Movilidad segura y dinámica
El dinamismo y la movilidad de las comunicaciones de hoy plantean a las empresas nuevos retos de seguridad tanto en entornos cableados como inalámbricos. La respuesta a estos nuevos riesgos exige la adopción de soluciones innovadoras que protejan los recursos y la información corporativa mientras se facilita su acceso y disponibilidad a las personas adecuadas. Esta es la apuesta de Alcatel con su enfoque de seguridad de red basado en Access Guardian y CristalSec.
En la actualidad, las comunicaciones de empresa son cada vez más dinámicas y móviles debido al uso de PDAs, teléfonos y PCs portátiles, tanto sobre redes de área local como sobre redes inalámbricas y redes públicas. Por ello, crece la necesidad de mantener la información segura mientras viaja entre y sobre estos dispositivos, forzando a las organizaciones a implementar dentro de su red nuevos mecanismos que les permitan soportar la movilidad sin abrir por ello una brecha de seguridad.
Ya no basta con disponer de un buen firewall perimetral que proteja la red y los recursos que existen en su interior; está comprobado que la mayoría de los ataques vienen de dentro. Ni siquiera tener un buen IDS/IPS nos asegura una respuesta eficiente y a tiempo ante cualquier eventualidad. Necesitamos saber quién y cómo está accediendo en cualquier momento para poder así controlar todo ese tráfico, y hacerlo de forma eficiente, sin que suponga un coste adicional en tiempo ni en recursos que pudiera hacerlo inabordable.
En este nuevo escenario de seguridad, la red de la empresa puede y debe tener un papel más activo en la protección de la disponibilidad y privacidad de la información. Es la infraestructura de red la que ha de impedir a través de los mecanismos adecuados los problemas de seguridad, proporcionando un acceso basado en la gestión de la identidad, protegiendo los PCs de virus y ataques, y detectando y controlando las intrusiones. Sin embargo, la gran mayoría de las organizaciones se mueven con soluciones convencionales que no garantizan estas prestaciones. Los conmutadores tradicionales no proporcionan la riqueza de funcionalidades necesarias para convertirse en una solución eficiente y efectiva de la gestión de la identidad y seguridad basada en la infraestructura de red.
Algunas organizaciones pueden pensar que para ellas no ha llegado todavía el momento de aplicar estos mecanismos en su red, que se trata de una propuesta interesante sólo para grandes compañías. Se equivocan. Y la prueba está en la cada vez más amplia presencia entre las empresas de la convergencia de voz y datos en una única infraestructura de red IP. En este entorno, es común conectar el teléfono y el PC al mismo puerto de red. Sin embargo, los conmutadores LAN más convencionales no proporcionan mecanismos para autenticar múltiples clientes en un único puerto.
Para dar respuesta a esta necesidad, Alcatel ha desarrollado un mecanismo de autenticación autosense denominado Access Guardian, que se encuadra dentro del marco de seguridad CrystalSec del fabricante y se implementa en toda su familia de productos OmniSwitch. Desplegando esta autenticación autosense, el administrador de la red puede ahorrar costosos recursos de operaciones al eliminar la necesidad de configurar grupos de puertos en función del método de autenticación soportado por el dispositivo y/o el usuario que accederá a él. Así, gracias a esta tecnología, los conmutadores Omni-Switch pueden soportar múltiples métodos de autenticación en un único puerto sin necesidad de trabajos de administración.
Servicios de seguridad de CrystalSec
Desde la perspectiva del administrador, los servicios de seguridad que la red debe ofrecer respecto del usuario final se corresponderían con cinco necesidades fundamentales, que, a su vez, son cubiertas por Alcatel mediante otras tantas funcionalidades de CrystalSec, garantizando la identificación de quien se conecta a la red (Access Guardian) y comprobando si cumple las políticas de seguridad de la empresa (Host Integrity). Además, es posible darle paso directo sólo a aquello a lo que tiene derecho según esas políticas (acceso basado en roles); ver qué es lo que está haciendo una vez ha entrado, para detectar intrusos (detección de intrusiones); y poner al usuario en cuarentena y/o aplicar los remedios oportunos en caso de que fuera necesario (Quarantine Manager).
La familia OmniSwitch ha sido desarrollada con el propósito de satisfacer todas y cada una de estas necesidades a través de Access Guardian. En primer lugar, para saber quién se conecta a la red en cada momento y gestionar de forma eficiente su acceso, Access Guardian proporciona una solución proactiva de seguridad de red que aporta interoperabilidad inteligente entre dispositivos basados en estándares. Esta solución ofrece acceso a la red basado en la identidad del usuario y/o del dispositivo para permitir la aplicación de políticas de seguridad de dispositivo y de red, lo que aporta un aumento de la privacidad y de la disponibilidad de las comunicaciones. Así, autentica a los distintos tipos de usuarios de red (empleados internos o externos, invitados...), valida la conformidad de sus PCs con las políticas de seguridad, y, en consecuencia, proporciona derechos de acceso en función del rol del usuario.
Con Access Guardian, en definitiva, la red es capaz de impedir ataques de virus o gusanos, asegurar el rendimiento, proteger los dispositivos de telefonía IP independientemente del fabricante, y proporcionar servicios de red a todos los usuarios autorizados. Y, al mismo tiempo, protege la privacidad y disponibilidad de las comunicaciones de la empresa.
Control de accesos y autenticación en Access Guardian
Access Guardian combina las características de control de acceso y autenticación de los conmutadores OmniSwitch y controladores wireless OmniAccess con servicios de directorio basados en estándares, como Funk/Juniper Authentication Server (RADIUS) y Microsoft Internet Authentication Server (IAS), Bradford y Lucent, entre otros. De este modo, aporta un método de autenticación autosensing y multicliente en cualquier puerto del conmutador, tanto por 802.1x, como por autenticación MAC, group mobility o VLAN por defecto.
Gracias a este modelo, se elimina por completo el esfuerzo añadido de gestión asociado al despliegue de 802.1x (se puede realizar sin necesidad del esfuerzo inicial de actualizar toda la base de usuarios) o a la incorporación de soporte de dispositivos antiguos, dado que éstos son autenticados por dirección MAC o por protocolo, sin necesidad de cargar un cliente. Esto facilita a la empresa la posibilidad de pasar de actuaciones tipo “permitir todo, denegar acceso a los malos” a otras basadas en “denegar todo, permitir acceso a los buenos”, y el administrador tendrá el control del acceso de los usuarios.
Alcatel CrystalSec 2006 ha evolucionado para resolver todas las necesidades de seguridad adoptando un enfoque abierto, basado en estándares y un diseño modular ampliable. De ahí que Access Guardian una a la comprobación de identidad llevada a cabo por la autenticación de red, la comprobación de la integridad del host (Host Integrity Check), a través de la aplicación de políticas de seguridad de host.
Integridad de host
Alcatel ha desarrollado su propuesta con la firma convicción de que la integración sin fisuras del control de acceso de red y la comprobación de la integridad de hos
En la actualidad, las comunicaciones de empresa son cada vez más dinámicas y móviles debido al uso de PDAs, teléfonos y PCs portátiles, tanto sobre redes de área local como sobre redes inalámbricas y redes públicas. Por ello, crece la necesidad de mantener la información segura mientras viaja entre y sobre estos dispositivos, forzando a las organizaciones a implementar dentro de su red nuevos mecanismos que les permitan soportar la movilidad sin abrir por ello una brecha de seguridad.
Ya no basta con disponer de un buen firewall perimetral que proteja la red y los recursos que existen en su interior; está comprobado que la mayoría de los ataques vienen de dentro. Ni siquiera tener un buen IDS/IPS nos asegura una respuesta eficiente y a tiempo ante cualquier eventualidad. Necesitamos saber quién y cómo está accediendo en cualquier momento para poder así controlar todo ese tráfico, y hacerlo de forma eficiente, sin que suponga un coste adicional en tiempo ni en recursos que pudiera hacerlo inabordable.
En este nuevo escenario de seguridad, la red de la empresa puede y debe tener un papel más activo en la protección de la disponibilidad y privacidad de la información. Es la infraestructura de red la que ha de impedir a través de los mecanismos adecuados los problemas de seguridad, proporcionando un acceso basado en la gestión de la identidad, protegiendo los PCs de virus y ataques, y detectando y controlando las intrusiones. Sin embargo, la gran mayoría de las organizaciones se mueven con soluciones convencionales que no garantizan estas prestaciones. Los conmutadores tradicionales no proporcionan la riqueza de funcionalidades necesarias para convertirse en una solución eficiente y efectiva de la gestión de la identidad y seguridad basada en la infraestructura de red.
Algunas organizaciones pueden pensar que para ellas no ha llegado todavía el momento de aplicar estos mecanismos en su red, que se trata de una propuesta interesante sólo para grandes compañías. Se equivocan. Y la prueba está en la cada vez más amplia presencia entre las empresas de la convergencia de voz y datos en una única infraestructura de red IP. En este entorno, es común conectar el teléfono y el PC al mismo puerto de red. Sin embargo, los conmutadores LAN más convencionales no proporcionan mecanismos para autenticar múltiples clientes en un único puerto.
