches, con frecuencia como tarjetas separadas.
Cisco y Nortel ofrecen módulos VPN y firewalls; pero también herramientas de análisis de paquetes de Capa 7, lo que significa que sus switches con las tarjetas adecuadas son capaces de identificar paquetes que no se ajusten a un patrón de datos normal y actuar para evitar ataques.
Una sola administración
Forrester se refiere a un enfoque holístico en el que tira por la borda herramientas costosas y sofisticadas de administración para supervisar la red; en su lugar expone la conveniencia de usar consolas de administración como ArcSight o netForensics para correlacionar eventos de firewalls y detección de intrusos.
El estudio explica: “La tendencia es integrar todas las funciones claves de seguridad en una sola plataforma de administración de switcheo con el fin de que ya no sea necesario utilizar múltiples consolas”.
El administrador de políticas NetSight de Enterasys es el líder en esta tendencia, apunta Forrester. Mientras que el software de administración de redes OmniVista de Alcatel integra la mayoría de las funciones, excepto para administración integrada en redes alámbricas e inalámbricas.
Forrester destaca que administrar políticas de seguridad de manera centralizada es fundamental y refiere que los fabricantes tienen roadmaps para ofrecer un dispositivo que implicaría establecer políticas a todos los dispositivos de seguridad y conmutación.
Cuarentena a los indeseados
Casi todos los fabricantes de switches ofrecen caracteríticas para poner en cuarentena a los usuarios remotos que entran al sistema con definiciones de virus no actualizadas, por ejemplo. Al respecto la compañía de investigación refiere que todos los fabricantes de redes, a excepción de Enterasys y Alcatel que llevan ventaja, requerirán de mucho más trabajo de desarrollo para alcanzar el nivel en el que ruteadores y switches de la red participan de manera activa en la puesta en cuarentena de los hosts con posibles virus o gusanos.
No pueden fallar
El análisis de la investigadora asigna a los switches de tercera generación un papel de misión crítica cada vez mayor y refiere que se espera que alcancen a satisfacer las necesidades de los clientes, quienes buscan un 99.999% de confiabilidad. Eso significa un alto compromiso para los fabricantes, por lo que casi todos se han abstenido de prometer dicho rendimiento. Alcatel ha ofrecido una disponibilidad de “clase de portadora”.
El estudio de Forrester hace una clara diferencia entre seguir la pista de los usuarios con direcciones MAC y tratar a cada uno de manera individual. Este último aspecto requiere del uso de políticas para establecer reglas de tratamiento para cada persona, incluyendo diferentes niveles de acceso dependiendo de la manera en que un individuo acceda a la red.
De esta forma un usuario tendría privilegios de acceso de una naturaleza desde sus escritorio y otros muy diferentes si se conecta desde su casa, un punto de acceso inalámbrico o desde un café Internet, para todos los cuales debe cumplir un esquema de seguridad y debe ser el switch, el que se encargue de hacerlo posible con accesos amplios o restringidos dependiendo de la hora del día, el día de la semana y otras condiciones adicionales relacionadas con el trabajo.
Detección de intrusos
El mismo estudio explica que hay un retraso en la creación de herramientas sofisticadas para la detección de intrusos en una LAN inalámbrica; pero subraya que han comenzado a cambiar, en especial los que revenden los productos de WLAN de Airespace.
La seguridad de redes debe incluir herramientas para la detección de intrusos en las porciones de red de cable e inalámbricas, porque los hackers fácilmente pueden espiar a una compañía con herramientas de supervisión inalámbricas que les facilitan captar tráfico de la red.
Donde están los fabricantes
Según expone la misma fuente, la mayoría de los fabricantes ofrecen VPN, autentificación IEEE 802.1x, VLAN dinámicas, detección de intrusos y detección de WLAN infractoras.
Hewlett-Packard y Cisco en particular están preparados para lanzar una nueva funcionalidad que cerrará el abismo que los separa de Enterasys y Alcatel.
Pero todavía existe el problema de interoperabilidad entre los productos de conmutación en lo que respecta a la seguridad basada en switches de campus.
Enterasys y Alcatel encabezan la tercera generación en seguridad de conmutación de redes y son líderes de mercado en cuanto a seguridad de redes con base en switches. A continuación el informe muestra la posición de los fabricantes sometidos a su análisis:
Alcatel. El dispositivo de asignación de cuarentena de Alcatel ocupa el segundo lugar después de Enterasys y tiene gran ventaja con respecto al resto de la competencia en lo que se refiere a su funcionalidad. Ha realizado un trabajo excelente al mejorar la funcionalidad de seguridad de redes de su plataforma de administración OmniVista. Está haciendo un buen esfuerzo por integrar redes alámbricas e inalámbricas.
Nortel. Está apenas atrás de Enterasys y Alcatel en lo que respecta a la seguridad general de las redes. Su fuerza radica en la solidez de la integración de funcionalidad de la VPN y sus switches, así como la potencia de sus servicios Optivity para crear políticas eficaces.
Cisco. Tiene herramientas para solucionar casi todos los problemas de seguridad. Ejemplo de ello es el IDS de Cisco para ruteadores y switches Catalyst 6000. Es posible que después desee colocar ruteadores habilitados con el control de admisión a la red para soportar un punto de acceso de Cisco Aironet y así controlar cualquier intruso que intente entrar a la red inalámbrica. La clave para Cisco será el tiempo que le tome entregar sus próximas funcionalidades e integrar sus diversas herramientas de seguridad de modo que se pueda establecer y aplicar un conjunto de políticas a todos sus dispositivos.
Extreme. La compañía morada ha añadido administración de redes y control por medio de políticas; pero todavía tiene la necesidad de una solución de VPN fuertemente integrada y un plan bien desarrollado para fases futuras de cuarentena de la red. Extreme adoptó la estrategia de ofrecer solamente soluciones que estén basadas en los estándares. Optar por esa posición es perfectamente razonable; pero significa que los clientes deben esperar a que los otros vendedores como Microsoft proporcionen piezas clave de cuarentena para redes antes de que Extreme pueda seguirlas con sus propios productos. Dos áreas donde Extreme ha resultado ser muy innovador y ha superado los estándares son su supervisión de control del flujo y sus protocolos patentados para garantizar alta disponibilidad.
Hewlett-Packard. Incluirá el Identity Driven Manager 1.0, que será un avance espectacular en cuanto a personalizar y autentificar a los usuarios. También es muy probable que subsane su falta de soporte a las VPN por medio de una sociedad estratégica. Debido a su herencia de OpenView es posible que HP tenga el potencial para ofrecer un paquete de administración de redes que ponga en riesgo el liderazgo de Enterasys en esa materia.