- Martes, 13 Diciembre 2011
Antaño, las redes LAN inalámbricas eran más modestas: se componían de un grupo de dispositivos fáciles de identificar y estaciones de trabajo vinculadas a ellas, con estructuras sencillas. Hoy día, según el tamaño de la empresa que la utilice, una WLAN puede tener que operar con tablets, portátiles, smartphones y muchos otros dispositivos, algunos autorizados y otros no, y con las amenazas accidentales a la seguridad que estos podrían provocar.
La propia WLAN puede que tenga que hacer frente a posibles interferencias de radiofrecuencia ocasionadas por dispositivos Bluetooth, microondas, cámaras, fotocopiadoras y un sinnúmero de dispositivos con capacidades inalámbricas. Y mientras tanto, existe por supuesto la amenaza del acceso de amenazas deliberadas por parte de hackers, sistemas de suplantación y dispositivos no autorizados a través de numerosos canales para robar datos o provocar daños.
En resumen: la compañía se enfrenta a una auténtica explosión de lo inalámbrico, al igual que el equipo de monitorización y seguridad que utiliza. La monitorización de la WLAN también tiene como obstáculo el crecimiento inexorable y la complejidad de las redes WLAN en sí: múltiples estándares y canales de 802.11, junto con cambios constantes en la composición y ubicación, aumentan la probabilidad de sufrir congestiones, sobrecargas y problemas en la calidad del servicio, además de intrusiones maliciosas. Una solución de monitorización de la WLAN debe ser asimismo capaz de reconocer señales de alerta relevantes e identificar amenazas reales, en oposición a amenazas probables, y resolverlas.
Y debe hacer todo esto de manera continuada. No tiene nada que ver con los entornos con cables. Las redes cableadas tienen puntos de congestión únicos que son los que canalizan el tráfico. Las redes WLAN no. Por tanto, en un mundo ideal, un responsable de la red WLAN debería buscar un sistema capaz de monitorizar todos los canales y todo el espacio aéreo inalámbrico relevante todo el tiempo.
Pero ¿es mejor decantarse por un sistema integrado, un sistema superpuesto a la red WLAN específico de un proveedor o un sistema superpuesto a la red WLAN dedicado basado en terceras partes? Existen argumentos razonables que justifican las soluciones integradas en las ubicaciones donde hay desplegada una red inalámbrica. Los proveedores de WLAN suelen ofrecer sistemas integrados de monitorización de la red inalámbrica y de intrusiones (WIPS por sus siglas en inglés), que salen más rentables. Además, con ellos la empresa se ahorra tener que tratar con otro proveedor.
El problema es que el ahorro en costes también puede suponer más riesgo, ya que muchos de los WIPS realizan la monitorización a intervalos, por lo que no ofrecen cobertura total... o apenas parcial. Usar un punto de acceso con radios adicionales dedicados a la exploración constante puede ser una solución mejor, pero los puntos de acceso son vulnerables a problemas en puntos únicos y no pueden supervisar canales extendidos (que componen un número potencialmente significativo). También pueden sufrir limitaciones en la exploración, consumen potencia de la red y, si la WLAN se cae, no funcionan en absoluto. Además, suelen ser muy poco discretos y atraer la atención de los hackers.
Los sistemas dedicados superpuestos a la red WLAN de terceros son, por tanto, la elección óptima, en particular si la empresa tiene requisitos de monitorización de la seguridad muy exigentes. En ese caso, es muy probable que haga falta una superposición mayor para preparar el sistema de seguridad. Pero, al mismo tiempo, al ser las capacidades de resolución de problemas más fiables con tales sistemas, surgen menos falsas alarmas, se atajan más problemas antes de que pasen a ser críticos y dan menos trabajo innecesario (y costoso) a los administradores y gestores de la red inalámbrica.
Y los ahorros no acaban ahí. Los sistemas especialistas en seguridad mantienen enormes bibliotecas de referencia sobre amenazas, y sus sensores son capaces de explorar todos los canales, legales o no, con lo que ofrecen una perspectiva de seguridad más exhaustiva y permiten realizar auditorías e informes de conformidad más detallados. También permiten a los usuarios corporativos de una WLAN adoptar nuevas tecnologías y combinar proveedores sin perder funcionalidad.
La monitorización de WLAN es un nicho relativamente nuevo en el sector. Esto es menos sorprendente de lo que podría parecer: el crecimiento del número de dispositivos inalámbricos y la necesidad de las empresas de hacerles un hueco ha sido, como ya hemos mencionado, explosivo, y en la mayorías de los casos bastante reciente. Esto ha traído consigo amenazas, pero la monitorización de la seguridad y el rendimiento es algo relativamente nuevo y a menudo va un paso por detrás. Es por eso que llevar una década en el negocio hasta el momento te convierte básicamente en un experto en el campo.
Y así es: el desarrollo de la sección de Soluciones de resolución de problemas y seguridad WLAN de Fluke Networks ha estado marcado por el hecho de que lleva proporcionando soluciones de instalación, monitorización y análisis de redes para empresas y operadores globales desde 2001. En la actualidad, esta división, al igual que la empresa de la que forma parte, cubre todas las fases del desarrollo de las redes inalámbricas empresariales, con herramientas para planificación, estudio y, por supuesto, monitorización.
