La
seguridad es siempre uno de los temas
más importantes en la implementación
de
una solución de acceso remoto,
y las dificultades se agravan si las
soluciones tienen que ser compatibles
con los sistemas incrustados. Las
implementaciones correctas deberán
ofrecer autenticación efectiva
y control de acceso, y deberán
garantizar también que
los datos estén seguros durante
el transporte por la red. Si los dispositivos
objetivos
se alojan como huéspedes en
redes remotas administradas por otros,
las cosas se
complican aún más: en
tales casos, tendrá que tomar
medidas especiales para
asegurarse de que sus sistemas no
abran la red del proveedor a amenazas
externas.
La seguridad de red efectiva
no se basa en ninguna tecnología
o componente concreto; para que sea
lo más efectiva posible, hay
que construirla por capas, con múltiples
defensas que contribuyan a la solución
general. En este documento analizamos
algunas de las tecnologías
comunes que los profesionales de seguridad
utilizan para desarrollar soluciones
de acceso remoto seguras, así
como algunas de las dificultades a
que nos enfrentamos al implementar
dichos elementos en el mundo real.
También examinaremos una oferta
comercial que aborda estos desafíos
de un modo innovador y económico.
Si se actúa con el debido cuidado,
es posible ofrecer acceso efectivo
y seguro a sistemas de acceso remoto,
activando nuevos modelos de servicio
e incrementando las capacidades del
cliente.
 Controles
de acceso basados en red
Los controles de acceso basados en
red se utilizan para garantizar que
sólo los anfitriones autorizados
puedan establecer conexiones a sus
dispositivos en red. Este control
de acceso se suele efectuar mediante
un cortafuegos de capa 2 o capa 3
que filtra las conexiones inapropiadas
antes de que puedan llegar a su equipo.
Los cortafuegos pueden actuar en la
capa 2 (también conocida como
capa de enlace de datos en el Modelo
de red de siete capas OSI) o en la
capa 3 (la capa de red).
Las soluciones de capa 2 a veces también
se describen como “sigilosos”,
ya que no aparecen como un salto de
router a la capa de red, sino que
ofrecen capacidad de filtraje además
de una conexión en puente transparente
entre dos puntos finales de red. Un
cortafuegos de capa 2 puede tener
listas de control de acceso para permitir
al operador control las conexiones
con origen o procedencia en dispositivos
específicos, o impedir el tráfico
de protocolos de red específicos.
Por ejemplo, un sistema de estas características
se puede configurar para bloquear
tráfico basándose en
la dirección IP de un anfitrión
específico y al mismo tiempo
permitir tráfico basado en
Novell Netware IPX.
Los cortafuegos de capa 3, también
conocidos como cortafuegos en base
a puerto, operan en la capa TCP. Al
configurar un cortafuegos de capa
3, el administrador configura listas
de control de acceso que permiten
o bloquean conexiones a partir de
la fuente especificada y las direcciones
IP y puertos de destino. Algunos cortafuegos
llamados de “capa 3/capa 4”
funcionan examinando los contenidos
de paquetes de capa 3 para obtener
más información que
emplean para tomar sus decisiones.
Problemas importantes con controles
de acceso en la capa de red
El éxito de la tecnología
de cortafuegos contra las amenazas
externas a la red tiene su precio:
el despliegue generalizado de cortafuegos
ha dificultado mucho el suministro
de acceso remoto a dispositivos de
red.
Aunque son efectivos y suelen funcionar
bien, los cortafuegos son difíciles
de instalar y administrar y requieren
privilegios de administrador en la
red protegida. Al configurar un cortafuegos
de capa 3, lo habitual es permitir
conexiones a un dispositivo solamente
en los puertos que se sabe que se
van a utilizar. A menudo esto provoca
problemas si se activa un nuevo servicio
y el puerto requerido está
bloqueado.
Activar acceso remoto mediante
VPNs (redes privadas virtuales)
La respuesta inicial de la industria
de las redes a los crecientes problemas
que plantea el acceso remoto fueron
las redes privadas virtuales (VPN).
Como su nombre indica, una VPN sustituye
a las líneas alquiladas dedicadas,
enlaces celulares u otras caras conexiones
físicas con un mecanismo seguro
a través del cual se puede
canalizar el tráfico de un
dispositivo remoto hasta una red objetivo
mediante una conexión de red
existente.
Problemas significativos con
las VPNs
Igual que en el caso de los cortafuegos,
instalar y operar su propia red VPN
requiere privilegios de administrador.
