Esta web utiliza cookies, puede ver nuestra la política de cookies aquí. Si continuas navegando está aceptándola Aceptar
Política de cookies +
EN ES

Usted está en: Inicio// Artículos de Opinión

Articulo de Opinión
  • Securización de redes Wireless en entornos de movilidad.

  • 11/10/2016 - Ángel Arias. Sales Engineer Iberia. Aerohive

  • Factores a tener en cuenta cuando se quieren desplegar redes Wi-Fi seguras en entornos de movilidad.


  • Valoración.

  • El objetivo de este artículo es mostrar los factores a tener en cuenta cuando se quieren desplegar redes Wi-Fi seguras en entornos de movilidad.

       

    Para ello, se debería de empezar por los conceptos básicos en los que cuando todos los responsables de IT están preocupados por la seguridad, muchas empresas carecen de un documento que refleje el sinfín de políticas de seguridad básicas para desplegar sus redes. Sí, la verdad es que decir sinfín a lo mejor suena muy catastrófico - la seguridad es absoluta y seguirá siendo, un concepto abstracto, teórico. Los hackers siempre están ocupados explorando vulnerabilidades potenciales, así que nuestro objetivo debe ser hacer la seguridad muy fiable, y tan fuerte, que todos menos los “ladrones de información” más peligrosos se den por vencidos a la hora de conseguir ese objeto tan valioso que buscan.

     

    Sin embargo, cualquier estrategia de seguridad tiene que comenzar con un documento que incluye tres elementos principales:

     

    • Una definición de cuál es la información más sensible y por lo tanto debe de ser securizada.
    • ¿Quién puede tener acceso a esta información sensible y bajo qué circunstancias.
    • ¿Qué hacer en caso de una violación? Veamos cada uno de estos en un poco más de detalle.

     

    ¿Qué datos tienen que ser securizados?

     

    En primer lugar, no toda la información, dentro de casi cualquier empresa, es objeto de ser securizada. Por lo general, hay poco valor estratégico en el menú de una cafetería o una notificación de que los viernes es el “casual-day”. Pero, teniendo esto en cuenta, la información confidencial contiene el valor más importante dentro de cualquier organización - y una vez comprometida, estos datos se pierden para siempre. Es una buena idea para definir múltiples clases de seguridad ("privada" y "más privada", por ejemplo) definir qué personas pueden tener acceso a ella. La política de seguridad debe definir estos niveles y quién está autorizado, por el cargo dentro de la empresa, o por cómo se hace la clasificación de documentos dentro de la organización. Ni que decir tiene que la información sensible debe ser encriptada tanto si es interna (en un servidor, PC, llave USB, servicio de almacenamiento, o en cualquier otro lugar), como si está en tránsito, a través de una VPN. Una vez más, las tecnologías específicas no están necesariamente definidas en la Política de Seguridad, y éstas pueden cambiar de vez en cuando.

     

    ¿Quién es el encargado de las Políticas de Seguridad?.

     

    El encargado de la política de seguridad es normalmente el individuo o grupo de individuos dentro de la empresa encargados de la gestión de la seguridad, por lo que él / ella / ellos serán en última instancia también los responsables de la aplicación y el cumplimiento. Hay que tener en cuenta que la política probablemente requerirá cambios en el tiempo, junto con cualquier otra actividad relacionada con la seguridad.

     

    ¿Quién tiene acceso a qué?

     

    Definir quién puede tener acceso - de nuevo, a través del cargo dentro de la empresa - a qué tipo de información sensible es el siguiente paso. Este es el dominio de autenticación y autorización, y estos temas son tan importantes que los vamos a cubrir en detalle un poco más adelante. Por ahora, empezamos con los nombres de usuario y contraseñas - pero no vamos a parar ahí.

     

    Y el elemento final, saber qué hacer en caso de una violación, es vital, pero a menudo se pasa por alto. A menudo, las deficiencias de la seguridad se producen con bastante antelación al reconocimiento de un evento de este tipo, y nuestro objetivo debe ser, por supuesto, siempre y en primer lugar evitarlos antes de que se produzcan. Sin embargo, si se produce una violación, se requieren acciones inmediatas, incluyendo el cambio de contraseñas, la congelación de los registros de acceso, y notificar a los afectados tal como se define en la ley o regulación y / o de la propia Política de Seguridad de cada empresa. En la Política de Seguridad también se debe de especificar quién es responsable.

     

    Si jugáramos al juego de asociación de palabras, la mayoría de las personas responderían a la pregunta de la "seguridad" con la palabra "codificación". Como tal, no es una mala respuesta y de hecho sería un muy buen comienzo. La criptografía ha sido la esencia de almacenamiento y las comunicaciones seguras durante siglos. Pero hay otro elemento de seguridad que es aún más importante y que correctamente aplicado, constituye la base para el cifrado: la autenticación.

