Alcatel CrystalSec 2004
Creando un entorno realmente seguro
Alcatel CrystalSec 2004 crea un entorno seguro donde las piezas esenciales de la infraestructura de seguridad trabajan juntas para crear una barrera flexible, adaptable y proactiva capaz de frustrar los ataques. Al mismo tiempo, reduce al mínimo el impacto en el rendimiento de la red y permanece transparente a los usuarios.
Abierto a dispositivos de terceros y otras herramientas de seguridad, Alcatel CrystalSec 2004 extiende el modelo de seguridad convencional para cubrir tres áreas: seguridad embebida, seguridad habilitada y seguridad gestionada. Cada una por separado tiene sus propias fuerzas y debilidades, pero si se despliegan y se configuran para trabajar juntas, crean una relación cooperativa que permite que las fuerzas de una cubran los puntos flacos de otra.
- Seguridad embebida en la red. La seguridad embebida está relacionada con las funciones integradas en el conmutador, como las de LAN virtual (VLAN), protección de dispositivo, protección de protocolo, filtrado de paquetes, partición de la red y autenticación. Típicamente, este tipo de seguridad es reactiva a condiciones y a actividades de la red tales como el acceso al puerto; también sirve peticiones de usuarios, como, por ejemplo, en el caso de la autenticación. Su eficiencia y utilidad se deben a que está formada por funciones construidas en la red o por servicios automatizados de forma estándar. Sin embargo, tiene poca o ninguna visibilidad en otras capas de red superiores y, en consecuencia, no puede reaccionar ante situaciones para las que no ha sido configurada originariamente.
- Seguridad habilitada en la red. Las funciones de seguridad habilitada regulan el acceso al conmutador a través de dispositivos externos a la infraestructura de red, como Comprobación de la Integridad del PC (Host Integrity Check), sistemas de detección y prevención de intrusiones, firewalls y antivirus. Es tanto activa como reactiva. Los componentes activos pueden buscar y detener ataques a la red antes de que comiencen –como, por ejemplo, en el caso de un virus enviado por el email–, o pueden reaccionar ante un ataque, como cuando un IDS/IPS detecta actividad maliciosa e informa al administrador.
Cada herramienta de seguridad puede detener muchos ataques individualmente, pero ninguna abarca de una manera amplia el seguimiento y solución de la raíz del problema. Por ejemplo, cuando el ordenador de un usuario se infecta con un virus y envía emails infectados, al tiempo que sondea la red en busca de otras víctimas potenciales, si se detecta el tráfico sospechoso con un firewall o un IDS/IPS, la red puede detener el escaneo, y así parar el virus. Un firewall puede evitar el escaneo de otros segmentos de la red pero no puede evitar que un PC escanee el mismo segmento y lo infecte. Un IDS/IPS sólo puede alertar al administrador, que será el que tenga que desactivar el puerto de acceso. La capa de seguridad no puede eliminar el virus ni actualizar el software en el PC infectado.
Hay varios modos de compensar la carencia de la cobertura de este ejemplo implementando un Host Integrity Check para evitar que los usuarios se registren en la red si no han instalado el software de antivirus o de firewall. Sin embargo, si se niega a los usuarios el acceso a la red, ¿cómo pueden conseguir el software necesario? No podrán a menos que alguien se lo instale físicamente desde un CD u otro dispositivo. Este problema se magnifica al tratar usuarios remotos o móviles.
Aunque ocasionalmente no sea agradable para el usuario, el ejemplo citado muestra claramente que la seguridad habilitada es eficaz. Un inconveniente es que este tipo de seguridad se ocupa solamente de los síntomas del problema, no de la raíz que lo genera. Y al contrario que la seguridad embebida, la seguridad habilitada tiene poca visibilidad o control sobre niveles inferiores de la red. Incluso disponiendo de múltiples técnicas y capas de seguridad, si las técnicas trabajan de forma aislada, seguirán existiendo agujeros en la infraestructura de seguridad.
La solución consiste en permitir que las diversas capas de seguridad interactúen entre sí. Éste es el principio de una estrategia de seguridad proactiva que cubre los agujeros de seguridad, y que, además de resultar transparente para el usuario medio, mejora la productividad. Sin embargo, sin inteligencia, la cooperación entre estas capas de seguridad limita seriamente su potencial utilidad. Por ello, la seguridad de red gestionada proporciona la inteligencia necesaria para permitir que la infraestructura de seguridad tome decisiones automatizadas basadas en las necesidades de los administradores de la red.