Tanto IPSec como SSL VPNs son soluciones
“de orientación informática”
que los administradores de red utilizan
para controlar el acceso a sus redes;
por tanto, instalar un dispositivo
de este tipo en una ubicación
remota no suele ser viable para activar
el acceso remoto a redes de otras
personas. Otro problema de las soluciones
SSL VPN es la dificultad de mantener
a un gran número de usuarios
con credenciales de seguridad de nivel
de usuario para cada técnico
de asistencia cuando se accede al
equipo desde muchas ubicaciones.
Un último problema importante
del uso de VPNs para ofrecer acceso
a usuarios invitados es que, en cuanto
se establece una conexión VPN,
el proveedor remoto se convierte,
esencialmente, en otro nodo de la
red remota, lo cual puede ser negativo
si el objetivo es ofrecer privilegios
de acceso limitados a anfitriones
específicos. Una solución
es agrupar dispositivos invitados
en sus propias LAN, pero a menudo
no es factible si su equipamiento
está alojado en redes externas
fuera de su control administrativo.
Por eso, una vez conectado, un único
PC invitado infectado puede atacar
a todos los dispositivos conectados
a una LAN remota.
La solución de acceso
ManageLinx VIP
La plataforma de gestión ManageLinx
es una solución de gestión
M2M remota capaz de ofrecer acceso
remoto a internet fácil pero
seguro a prácticamente cualquier
dispositivo con IP, aunque dicho dispositivo
esté detrás de cortafuegos
remotos o de una VPN. Fácilmente
adaptable a una amplia gama de tareas
de gestión, es especialmente
adecuado para acceder y gestionar
sistemas incrustados situados en redes
cliente remotas y otras situaciones
en que el personal de asistencia no
tiene privilegios de administrador
en la red remota.
El componente VIP Access de ManageLinx,
pendiente de patente, ofrece un acceso
transparente a capa de red 3 a cualquier
elemento de equipamiento remoto sin
software cliente especializado ni
reconfiguración de red. Puesto
que puede trabajar con cualquier aplicación
con TCP/IP activado que funcione en
cualquier anfitrión o sistema
operativo, ManageLinx VIP Access es
particularmente útil para despliegues
de sistemas incrustados en que no
se pueden utilizar clientes VPN dedicados
ni cambios de configuración
de red especializados.
ManageLinx es extremadamente fácil
de instalar. Su módulo de configuración
sobre disco USB Flash permite configurar
de un modo totalmente automatizado
ajustes de red, credenciales de seguridad
y otros parámetros esenciales,
con lo cual se elimina la necesidad
de disponer de personal formado o
equipamiento especial durante la instalación.
ManageLinx funciona mediante conexiones
de Internet convencionales con sólo
un puerto abierto a la WAN, y no requiere
reconfigurar los ajustes de la conexión
de la red objetivo. Puesto que puede
utilizar conexiones a Internet ya
existentes, ManageLinx VIP Access
elimina la necesidad de líneas
telefónicas analógicas
dedicadas o cobertura celular, así
como con los costes recurrentes asociados.
Consideraciones de seguridad
relativas a la compatibilidad con
sistemas incrustados
Puesto que el ManageLinx VIP Access
opera en la capa de red y la comunicación
entre la dirección VIP y el
punto final es totalmente automática,
es fácil integrar dispositivos
incrustados al sistema. Para acceder
al sistema no hacen falta clientes
dedicados ni software especializado,
de modo que implementar el acceso
a la red es muy sencillo. Los programadores
de sistemas incrustados utilizan mecanismos
de programación TCP/IP tradicionales;
simplemente, abra una conexión
a la dirección VIP y el sistema
establecerá y gestionará
automáticamente la conexión
al dispositivo remoto.
Conclusión
El sistema ManageLinx VIP Access es
una herramienta segura, fácil
de utilizar y económica para
ofrecer acceso remoto a dispositivos
protegidos por cortafuegos. Es especialmente
adecuado para ser utilizado con sistemas
incrustados o, si el operador no tiene
privilegios de administrador, en sistemas
remotos. Hemos tenido especial cuidado
para garantizar que el sistema resuelva
problemas conocidos del control de
acceso en la capa de red y las soluciones
VPN tradicionales; utiliza tecnología
de encriptación de última
generación para ofrecer una
efectiva infraestructura de gestión
clave y control de acceso en la capa
de red mejorado. Puesto que no requiere
clientes dedicados y su despliegue
es mucho más simple, es especialmente
efectivo para ofrecer acceso remoto
a sistemas incrustados o a cualquier
sistema para cuyo despliegue o mantenimiento
no se dispone de personal con formación
en redes.
Encontrará más información
sobre la nueva solución de
acceso remoto ManageLinx VIP Access,
incluidos un informe sobre seguridad
y un estudio de caso para servicios
de producto remoto, en el sitio web
de Lantronix.
www.lantronix.com/device-access
|