     

    En pocas palabras, la autenticación se trata de comprobar la identidad en ambos puntos: origen y destino - el objetivo principal de la autenticación es asegurar que la identidad que se presenta es real o auténtica. Hacemos esto, por ejemplo, en los controles de seguridad del aeropuerto, mostrando un documento que nos identifica delante del personal de seguridad del mismo. Pero hay que tener en cuenta que estos documentos pueden ser falsificados, aunque pueden tener un coste muy alto y no me refiero sólo al coste económico, por lo que la falsificación es un reto mucho más allá del dominio de las monedas nacionales. Una gran variedad de estas técnicas están disponibles, sin embargo, de las más importantes serían la biometría en la forma de un iris o escáner de retina, e incluso a través de ADN - aunque este último no es para nada barato ni se puede hacer en tiempo real, al menos en la actualidad

     

    Pero las posibilidades aquí, introducen una de las variantes más valiosas de la autenticación, conocida como el doble factor de autenticación. Esta encarnación es a menudo referida como "algo que sabes además de algo que tienes". El algo que sabes podría ser, por ejemplo, el nombre de usuario y contraseña familiar, y el algo que tienes - el segundo factor - puede ser un token de hardware, tarjeta de identificación (especialmente una con un chip incorporado, al igual que la nueva generación de tarjetas de crédito) o incluso un teléfono inalámbrico. Podríamos, por ejemplo, enviar un mensaje SMS a un teléfono en particular, con una respuesta de autenticado una vez que se ha superado el segundo factor.

     

    Idealmente, toda la autenticación debería de ser mutua, y que ambas partes prueben su identidad sobre la otra. Todos estamos familiarizados con los ataques de phishing, donde la identidad de una de las partes es "suplantada". La autenticación mutua resuelve este problema, y se puede lograr mediante la presentación, por ejemplo, de una fotografía digital preseleccionada por la otra parte, asegurando una conexión auténtica.

     

    Finalmente, una buena autenticación sería mediante cifrado usando la información de autenticación (una vez más, mutua) para generar las claves de seguridad requeridas para el cifrado. Suponiendo una buena elección del algoritmo de cifrado (como AES-128 o AES-256), nos aportaría uno de los métodos más seguros de autenticación a día de hoy.

     

    Si se extrapola todo esto al terreno de la movilidad, cada vez hay una mayor demanda de conectividad, por lo que se está reemplazando rápidamente la inalámbrica Ethernet como método de acceso primario a la red por el acceso inalámbrico, y las empresas tienen que tener en cuenta todos los retos de seguridad de los que venimos hablando a lo largo de este artículo.

     

    Esto es especialmente cierto teniendo en cuenta la demanda de acceso de un número cada vez mayor de dispositivos de invitados y BYOD (Bring Your Own Device).

     

    Por supuesto que no es sólo los dispositivos que traen los usuarios los que se conectan de forma inalámbrica. Las empresas están viendo una mayor variedad de sistemas y servicios inteligentes - piensa en el Internet de las Cosas (IoT) - que requieren un acceso a la red para una mejor gestión, el control o la eficiencia, incluyendo la iluminación, aire acondicionado y sistemas de vigilancia. Y muchos de estos sistemas, por no decir, la gran mayoría de ellos están utilizando un acceso Wi-Fi para mayor comodidad.

     

    Como resultado de la explosión de la movilidad, las empresas están encontrándose en una encrucijada de caminos cuando se trata de planificar el acceso a la red de una manera segura, pero a la vez flexible, sobre todo y recordando lo comentado anteriormente porque no tienen ningún tipo de documento con los requisitos de seguridad mínima que cubra estas necesidades. Con una gran variedad de usuarios y dispositivos demandando conectividad, desde luego encontrar este equilibrio entre los dos factores es realmente difícil. Se quiere permitir a los usuarios la libertad de conectar y navegar a sus anchas y sin embargo, esto no debe realizarse si ello supone comprometer la seguridad de la red.

     

    Como he comentado anteriormente, el problema para muchas empresas es tan sencillo y seguro que no son dos palabras que normalmente se asocien entre sí.

     

    Para las empresas mantener el control de su infraestructura de movilidad al tiempo que se proporciona una mejor experiencia de usuario, es casi imposible. Quién, qué, dónde, cuándo. Las organizaciones necesitan entender lo antes mencionado:

     

    • Quién está conectado
    • Con qué dispositivos se pueden conectar
    • Qué aplicaciones pueden usar
    • Por donde se pueden moverCon qué dispositivos se pueden conectar

     

    Una vez que esta inteligencia está disponible, es mucho más fácil de configurar las políticas de seguridad en el borde de la red y empezar a abrir las puertas a la gran variedad de dispositivos que están solicitando un acceso.

     

    Este enfoque centrado en el contexto, sin embargo, debe ser transparente para el usuario. Todo este control se debe de realizar en background. En primer plano, el usuario debe ser capaz de conectarse a la red con sólo un par de clics, tanto si un usuario es de confianza para la empresa (un empleado), como si es un invitado, o es un dispositivo de BYOD (Bring Your Own Device).

     

    Esto significa que las organizaciones deben proporcionar un método de autenticación simple, que puede variar dependiendo del tipo de usuarios, dispositivos, localización, etc. Sin embargo, el método de autenticación elegido debe proporcionar algún tipo de identidad, porque sin identidad, no puede tener sentido, y fuera de contexto, no se puede tener el control.

     

    En última instancia, esperamos que todo lo necesario para una buena seguridad esté envuelto en lo que se conoce como soluciones de gestión de identidad, que consolidan la autenticación, control de acceso, autorización, accounting y mucho más dentro de una solución fácil de usar que funciona en todas las redes y clientes. Sí, cuando se trata de seguridad, nunca estará todo "hecho". Pero las buenas estrategias y soluciones están en el trabajo de hoy en día, comenzando por la autenticación.  


  • Más Información: http://www.aerohive.com