Seguridad wireless
Preparando las WLAN para soportar aplicaciones críticas
Desde que la industria ratificó el estándar 802.11b a principios de 1999, la seguridad ha sido el gran impedimento para el despliegue masivo de LAN inalámbricas (WLAN). Pero aplicando una visión amplia, integrada y flexible de la seguridad, las redes wireless también pueden estar en condiciones de soportar las aplicaciones críticas de las empresas.
Aunque los administradores y usuarios finales entienden claramente los beneficios en productividad de cortar el cable Ethernet, pocos responsables de TI se sienten cómodos enviando datos críticos a través del aire, un medio inherentemente desprotegido. El primer intento de la industria para proteger las redes inalámbricas, Wired Equivalency Protocol (WEP), no ayudó a reducir estos temores. Se logró más bien todo lo contrario cuando un grupo de estudiantes de ingeniería de la universidad californiana de Berkeley lograron decodificar el protocolo.
Para que las empresas se vuelvan realmente wireless, y aprovechen todas las ventajas que la tecnología radio ofrece, se requiere una nueva aproximación a la seguridad. Un nuevo enfoque que ha de ser lo suficientemente flexible para adaptarse a los requisitos de seguridad de los responsables de TI para soportar una gran diversidad de tipos de usuario y de dispositivos cliente. Debe ser, además, lo suficiente robusto para proteger los datos sensibles de la empresa. Y todo esto es justo lo que Alcatel ofrece con su marco de seguridad inalámbrica.
Protegiendo el espacio aéreo
En comparación con las redes cableadas, la seguridad WLAN es difícil de gestionar y no del todo segura. Frustrados, muchos departamentos de TI se han visto obligados a confiar en las tecnologías de red privada virtual (VPN) como técnica de seguridad. Pero, desgraciadamente, este tipo de enfoque, basado en la superposición, resulta inadecuado para grandes entornos wireless.
- La mayor parte de las soluciones VPN fueron diseñadas para soportar un número limitado de usuarios remotos a bajas velocidades; es decir, no están preparadas para manejar el volumen de tráfico que requeriría una empresa completamente inalámbrica.
- Esta aproximación “de fuera adentro” requiere que los administradores de TI se replanteen el flujo de tráfico de sus redes, ya que fluirá más tráfico desde el gateway VPN al corazón de la red.
- Se requieren elementos adicionales de seguridad y gestión de red, incluyendo appliances y paquetes software.
- Las soluciones IP VPN existentes no solucionan los problemas específicos de radio, como los puntos de acceso piratas (rogue) o la generación intencionada de ruido en la frecuencia.
- Las soluciones de acceso remoto no ofrecen coordinación y aplicación de políticas en toda la red, como se requiere en una solución completa.
- Las soluciones VPN existentes no fueron diseñadas para soportar entornos de trabajo y clientes heterogéneos.
Frente a estos inconvenientes, Alcatel ofrece un marco de seguridad que proporciona una aproximación sistemática a la seguridad inalámbrica, tratando las WLAN como redes críticas de negocio, y no como un servicio de acceso remoto best-effort. La solución de Alcatel incluye herramientas de gestión que unifican el enfoque de seguridad en las capas de red, enlace y física de la infraestructura de red, en vez de tratarlas como componentes o elementos separados. Por medio de una vista holística o topológica de la WLAN, esta estructura de seguridad ayuda a los administradores de red a desplegar infraestructuras inalámbricas para redes críticas de empresa de manera rápida y sencilla.
Estructura en cinco áreas
Alcatel ofrece una estructura de cinco áreas que simplifica las complejidades de gestionar seguridad WLAN heterogénea y cambiante, incluyendo una serie de herramientas y capacidades que satisfacen las necesidades más exigentes de seguridad de las grandes corporaciones y proveedores de servicio.
- 1. Certificados hardware. Se encriptan todas las comunicaciones entre los puntos de acceso, conmutadores y gestión. Todo el hardware se suministra con certificados X.509.
La seguridad no comienza una vez que se despliega un sistema; comienza cuando se construye una solución. Para cumplir requisitos rigurosos de seguridad, el proceso de fabricación de Alcatel inserta los certificados X.509 en cada uno de sus productos OmniAccess WLAN. En consecuencia, toda la comunicación entre los componentes de las series OmniAccess 1200 y 4000 de Alcatel es segura, tanto en el aire como en el cable. Junto con otros mecanismos internos de seguridad, esto evita que el sistema esté sujeto a ataques de denegación de servicio (DoS), incluso cuando el sistema arranca.