- Seguridad de red gestionada. La seguridad gestionada convencional proporciona una manera de supervisar y de regular tráfico hacia y a través del conmutador. Es útil para recoger estadísticas de la red y reaccionar a los ataques detectados, pero a menudo descarga en un administrador las tareas de responder a las alarmas, abriendo, por lo tanto, la posibilidad de que un atacante acceda antes de que la red pueda reaccionar. En este sentido, la adición de políticas de seguridad ahorra tiempo al automatizar muchas tareas que requerirían previamente la intervención del administrador; también aumenta la seguridad al eliminar errores humanos.
Cuando, por ejemplo, se gestionan puertos dentro de una red es posible crear una política que permita o deniegue el acceso a la red en función de la dirección MAC. Sin la gestión, cada conmutador de la red tendría que ser configurado manualmente con direcciones MAC y políticas. Por el contrario, el software de gestión permite que un administrador automatice la tarea de actualizar los conmutadores y reduce la posibilidad de un error manual.
Al ampliar el foco más allá del conmutador LAN, Alcatel proporciona a los administradores un modo más flexible de implementar la seguridad en la red. Un enfoque basado en estándares también ayuda a conseguir una solución no propietaria, creando en última instancia una red más segura y más modular, al tiempo que se ahorra tiempo y se reducen los costes totales de explotación de la red. CrystalSec 2004 enlaza las funciones de seguridad embebida, habilitada y gestionada, para crear una solución de seguridad cohesionada, permitiendo así tapar los agujeros abiertos en implementaciones previas de seguridad por capas.
- Seguridad gestionada proactiva. Seguridad gestionada proactiva Si se miran todas las piezas del rompecabezas, cada parte está compuesta por un conjunto de herramientas de protección. El problema surge cuando dichas herramientas no están integradas: aparecen agujeros en la estructura de seguridad al servicio de atacantes expertos. ¿Cómo se combinan los elementos de seguridad embebida, habilitada y gestionada para cerrar esos agujeros? La solución idónea es utilizar políticas.
La seguridad gestionada utiliza con éxito políticas para manejar las infraestructuras de red porque son una manera semiautomatizada de reaccionar a las condiciones de la red, según lo explicado más arriba. Sin embargo, las políticas pueden utilizar entradas de otros dispositivos; todo lo que se precisa es una manera de alimentar al sistema de gestión con la información pertinente. Por lo tanto, será posible utilizar dispositivos de seguridad habilitados para recopilar la información sobre la red que ellos no pueden manejar (por ejemplo, en el caso de un IDS/IPS) y pasarla al sistema de gestión. Dicha información puede ser aplicada e
Abierto a dispositivos de terceros y otras herramientas de seguridad, Alcatel CrystalSec 2004 extiende el modelo de seguridad convencional para cubrir tres áreas: seguridad embebida, seguridad habilitada y seguridad gestionada. Cada una por separado tiene sus propias fuerzas y debilidades, pero si se despliegan y se configuran para trabajar juntas, crean una relación cooperativa que permite que las fuerzas de una cubran los puntos flacos de otra.
- Seguridad embebida en la red. La seguridad embebida está relacionada con las funciones integradas en el conmutador, como las de LAN virtual (VLAN), protección de dispositivo, protección de protocolo, filtrado de paquetes, partición de la red y autenticación. Típicamente, este tipo de seguridad es reactiva a condiciones y a actividades de la red tales como el acceso al puerto; también sirve peticiones de usuarios, como, por ejemplo, en el caso de la autenticación. Su eficiencia y utilidad se deben a que está formada por funciones construidas en la red o por servicios automatizados de forma estándar. Sin embargo, tiene poca o ninguna visibilidad en otras capas de red superiores y, en consecuencia, no puede reaccionar ante situaciones para las que no ha sido configurada originariamente.
- Seguridad habilitada en la red. Las funciones de seguridad habilitada regulan el acceso al conmutador a través de dispositivos externos a la infraestructura de red, como Comprobación de la Integridad del PC (Host Integrity Check), sistemas de detección y prevención de intrusiones, firewalls y antivirus. Es tanto activa como reactiva. Los componentes activos pueden buscar y detener ataques a la red antes de que comiencen –como, por ejemplo, en el caso de un virus enviado por el email–, o pueden reaccionar ante un ataque, como cuando un IDS/IPS detecta actividad maliciosa e informa al administrador.