Lo que nos lleva a un ejemplo concreto de equipo de monitorización dedicada de terceros, una solución de WIPS superpuesta, porque es, probablemente, el mejor enfoque.
AirMagnet Enterprise, una solución global que permite la monitorización y la resolución de problemas y remota las 24 horas del día y toda la semana, cubre todos los canales 802.11 (y los canales extendidos) y todas las amenazas o anomalías. En otras palabras: si hay un dispositivo que no debería estar ahí, lo detectará. Igual ocurre con las interrupciones, tanto deliberadas como accidentales, de la radiofrecuencia. Si el rendimiento acostumbra a verse mermado por la congestión del tráfico, sobrecarga de los dispositivos y canales, conflictos, dispositivos mal configurados, problemas de calidad del servicio y los problemas que surgen necesariamente por la combinación de múltiples tipos de 802.11 en la misma red, lo que consigue AirMagnet Enterprise es detectar y señalar dichos problemas. En concreto, puede identificar y clasificar los dispositivos Wi-Fi como no autorizados, vecinos, monitorizados o aprobados, y compartir información con el personal y los sistemas de gestión a cargo de la red, priorizar los problemas y, mediante un cuadro de mandos, hacer saber a los implicados qué ocurre y si es necesaria la intervención de alguien.
El núcleo de esta solución es el motor AirWISE, que analiza los dispositivos y el tráfico mediante ciertos métodos de modelado de análisis y detección con el fin de detectar no sólo amenazas, sino también vulnerabilidades. Lo que es aún más importante: AirMagnet Enterprise no se conforma con detectar las amenazas, sino que las bloquea. También muestra cuántos datos podría haber robado el atacante y captura información forense de antes, durante y después del evento de red, lo que facilita las investigaciones del personal. Permite ver y tomar como base de actuación notificaciones, el historial de conexiones y otros parámetros, incluso de forma remota si es necesario. Además, la capacidad de admitir hasta mil sensores en el mismo servidor central supone una menor presión en el ancho de banda de la red.
Es cierto que este sistema dedicado probablemente implique un coste inicial mayor que el de los integrados, pero si hace un análisis financiero basándose en la minimización de los riesgos y la reducción de la vulnerabilidad, en lugar de fijándose sólo en el coste inicial de la superposición de este sistema, verá que la realidad es bien distinta. El enfoque de AirMagnet Enterprise le ofrecerá más profundidad en el análisis de la seguridad y del rendimiento, por no hablar de informes de conformidad con la regulación, análisis forenses posteriores a los eventos, resolución de problemas, copias de seguridad y almacenamiento en caso de caídas o cortes de suministro, y la capacidad de reconocer un número mucho mayor de amenazas. Además, es independiente del proveedor: Fluke Networks no depende de proveedores específicos en lo referente a la infraestructura.
Como ya hemos indicado, es más conveniente dejar la gestión de las bibliotecas de amenazas y sus actualizaciones en manos de terceros. La seguridad WLAN cambia rápidamente, por lo que estas bibliotecas requieren actualizaciones frecuentes para no quedar anticuadas con los últimos avances y cambios en la comunidad hacker. Las nuevas amenazas pueden tomar la forma de ataques de hackers, técnicas de intrusión o clientes nuevos resistentes a los bloqueos. Al separar la capa de seguridad de la red en sí, los responsables de la red WLAN pueden actualizar con facilidad el sistema de seguridad según sea necesario, sin tener que actualizar la infraestructura completa.
La seguridad y la resolución de problemas de WLAN no van a hacer otra cosa que complicarse cada vez más. Por eso, la última versión de AirMagnet Enterprise 9.1 incluye tecnología de actualización dinámica frente a amenazas (DTU por sus siglas en inglés) que permite a los clientes importar nuevas firmas de amenazas Wi-Fi sin necesidad de instalar nuevo software de WIPS. Desvincular estas definiciones del motor AirMagnet Enterprise ayuda a las empresas a actuar con celeridad cuando surgen nuevas amenazas y sin causar períodos de inactividad o sobrecargar al personal.
En el futuro aparecerán nuevas amenazas. El iPad ha inaugurado una nueva era de dispositivos inalámbricos y no será la última generación. Las interferencias de radiofrecuencia seguirán comportando riesgos, ya que existe el potencial de incorporar Bluetooth, NFC o cualquier tipo de interfaz de comunicación por aire que no sea 802, a cualquier dispositivo, desde hornos hasta relojes de pulsera. Tampoco cesarán en su empeño los hackers, tentados por la aparente vulnerabilidad de las WLAN empresariales. La explosión inalámbrica no tardará en volverse mucho más grande
Puede encontrar más información en el sitio web de Fluke Networks en: http://tinyurl.com/3sn3c6g
Autor:
Stéphane Persyn, director de marketing para EMEA de AirMagnet, Fluke Networks.