Puesto que cada componente de las series OmniAccess 1200 y 4000 contiene un certificado, la solución de Alcatel detecta automáticamente puntos de acceso autorizados y no autorizados en la red. Esto proporciona no sólo seguridad máxima, sino que evita además que los administradores tengan que agregar manualmente puntos de acceso en una base de datos de la red. A este respecto, la solución de Alcatel, además de proporcionar seguridad, también ayuda a reducir las cargas operacionales asociadas al despliegue de una WLAN.
- 2. Terminación VPN integrada. Los conmutadores WLAN de Alcatel terminan de forma segura el tráfico VPN de los clientes IPSec de las principales firmas de la industria, lo que alivia al gateway VPN de acceso remoto y ofrece un mejor rendimiento que las soluciones convencionales de acceso remoto.
Las arquitecturas convencionales de VPN fueron diseñadas para proporcionar acceso remoto sobre enlaces de baja velocidad. A tal efecto, los gateways VPN se despliegan típicamente en el extremo de la red y soportan un número limitado de usuarios simultáneos. Pero, si bien este enfoque ha demostrado ser eficaz en despliegues pequeños, difícilmente podrá escalar en grandes redes inalámbricas de empresa, y por varias razones:
- Usar la tecnología VPN existente para soportar usuarios inalámbricos supone una carga adicional para los concentradores VPN. En la mayoría de los casos, estos dispositivos no fueron diseñados para manejar centenares o millares de usuarios de red simultáneos.
- Como los concentradores VPN están situados en el borde de la red corporativa, es fácil que el núcleo de la red se congestione, ya que el tráfico de IPsec necesita atravesar la red corporativa en su camino hacia un concentrador de extremo.
- La administración de clientes se hace más pesada cuando cada usuario corporativo requiere software VPN tanto para la red wireless como para el acceso remoto.
- Cuando el tráfico VPN se transmite a un concentrador de extremo, se produce un retardo que puede obligar a hacer constantes reautenticaciones. Además de ser una molestia, esto podría impedir el despliegue de aplicaciones sensibles al tiempo, como la voz, el vídeo y los datos en tiempo real.
La solución de Alcatel resuelve estos problemas terminando las sesiones VPN directamente en la red inalámbrica, lo que permite desplegar infraestructuras VPN diferenciadas para redes inalámbricas y acceso remoto, al tiempo que se mantienen configuraciones VPN uniformes. El tráfico IPSec ya no ha de ser transportado al extremo de la red, asegurando así el máximo rendimiento de la red ( menor congestión y latencia reducida) con el mínimo esfuerzo. Y puesto que muchos de los nuevos enfoques de seguridad, como WPA, requieren acele
Aunque los administradores y usuarios finales entienden claramente los beneficios en productividad de cortar el cable Ethernet, pocos responsables de TI se sienten cómodos enviando datos críticos a través del aire, un medio inherentemente desprotegido. El primer intento de la industria para proteger las redes inalámbricas, Wired Equivalency Protocol (WEP), no ayudó a reducir estos temores. Se logró más bien todo lo contrario cuando un grupo de estudiantes de ingeniería de la universidad californiana de Berkeley lograron decodificar el protocolo.
Para que las empresas se vuelvan realmente wireless, y aprovechen todas las ventajas que la tecnología radio ofrece, se requiere una nueva aproximación a la seguridad. Un nuevo enfoque que ha de ser lo suficientemente flexible para adaptarse a los requisitos de seguridad de los responsables de TI para soportar una gran diversidad de tipos de usuario y de dispositivos cliente. Debe ser, además, lo suficiente robusto para proteger los datos sensibles de la empresa. Y todo esto es justo lo que Alcatel ofrece con su marco de seguridad inalámbrica.
Protegiendo el espacio aéreo
En comparación con las redes cableadas, la seguridad WLAN es difícil de gestionar y no del todo segura. Frustrados, muchos departamentos de TI se han visto obligados a confiar en las tecnologías de red privada virtual (VPN) como técnica de seguridad. Pero, desgraciadamente, este tipo de enfoque, basado en la superposición, resulta inadecuado para grandes entornos wireless.
- La mayor parte de las soluciones VPN fueron diseñadas para soportar un número limitado de usuarios remotos a bajas velocidades; es decir, no están preparadas para manejar el volumen de tráfico que requeriría una empresa completamente inalámbrica.
- Esta aproximación “de fuera adentro” requiere que los administradores de TI se replanteen el flujo de tráfico de sus redes, ya que fluirá más tráfico desde el gateway VPN al corazón de la red.
- Se requieren elementos adicionales de seguridad y gestión de red, incluyendo appliances y paquetes software.
- Las soluciones IP VPN existentes no solucionan los problemas específicos de radio, como los puntos de acceso piratas (rogue) o la generación intencionada de ruido en la frecuencia.
