José Tormo, Data Sales Manager de Alcatel ESD para España y Portugal

"Los nuevos retos de seguridad exigen securizar la red en los switches de acceso"

Con CrystalSec, Alcatel da respuesta a los nuevos retos de seguridad que suponen las nuevas tendencias en comunicaciones, como la movilidad y las aplicaciones convergentes. “Nuestra estrategia CrystalSec ve la interacción entre red y seguridad desde la perspectiva del conmutador de red, pues es éste el elemento por el que fluye todo el tráfico y, por tanto, donde se han de concentrar los esfuerzos de securización”.

La creciente tendencia hacia la movilidad y la aparición de nuevas aplicaciones convergentes, como VoIP, plantean nuevos retos de seguridad a las empresas. ¿Cuáles son fundamentalmente estos riesgos?
- Es evidente que la movilidad genera una mayor productividad de los usuarios y una mayor reactividad de la empresa. Pero estas ventajas obvias no ocultan las amenazas que esto supone para los sistemas de información corporativos. De siempre se ha considerado que los usuarios de una red eran de confianza y que las amenazas llegaban desde el exterior. Pero esto ya no es así; los propios usuarios internos pueden ser usados de forma indirecta para atacar la red y sus recursos. Más aún cuando estos usuarios pueden conectarse desde cualquier punto de la red y con cualquier dispositivo. Y estos dispositivos, que en un momento dado han podido ser atacados, pueden ser usados para expandir el ataque en forma de gusanos que pueden generar, por ejemplo, ataques de denegación de servicio (DoS) y hasta llegar a dejar la red inoperativa.
Otro de los riesgos es el robo de información, bien a través de programas de tipo spyware, capaces de recopilar claves de acceso a sistemas, cuentas bancarias, etc, bien mediante la suplantación de la identidad de usuarios o con técnicas man in the middle para modificar la información transmitida por otro usuario.
El caso de la telefonía IP debe de ser visto como una aplicación más en la red; eso sí, una aplicación especial que precisa de unos requisitos de alta disponibilidad en la red, mecanismos de QoS y mecanismos de seguridad que eviten que dispositivos como los teléfonos IP puedan ser usados para realizar ataques. Evitar estos y otros riesgos exige securizar la red en los switches de acceso, haciendo que sea ésta quien identifique al usuario, al dispositivo y restringa el “a qué” y “cuándo se puede acceder”.

¿Qué riesgos específicos de seguridad plantean, por su propia naturaleza, las redes wíreless?
- Aunque en las redes wireless existen problemas de seguridad similares a los de las redes cableadas, la propia naturaleza de la redes wireless las convierte en un objetivo muy atractivo para los intrusos. Muchos de ellos sólo buscan acceso gratuito a Internet. Otros, sin embargo, intentan obtener acceso a la red de una empresa con intenciones aviesas, como robar datos, interrumpir las comunicaciones legítimas o dañar los datos. Por eso creo que la intrusión es el mayor riesgo de seguridad para las redes wireless, ya que es por ahí por donde van a empezar todos los ataques a la red.
En cuanto a ataques específicamente wireless de denegación de servicio, tenemos, por ejemplo, el envío masivo de tramas de gestión a los puntos de acceso (APs), como tramas de autenticación/asociación que intentan llenar las tablas de asociación de los APs. O el spoofing de tramas de desasociación para desconectar a los clientes wireless. las respuestas con SSID nulo, las tramas simulando APs ficticios o la inundación por mensajes de autenticación EAP. Además, muchos ataques de impersonación o de man-in-the-middle pueden empezar en wireless mediante la utilización o inserción de APs ilegales o mal configurados (entre ellos, AP rogue, AP honeypot…). Por ello, es important disponer de herramientas que detecten y protejan de estos APs.

¿Están preparadas las redes convencionales para hacer frente a estos nuevos problemas de seguridad?
- La respuesta es no. Las redes convencionales no disponen de los mecanismos adecuados para llevar el control necesario de los accesos. Muchos fabricantes están implementando en sus conmutadores mecanismos de autenticación 802.1x, pero a todas luces esto es insuficiente porque, primero, no soluciona el problema de la gestión de la movilidad y, segundo y más importante, la seguridad no supone sólo autenticar al usuario, sino que implica además controlar a donde accede ese usuario y examinar los flujos generados para, en caso necesario, activar mecanismos de detección de intrusión y cuarentena que protejan la red de ataques inesperados.

¿Cual es la estrategia de seguridad de Alcatel?
- La estrategia de Alcatel en seguridad, denominada CrystalSec, ve la interacción entre red y seguridad desde la perspectiva del conmutador de red, pues es éste el elemento por el que fluye todo el tráfico y, por tanto, donde se han de concentrar los esfuerzos de seguridad. La seguridad hay que aplicarla a tres niveles: en el conmutador, aplicando mecanismos de defensa ante ataques DoS; hacia el conmutador, garantizando la seguridad del tráfico de gestión con mecanismos de gestión basada en roles, soporte de SSH, SSL, y SNMPv3; y a través del conmutador, con mecanismos de alta disponibilidad y operación continua, acceso a la red basado en políticas de usuario y gestión de la intrusión y la cuarentena

¿Qué ofrece Alcatel de novedoso en este sentido?
- Dentro de la estrategia CrystalSec es el nivel de seguridad “a través del conmutador” el que nos posiciona un paso por delante en cuanto a seguridad de red se refiere. A este nivel, implementamos los mecanismos de seguridad en el switch y en la plataforma de gestión OmniVista, primero a nivel de acceso con Access Guardian, que proporciona autenticación auto-sensing independiente del dispositivo y del mecanismo de autenticación que se usen para acceder a la red, mecanismos de chequeo de integridad de host, VLAN y ACL basados en roles. Y después con Quarantine Manager que aporta detección de intrusión, y contención y gestión de la cuarentena tanto en redes wired como wireless

¿Qué ventajas ofrece el enfoque de Alcatel frente a otras alternativas del mercado?
- En primer lugar, la autenticación autosensing nos permite autenticar cualquier tipo de dispositivo con dirección MAC (ya sea un PC, teléfono IP, punto de acceso wireless, cámara IP, impresora o XBox, entre otras muchas posibilidades) en cualquier puerto de la red sin una definición previa en la misma. Después, al tener integrado el sFlow en los ASIC de los conmutadores, permite analizar tráficos en tiempo real y a velocidad del cable, y, por consiguiente, detectar patrones de tráficos maliciosos. Esto permite enviar alertas al módulo de cuarentena de Omnivista, que es capaz de actuar de forma automática y sin intervención del gestor de red para aislar usuarios “contaminantes”

¿Cómo se implementa la propuesta de seguridad de la compañía en sus soluciones de redes?
- Somos conscientes de que normalmente las redes no son homogéneas, es decir, están formadas por equipos de distintos fabricantes con los que también es necesario interactuar. Por ello, toda la tecnología de Alcatel está basada en estándares, tanto en los mecanismos de autenticación (por 802.1x, por MAC, por portal cautivo) y en el sFlow como en los mecanismos de cuarentena, ya que interactuamos sobre cualquier conmutador que disponga de MIB II. De esta forma, la plataforma de gestión de Alcatel OmniVist

Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital