Seguridad en redes convergentes: una solución completa de extremo a extremo

La seguridad informática no puede limitarse a un punto de entrada o a un único elemento de la red. La clave de una seguridad efectiva pasa por ofrecer una cobertura total sobre todos los puntos de la red, las aplicaciones y todo el tráfico que discurre por ella, ya se trate de datos, vídeo o voz.Como ya hemos señalado en repetidas ocasiones en esta serie de informes, la integración de las diferentes comunicaciones de las empresas y de sus redes permite que se reduzcan los costes de mantenimiento, y la integración de la seguridad de todas las comunicaciones es una prueba de ello. La solución más adecuada pasa por una seguridad integrada que cubra todos los extremos de la comunicación, lo que tradicionalmente se conoce como una solución end to end, que capacite a las organizaciones, además, para seguir incrementando las posibilidades de seguridad a medida que vayan apareciendo en el mercado. No se trata de instalar elementos de seguridad y olvidarse, sino de mantener una política de mantenimiento y actualización que nos permite trabajar sobre un entorno seguro.Seguridad en las comunicaciones tradicionales de vozLos principales problemas a los que se enfrentan las comunicaciones de voz son cuatro. En primer lugar, el fraude telefónico, consistente en robar servicios de llamadas de larga distancia, normalmente acompañado de un acceso no autorizado a la línea pública. En segundo lugar, acceso a usuarios y privilegios no autorizados, lo que puede desencadenar diferentes intromisiones, tales como el acceso a los buzones de voz, por poner un ejemplo. Pérdida de privacidad, en tercer lugar, dado que se puede llegar a interceptar información confidencial o privilegiada por parte de usuarios no autorizados para recibirla. Y, en cuarto lugar, denegación de servicio, dado que un ataque malicioso puede generar este problema de denegación de uso para los usuarios que sí estén autorizados para ello.Estos y otros posibles ataques pueden crear problemas de diferente entidad para las empresas, y las opciones para frenarlos hasta la fecha pasaban por incorporar elementos de seguridad para diferentes elementos de la red o de la comunicación de voz.Las nuevas posibilidades de seguridadLa integración de las comunicaciones bajo una red IP, permite elevar los niveles de seguridad al mismo punto en que se encuentran las tradicionales soluciones de seguridad en el entrono de los datos. Además, curiosamente, la estandarización de las comunicaciones IP, que proveen mayor flexibilidad y mayores capacidades a los usuarios, también les permite incrementar sus niveles de seguridad.Por ejemplo, un ataque de denegación de servicio es difícil de controlar para los responsables de seguridad de una red de voz tradicional, mientras que en el caso de los responsables de una red IP, más acostumbrados a los intentos de los hackers de echar abajo sus servidores y tráfico de datos, se disponen de las armas y las estrategias para hacer más controlables y menos efectivos este tipo de ataques.Por tanto, uno de los elementos que parecía frenar la adopción de estas redes convergentes es en realidad uno de los puntos fuertes para su adopción, dado que las redes integradas de voz, vídeo y datos sobre IP son más sencillas de defender con una solución global, como se demuestra en las redes tradicionales de datos constantemente.Una red que se autodefiendaRecientemente, Cisco Systems anunciaba su iniciativa Self-Defending Network, es decir, la creación de redes que se autodefiendan de posibles ataques. Esta iniciativa incluye una serie de pasos para asegurar la capacidad de la red para identificar, prevenir y adaptar la seguridad a los ataques exteriores. La idea es ofrecer una solución de red extremo a extremo que impida a las comunicaciones, del tipo que sean, ser atacadas, tanto desde dentro como desde fuera.En el caso de las comunicaciones IP, los elementos críticos a proteger son:u Infraestructura de red, incluyendo todos los elementos que la forman, ya sean a nivel de grupo de trabajo como en la propia red central. u Sistemas de procesamiento de llamada, gestionando las llamadas y controlando y autentificando a los propios usuarios. u Puntos de acceso, ya sean teléfonos IP, terminales de vídeo o cualquier otro dispositivo que pueda ser conectado a una comunicación IP, como un PC, por ejemplo. u Aplicaciones, dado que son la clave de este tipo de comunicaciones. Las aplicaciones que emplean los usuarios, ya sean de videoconferencia, mensajería unificada, gestión de contactos de proveedores y clientes, o cualquier otra aplicación, deben ser protegidas de posibles ataques.Principios esenciales de la seguridad de la redA partir de estos elementos a proteger, podemos elaborar una lista con los tres principios que debemos tener en cuenta a la hora de establecer la seguridad de una red: securizar la conectividad y la gestión, defensa ante amenazas, y gestión de identidades.Empecemos por el principio, dado que el principal objetivo a la hora de establecer la seguridad de una red es proteger y optimizar la conectividad de las aplicaciones y servicios, así como salvaguardar la actividad de transporte de información de la infraestructura de la red. En el caso de las comunicaciones de voz, este principio supone establecer una infraestructura de comunicación que permita y proteja las conexiones de los diferentes puntos de acceso, los componentes del control de llamadas, así como las aplicaciones y los servicios, con el fin de proveer una comunicación efectiva y eficaz.El segundo de los principios enumerados, la defensa ante amenazas, define la colaboración de los elementos de seguridad y de los servicios de redes inteligentes par minimizar los efectos de los ataques de los que pueda ser objeto nuestra red IP. Este principio debe tener en cuenta que la convergencia de redes puede provocar que estas amenazas puedan producirse en variadas formas, con diferentes orígenes y con distintos objetivos, impactando tanto en la propia red como en los sistemas, servicios, aplicaciones y usuarios. Por este motivo, una solución efectiva va más allá de una simple protección de diferentes puntos, requiere una aproximación global a la seguridad, una estrategia que no deje ningún resquicio para ataques, tanto internos como externos. Los elementos que deben formar parte de esta estrategia global pasan, entre otras posibilidades, por cortafuegos, sistemas de detección de intrusos (IDS), protección de los puntos de acceso, protección en los routers y switches que integran la red, seguridad de contenidos y herramientas para la gestión de todos lo elementos que integran la seguridad.En tercer lugar, la gestión de identidades, que debe afectar tanto a los individuos como a los dispositivos de conexión y a las aplicaciones que funcionan en el sistema. Pero no se trata sólo de permitir o no el acceso a la red, sino de establecer qué tipo de privilegios tiene cada usuario, tanto por sí mismo, como por el dispositivo que utiliza en la comunicación. En principio, en una comunicación de voz sobre IP, es necesario establecer correctamente la identidad que establece la comunicación, además de proteger la comunicación en sí de ataques malintencionados. Por este motivo, la propuesta de seguridad debe pasar por elementos tales como contraseñas encriptadas, certificados digitales, la denominada AAA (authentication, authorization y accounting, es decir, la autentificación, autorización y gestión de acceso a cuentas de los usuarios) como herramientas para asegurar la identidad y los permisos de uso de los diferentes dispositivos, usuarios y aplicaciones, desde los diferentes puntos de conexión que se establecen en la red.¿Por dónde debe comenzarse?Partiendo de la estrategia antes comentada de Cisco Systems, hemos querido establecer una serie de fases a la hora de adoptar una política de seguridad completa para la red convergente.Así, en una primera fase, establecimiento de seguridad de la red, y siguiendo el listado de