- Las soluciones de acceso remoto no ofrecen coordinación y aplicación de políticas en toda la red, como se requiere en una solución completa.
- Las soluciones VPN existentes no fueron diseñadas para soportar entornos de trabajo y clientes heterogéneos.
Frente a estos inconvenientes, Alcatel ofrece un marco de seguridad que proporciona una aproximación sistemática a la seguridad inalámbrica, tratando las WLAN como redes críticas de negocio, y no como un servicio de acceso remoto best-effort. La solución de Alcatel incluye herramientas de gestión que unifican el enfoque de seguridad en las capas de red, enlace y física de la infraestructura de red, en vez de tratarlas como componentes o elementos separados. Por medio de una vista holística o topológica de la WLAN, esta estructura de seguridad ayuda a los administradores de red a desplegar infraestructuras inalámbricas para redes críticas de empresa de manera rápida y sencilla.
Estructura en cinco áreas
Alcatel ofrece una estructura de cinco áreas que simplifica las complejidades de gestionar seguridad WLAN heterogénea y cambiante, incluyendo una serie de herramientas y capacidades que satisfacen las necesidades más exigentes de seguridad de las grandes corporaciones y proveedores de servicio.
- 1. Certificados hardware. Se encriptan todas las comunicaciones entre los puntos de acceso, conmutadores y gestión. Todo el hardware se suministra con certificados X.509.
La seguridad no comienza una vez que se despliega un sistema; comienza cuando se construye una solución. Para cumplir requisitos rigurosos de seguridad, el proceso de fabricación de Alcatel inserta los certificados X.509 en cada uno de sus productos OmniAccess WLAN. En consecuencia, toda la comunicación entre los componentes de las series OmniAccess 1200 y 4000 de Alcatel es segura, tanto en el aire como en el cable. Junto con otros mecanismos internos de seguridad, esto evita que el sistema esté sujeto a ataques de denegación de servicio (DoS), incluso cuando el sistema arranca.
Puesto que cada componente de las series OmniAccess 1200 y 4000 contiene un certificado, la solución de Alcatel detecta automáticamente puntos de acceso autorizados y no autorizados en la red. Esto proporciona no sólo seguridad máxima, sino que evita además que los administradores tengan que agregar manualmente puntos de acceso en una base de datos de la red. A este respecto, la solución de Alcatel, además de proporcionar seguridad, también ayuda a reducir las cargas operacionales asociadas al despliegue de una WLAN.
- 2. Terminación VPN integrada. Los conmutadores WLAN de Alcatel terminan de forma segura el tráfico VPN de los clientes IPSec de las principales firmas de la industria, lo que alivia al gateway VPN de acceso remoto y ofrece un mejor rendimiento que las soluciones convencionales de acceso remoto.
Las arquitecturas convencionales de VPN fueron diseñadas para proporcionar acceso remoto sobre enlaces de baja velocidad. A tal efecto, los gateways VPN se despliegan típicamente en el extremo de la red y soportan un número limitado de usuarios simultáneos. Pero, si bien este enfoque ha demostrado ser eficaz en despliegues pequeños, difícilmente podrá escalar en grandes redes inalámbricas de empresa, y por varias razones:
- Usar la tecnología VPN existente para soportar usuarios inalámbricos supone una carga adicional para los concentradores VPN. En la mayoría de los casos, estos dispositivos no fueron diseñados para manejar centenares o millares de usuarios de red simultáneos.
- Como los concentradores VPN están situados en el borde de la red corporativa, es fácil que el núcleo de la red se congestione, ya que el tráfico de IPsec necesita atravesar la red corporativa en su camino hacia un concentrador de extremo.
- La administración de clientes se hace más pesada cuando cada usuario corporativo requiere software VPN tanto para la red wireless como para el acceso remoto.
- Cuando el tráfico VPN se transmite a un concentrador de extremo, se produce un retardo que puede obligar a hacer constantes reautenticaciones. Además de ser una molestia, esto podría impedir el despliegue de aplicaciones sensibles al tiempo, como la voz, el vídeo y los datos en tiempo real.
La solución de Alcatel resuelve estos problemas terminando las sesiones VPN directamente en la red inalámbrica, lo que permite desplegar infraestructuras VPN diferenciadas para redes inalámbricas y acceso remoto, al tiempo que se mantienen configuraciones VPN uniformes. El tráfico IPSec ya no ha de ser transportado al extremo de la red, asegurando así el máximo rendimiento de la red ( menor congestión y latencia reducida) con el mínimo esfuerzo. Y puesto que muchos de los nuevos enfoques de seguridad, como WPA, requieren acele