Cada herramienta de seguridad puede detener muchos ataques individualmente, pero ninguna abarca de una manera amplia el seguimiento y solución de la raíz del problema. Por ejemplo, cuando el ordenador de un usuario se infecta con un virus y envía emails infectados, al tiempo que sondea la red en busca de otras víctimas potenciales, si se detecta el tráfico sospechoso con un firewall o un IDS/IPS, la red puede detener el escaneo, y así parar el virus. Un firewall puede evitar el escaneo de otros segmentos de la red pero no puede evitar que un PC escanee el mismo segmento y lo infecte. Un IDS/IPS sólo puede alertar al administrador, que será el que tenga que desactivar el puerto de acceso. La capa de seguridad no puede eliminar el virus ni actualizar el software en el PC infectado.
Hay varios modos de compensar la carencia de la cobertura de este ejemplo implementando un Host Integrity Check para evitar que los usuarios se registren en la red si no han instalado el software de antivirus o de firewall. Sin embargo, si se niega a los usuarios el acceso a la red, ¿cómo pueden conseguir el software necesario? No podrán a menos que alguien se lo instale físicamente desde un CD u otro dispositivo. Este problema se magnifica al tratar usuarios remotos o móviles.
Aunque ocasionalmente no sea agradable para el usuario, el ejemplo citado muestra claramente que la seguridad habilitada es eficaz. Un inconveniente es que este tipo de seguridad se ocupa solamente de los síntomas del problema, no de la raíz que lo genera. Y al contrario que la seguridad embebida, la seguridad habilitada tiene poca visibilidad o control sobre niveles inferiores de la red. Incluso disponiendo de múltiples técnicas y capas de seguridad, si las técnicas trabajan de forma aislada, seguirán existiendo agujeros en la infraestructura de seguridad.
La solución consiste en permitir que las diversas capas de seguridad interactúen entre sí. Éste es el principio de una estrategia de seguridad proactiva que cubre los agujeros de seguridad, y que, además de resultar transparente para el usuario medio, mejora la productividad. Sin embargo, sin inteligencia, la cooperación entre estas capas de seguridad limita seriamente su potencial utilidad. Por ello, la seguridad de red gestionada proporciona la inteligencia necesaria para permitir que la infraestructura de seguridad tome decisiones automatizadas basadas en las necesidades de los administradores de la red.
- Seguridad de red gestionada. La seguridad gestionada convencional proporciona una manera de supervisar y de regular tráfico hacia y a través del conmutador. Es útil para recoger estadísticas de la red y reaccionar a los ataques detectados, pero a menudo descarga en un administrador las tareas de responder a las alarmas, abriendo, por lo tanto, la posibilidad de que un atacante acceda antes de que la red pueda reaccionar. En este sentido, la adición de políticas de seguridad ahorra tiempo al automatizar muchas tareas que requerirían previamente la intervención del administrador; también aumenta la seguridad al eliminar errores humanos.
Cuando, por ejemplo, se gestionan puertos dentro de una red es posible crear una política que permita o deniegue el acceso a la red en función de la dirección MAC. Sin la gestión, cada conmutador de la red tendría que ser configurado manualmente con direcciones MAC y políticas. Por el contrario, el software de gestión permite que un administrador automatice la tarea de actualizar los conmutadores y reduce la posibilidad de un error manual.
Al ampliar el foco más allá del conmutador LAN, Alcatel proporciona a los administradores un modo más flexible de implementar la seguridad en la red. Un enfoque basado en estándares también ayuda a conseguir una solución no propietaria, creando en última instancia una red más segura y más modular, al tiempo que se ahorra tiempo y se reducen los costes totales de explotación de la red. CrystalSec 2004 enlaza las funciones de seguridad embebida, habilitada y gestionada, para crear una solución de seguridad cohesionada, permitiendo así tapar los agujeros abiertos en implementaciones previas de seguridad por capas.
- Seguridad gestionada proactiva. Seguridad gestionada proactiva Si se miran todas las piezas del rompecabezas, cada parte está compuesta por un conjunto de herramientas de protección. El problema surge cuando dichas herramientas no están integradas: aparecen agujeros en la estructura de seguridad al servicio de atacantes expertos. ¿Cómo se combinan los elementos de seguridad embebida, habilitada y gestionada para cerrar esos agujeros? La solución idónea es utilizar políticas.
La seguridad gestionada utiliza con éxito políticas para manejar las infraestructuras de red porque son una manera semiautomatizada de reaccionar a las condiciones de la red, según lo explicado más arriba. Sin embargo, las políticas pueden utilizar entradas de otros dispositivos; todo lo que se precisa es una manera de alimentar al sistema de gestión con la información pertinente. Por lo tanto, será posible utilizar dispositivos de seguridad habilitados para recopilar la información sobre la red que ellos no pueden manejar (por ejemplo, en el caso de un IDS/IPS) y pasarla al sistema de gestión. Dicha información puede ser aplicada e