Para dar respuesta a esta necesidad, Alcatel ha desarrollado un mecanismo de autenticación autosense denominado Access Guardian, que se encuadra dentro del marco de seguridad CrystalSec del fabricante y se implementa en toda su familia de productos OmniSwitch. Desplegando esta autenticación autosense, el administrador de la red puede ahorrar costosos recursos de operaciones al eliminar la necesidad de configurar grupos de puertos en función del método de autenticación soportado por el dispositivo y/o el usuario que accederá a él. Así, gracias a esta tecnología, los conmutadores Omni-Switch pueden soportar múltiples métodos de autenticación en un único puerto sin necesidad de trabajos de administración.
Servicios de seguridad de CrystalSec
Desde la perspectiva del administrador, los servicios de seguridad que la red debe ofrecer respecto del usuario final se corresponderían con cinco necesidades fundamentales, que, a su vez, son cubiertas por Alcatel mediante otras tantas funcionalidades de CrystalSec, garantizando la identificación de quien se conecta a la red (Access Guardian) y comprobando si cumple las políticas de seguridad de la empresa (Host Integrity). Además, es posible darle paso directo sólo a aquello a lo que tiene derecho según esas políticas (acceso basado en roles); ver qué es lo que está haciendo una vez ha entrado, para detectar intrusos (detección de intrusiones); y poner al usuario en cuarentena y/o aplicar los remedios oportunos en caso de que fuera necesario (Quarantine Manager).
La familia OmniSwitch ha sido desarrollada con el propósito de satisfacer todas y cada una de estas necesidades a través de Access Guardian. En primer lugar, para saber quién se conecta a la red en cada momento y gestionar de forma eficiente su acceso, Access Guardian proporciona una solución proactiva de seguridad de red que aporta interoperabilidad inteligente entre dispositivos basados en estándares. Esta solución ofrece acceso a la red basado en la identidad del usuario y/o del dispositivo para permitir la aplicación de políticas de seguridad de dispositivo y de red, lo que aporta un aumento de la privacidad y de la disponibilidad de las comunicaciones. Así, autentica a los distintos tipos de usuarios de red (empleados internos o externos, invitados...), valida la conformidad de sus PCs con las políticas de seguridad, y, en consecuencia, proporciona derechos de acceso en función del rol del usuario.
Con Access Guardian, en definitiva, la red es capaz de impedir ataques de virus o gusanos, asegurar el rendimiento, proteger los dispositivos de telefonía IP independientemente del fabricante, y proporcionar servicios de red a todos los usuarios autorizados. Y, al mismo tiempo, protege la privacidad y disponibilidad de las comunicaciones de la empresa.
Control de accesos y autenticación en Access Guardian
Access Guardian combina las características de control de acceso y autenticación de los conmutadores OmniSwitch y controladores wireless OmniAccess con servicios de directorio basados en estándares, como Funk/Juniper Authentication Server (RADIUS) y Microsoft Internet Authentication Server (IAS), Bradford y Lucent, entre otros. De este modo, aporta un método de autenticación autosensing y multicliente en cualquier puerto del conmutador, tanto por 802.1x, como por autenticación MAC, group mobility o VLAN por defecto.
Gracias a este modelo, se elimina por completo el esfuerzo añadido de gestión asociado al despliegue de 802.1x (se puede realizar sin necesidad del esfuerzo inicial de actualizar toda la base de usuarios) o a la incorporación de soporte de dispositivos antiguos, dado que éstos son autenticados por dirección MAC o por protocolo, sin necesidad de cargar un cliente. Esto facilita a la empresa la posibilidad de pasar de actuaciones tipo “permitir todo, denegar acceso a los malos” a otras basadas en “denegar todo, permitir acceso a los buenos”, y el administrador tendrá el control del acceso de los usuarios.
Alcatel CrystalSec 2006 ha evolucionado para resolver todas las necesidades de seguridad adoptando un enfoque abierto, basado en estándares y un diseño modular ampliable. De ahí que Access Guardian una a la comprobación de identidad llevada a cabo por la autenticación de red, la comprobación de la integridad del host (Host Integrity Check), a través de la aplicación de políticas de seguridad de host.
Integridad de host
Alcatel ha desarrollado su propuesta con la firma convicción de que la integración sin fisuras del control de acceso de red y la comprobación de la integridad de hos
