La seguridad como elemento inherente a la red
El diseño de una red segura era un concepto relativamente sencillo hace algunos años: básicamente consistía en intercalar en lugares apropiados determinados dispositivos específicos (cortafuegos, sistemas IDS, VPN...) para protegerse de ataques del exterior. El problema es que el diseño de las redes ha evolucionado de tal manera que estos dispositivos, aunque necesarios, ya no son suficientes pues las posibilidades de conexión se han multiplicado tanto que muchas de ellas quedan fuera del control de los sistemas tradicionales (dispositivos inalámbricos, teletrabajadores, etc).
Asimismo, los propios trabajadores de la empresa pueden ser potenciales causantes de daños, debido a varios factores: no tienen que atravesar el cortafuegos (ya están dentro); disponen generalmente de conexiones de alta velocidad, con lo que los ataques son mucho más eficaces; y poseen un conocimiento de la red y sus recursos asociados mucho más elevado que un extraño. Por tanto, un usuario de la red, por despiste, ignorancia o mala intención puede causar grandes daños a la empresa.
Diseño de redes seguras
Por todo lo anterior, parece claro que un diseño tradicional de red está abocado al fracaso si no se tiene en cuenta que, en las redes modernas, las comunicaciones no siempre atraviesan los dispositivos de seguridad, y que, en general, los usuarios tienen acceso generalizado a todos los recursos de la red, con la única barrera de entrada que supone introducir un nombre y una contraseña.
Este último punto es realmente inaudito: un trabajador en una empresa no tiene acceso normalmente a cualquier recurso, sino solamente a los que necesita para realizar su trabajo (por ejemplo, un empleado de un banco no tiene acceso a la cámara acorazada, salvo que sea necesario para desempeñar sus tareas). Sin embargo, con las redes pasa lo contrario: los usuarios pueden navegar por Internet, intercambiar información personal, utilizar el email con fines privados, e, incluso en muchos casos, instalarse aplicaciones y herramientas no corporativas sin que nadie se escandalice. En general, esto ocurre por la dificultad que entraña administrar a todos estos usuarios de una forma que podríamos llamar “personalizada” en cuestiones como cambios de ubicación, nuevas incorporaciones, etc.
Por lo tanto, la solución obvia consiste, en primer lugar, en que la empresa defina una “política aceptable del usuario”, en la que se detallen aquellos recursos con los que ha de operar para conseguir sus objetivos, así como aquéllos a los que no debe tener acceso. La aplicación de dicha política implica que los puertos de acceso (es decir, los puertos a los que se conectan los usuarios) deben ser capaces de reconocerlos y adaptar su configuración de acuerdo con la identidad de quien se conecta a él.
Francisco García
Director Técnico
Enterasys Networks
Asimismo, los propios trabajadores de la empresa pueden ser potenciales causantes de daños, debido a varios factores: no tienen que atravesar el cortafuegos (ya están dentro); disponen generalmente de conexiones de alta velocidad, con lo que los ataques son mucho más eficaces; y poseen un conocimiento de la red y sus recursos asociados mucho más elevado que un extraño. Por tanto, un usuario de la red, por despiste, ignorancia o mala intención puede causar grandes daños a la empresa.
Diseño de redes seguras
Por todo lo anterior, parece claro que un diseño tradicional de red está abocado al fracaso si no se tiene en cuenta que, en las redes modernas, las comunicaciones no siempre atraviesan los dispositivos de seguridad, y que, en general, los usuarios tienen acceso generalizado a todos los recursos de la red, con la única barrera de entrada que supone introducir un nombre y una contraseña.
Este último punto es realmente inaudito: un trabajador en una empresa no tiene acceso normalmente a cualquier recurso, sino solamente a los que necesita para realizar su trabajo (por ejemplo, un empleado de un banco no tiene acceso a la cámara acorazada, salvo que sea necesario para desempeñar sus tareas). Sin embargo, con las redes pasa lo contrario: los usuarios pueden navegar por Internet, intercambiar información personal, utilizar el email con fines privados, e, incluso en muchos casos, instalarse aplicaciones y herramientas no corporativas sin que nadie se escandalice. En general, esto ocurre por la dificultad que entraña administrar a todos estos usuarios de una forma que podríamos llamar “personalizada” en cuestiones como cambios de ubicación, nuevas incorporaciones, etc.
Por lo tanto, la solución obvia consiste, en primer lugar, en que la empresa defina una “política aceptable del usuario”, en la que se detallen aquellos recursos con los que ha de operar para conseguir sus objetivos, así como aquéllos a los que no debe tener acceso. La aplicación de dicha política implica que los puertos de acceso (es decir, los puertos a los que se conectan los usuarios) deben ser capaces de reconocerlos y adaptar su configuración de acuerdo con la identidad de quien se conecta a él.
Francisco García
Director Técnico
Enterasys Networks
