Soluciones de seguridad para la plena conectividad
Seguridad en red
Internet proporciona una infraestructura mundial de comunicaciones que permite a las organizaciones entregar la plena conectividad de forma económicamente eficaz a los usuarios de la red . El aumento en el uso y dependencia de tecnologías de Internet así como el auge tremendo de las intranets y extranets corporativas no solamente han cambiado la manera en que las organizaciones hacen los negocios, sino cómo aproximan la seguridad de las redes .
Una solución global de seguridad en este entorno no se trata solamente de soluciones puntuales proporcionadas por productos y su integración en la infraestructura existente sino también en el apoyo humano dentro y fuera de la organización para llevar a cabo un proyecto continuado . De esta forma, por “global” se entiende una solución que responde a los principales desafíos de la seguridad que las organizaciones se enfrentan actualmente:
• Proteger los recursos de la red corporativa contra amenazas internas y externas .
• Proporcionar una conectividad global para sus empleados móviles y remotos .
• Usar Internet para reducir sus costes de comunicaciones de datos WAN .
• Proporcionar a su “partenariado” un acceso selectivo a través de una extranet segura .
• Garantizar el rendimiento, la fiabilidad y la disponibilidad de su red .
• Definir y controlar políticas de seguridad, que llegan hasta el nivel de usuario, mediante toda la red .
• Detectar y responder de inmediato a ataques y actividades sospechosas contra su red
• Gestionar la infraestructura de direcciones IP de su red de forma segura y eficaz .
• Implantar una solución de seguridad abierta que permite la integración con aplicaciones líderes de la industria y aplicaciones hechas a medida .
• Gestionar el coste total de propiedad ( TCO ) a través toda su red segura .
Por descontado, la solución global no la ofrece un solo fabricante ni una sola tecnología o infraestructura sino que resulta imprescindible encontrar una solución formada por una base abierta, que permite la integración de varias tecnologías y soluciones de fabricantes especializados . La solución aquí expuesta tiene como base las soluciones de Check Point Software Technologies, Inc . y los productos y tecnologías que se integran plenamente a través de su plataforma abierta OPSEC .
Finalmente y más importante todavía, la solución global debe tener el respaldo de un partner de confianza que esté preparado técnica y comercialmente . Se recomienda cualquier VAR certificado por ADD Distribuciones Informáticos, S . A . único “Authorized Training Center” de España .
Lo primero y fundamental para la empresa es proteger sus recursos de red vitales contra todo, desde el uso indebido hasta los ataques directos que pueden originar dentro o fuera de la organización .
La postura de la organización hacia estos riesgos se define por su política de seguridad . Esta política representa la piedra angular de la conectividad corporativa segura . Para que las comunicaciones de los usuarios internos y externos ( ej . clientes, colaboradores, etc ) se ciñan a unos procedimientos determinados por la organización hace falta una política concreta y firmada por Dirección así como las herramientas y medidas que permiten su despliegue y ejecución .
Aparte de las funcionalidades de seguridad de la propia red y sus sistemas se necesitan productos para complementar y completar la protección de las mismas . Estos productos proporcionan:
• Control de Accesos a recursos específicos: debe proporcionar mucha precisión en la definición de reglas . El Administrador de Seguridad debe disponer de la capacidad de controlar las comunicaciones de red según el origen o destino de peticiones de conexión, el tipo de tráfico de red y la hora del día .
• Autenticación de Usuarios: para verificar las identidades de los usuarios de la red .
• Encriptación: para asegurar la confidencialidad e integridad de los datos en tránsitos sensibles .
• Control de Direcciones: para optimizar el uso de las direcciones IP registradas .
• Control de Contenidos: para aplicar medidas de seguridad al contenido del tráfico de red .
• Detección y Respuesta: la tarea de D&R debe ser automatizada y debe ocurrir en tiempo real .
• Datos Completos: puesto que la seguridad es un proceso, se requieren datos extensivos para auditar y monitorizar periódicamente la seguridad de la red y sus sistemas . Estos datos pueden provenir de los cortafuegos, servidores de proxy, web, routers, etc . así como de herramientas de escaneo que se usan para auditorías de seguridad de la red, los sistemas host, cortafuegos, etc . Como uno puede imaginarse, cuanta más integración haya entre logs y reportes de distintos fabricantes, mejor .
La solución global de seguridad corporativa debe ser capaz de integrarse plenamente en todas las aplicaciones de la organización, tanto ahora como en el futuro, sin perjudicar el rendimiento ni limitar la conectividad .
El uso de Internet como medio para accesos remotos reduce los costes de conectividad cuando se compara con soluciones que requieren bancos de modems y conexiones telefónicas directas . Para esto hay que crear en Internet líneas privadas . Estas líneas privadas virtuales se consiguen con varios componentes:
• Una autenticación fiable de los dos extremos de la conexión .
• La encriptación de todos los datos .
• La integración sin fisuras de estas fucionalidades .
• Todo tiene que ser fácil de desplegar, gestionar y usar tanto por los administradores como por los usuarios .
Las empresas que alquilan líneas costosas del tipo frame-relay o punto a punto para conexiones permanentes entre despachos también pueden beneficiarse de las comunicaciones privadas por Internet, pero surgen desafíos adicionales . Resulta problemático gestionar hardware y software de seguridad en distintos centros que pueden o no disponer del personal adecuada . La eficacia y la seguridad se optimizan cuando una política de red privada virtual ( VPN ) se define y administra desde una consola de gestión centralizada . Esto elimina la necesidad de disponer de una política de seguridad distinta en cada sitio .
También resulta problemático migrar aplicaciones y comunicaciones desde un entorno dedicado a un entorno público como Internet . Para minimizar los problemas de rendimiento se necesita la capacidad de integrar la gestión de ancho de banda para priorizar tráfico y la alta disponibilidad para proporcionar tolerancia de fallos en la solución de seguridad . Para más velocidad en comunicaciones privadas existen soluciones de aceleración de la encriptación así como software de compresión .
Estas soluciones también minimizan el impacto del éxito en el rendimiento, fiabilidad y disponibilidad de la pasarela . La gestión del tráfico y la redundancia de hardware y software en la pasarela llegan a ser imprescindibles a medida que el servicio web o la aplicación de comercio electrónico atraigan más tráfico . Finalmente, la integración en la pasarela del balanceo de cargas de servidores ( web, base de datos, etc . ) permitirá asumir este tráfico al repartir la carga entre un grupo de servidores .
Una vez haya desplegado sus servicios de Internet y conectado las entidades distribuidas ( oficinas y usuarios remotos ) de su empresa, el siguiente desafío será extender su red a sus partners claves a través de aplicaciones extranet . Conseguir la interoperatividad extranet requiere la adherencia estricta a los protocolos y algoritmos estándares . El estándar aceptado para VPNs Internet es el “Internet Protocol Security Standard ( IPSec ) , que define el formato de un paquete
