Fabric, la base para una red segura en infraestructuras críticas
En un escenario mundial en el que la tecnología juega un papel cada vez más importante y las ciberamenazas son cada vez más sofisticadas, las TI han pasado a jugar un papel protagonista como herramientas de defensa y ataque en lo que se denomina "guerra cibernética".
En este contexto, las infraestructuras críticas en todo el mundo están hoy en el punto de mira de las organizaciones criminales.
Las redes de comunicaciones que dan soporte a estas infraestructuras, más abiertas y distribuidas que nunca, se han convertido en el objetivo potencial. Según un informe de Check Point, por ejemplo, los ciberataques a nivel mundial se han incrementado 28% en el tercer trimestre de 2022 con relación al mismo trimestre del año pasado.
En estas circunstancias, una de las piedras angulares de la ciberdefensa de cualquier país u organización es contar con un sistema eficaz de protección de sus infraestructuras críticas, incluyendo todas aquellas cuya destrucción puede debilitar inexorablemente la posición de defensa de los mismos. Por este motivo, la última edición de las Jornadas STIC, organizadas por el Centro Criptológico Nacional (CCN-CERT), ha puesto el foco en la importancia de preservar el ciberespacio español ante cualquier tipo de amenaza, para lo que es necesario contar con la colaboración de todos los actores implicados (Administración pública, empresas, Universidad y ciudadanía) y lograr entre todos una protección integral frente a riesgos y amenazas, en un momento de especial trascendencia para la ciberseguridad en nuestro país.
La importancia de proteger la red en infraestructuras críticas
Hoy en día la red se ha convertido en una infraestructura crítica en sí misma, dada la enorme cantidad de sistemas y servicios que dependen de la conectividad de red para funcionar. Por mencionar algunos, dependen de un sistema de comunicaciones fiable y seguro los sistemas de comunicaciones para servicios de emergencia locales, sistemas de acceso a edificios en escuelas, dispositivos IoT médicos en hospitales, centros de datos empresariales y más, dependen de una infraestructura de red fiable y segura.
La cuestión es, entonces, como dotar de seguridad y fiabilidad a las redes de estas infraestructuras críticas, en un entorno de amenazas cibernéticas cada vez más numerosas y sofisticadas, que además son verdaderamente globales.
Una tecnología de red que tiene aportar en este campo son las arquitecturas fabric. Fabric hace referencia a un tipo de topología o arquitectura de red descentralizada. A diferencia de las topologías de red tradicionales, “jerarquicas”, con diseños en árbol o estrella, en una red fabric todos los equipos de red están interconectados, gracias a una serie de tecnologías, basadas en software, que permiten desacoplar el plano de datos del plano de control en las funciones de switching y routing de red. La primera ventaja que aporta este tipo de arquitecturas es su mayor fiabilidad y tolerancia a fallos: la red puede seguir funcionando aunque se caigan algunos enlaces o nodos. También son más flexibles y escalables, ya que pueden adaptarse más rápidamente a las necesidades de cada momento, añadiendo o eliminando nodos sin que esto impacte en el servicio de red.
Pero es en el ámbito de la seguridad donde las redes fabric aportan gran parte de su valor, debido a una serie de propiedades de la propia arquitectura que refuerza notablemente su resiliencia:
• Segmentación de servicios de red. Las capacidades de segmentación de red son muy valiosas, tanto desde el punto de vista de la seguridad como de la gestión de red. Con fabric, estas capacidades están ahora disponibles para toda la infraestructura distribuida, no solo para la red de campus. Permite integrar múltiples redes físicamente separadas dentro de una infraestructura convergente, al tiempo que ofrece un alto grado de aislamiento y separación de cada una de las redes a nivel lógico. Estos segmentos o redes lógicas están completamente aislados, son invisibles entre sí y no permiten tráfico cruzado entre ellos, a menos que se configure expresamente. Todo esto puede ser implementado de forma muy sencilla en localizaciones remotas, simplemente aprovisionándolo en el extremo de red. Pongamos como ejemplo una infraestructura crítica como es un aeropuerto. Podríamos definir diversos segmentos de red virtualmente aislados entre sí: un segmento de red de gestión utilizando Virtual Route Forwarding (VRF), otro diferente para la Wi-Fi pública/de pasajeros, una red privada para los sensores IoT o cámaras de videovigilancia, etc.
• Control y gestión de dispositivos/usuarios. Toda la red se gestiona como una infraestructura única, no importa si es un punto de red en la sede corporativa o en una oficina en la otra punta del mundo. Esto ofrece importantes ventajas de gestión y seguridad: configuración remota de dispositivos, monitorización de estados y alarmas, Control de Acceso de usuarios, detección y resolución de problemas más rápida, etc.
• ZTNA (Zero Trust Network Access): Acceso seguro a la red Fabric. Fabric permite implementar un control de acceso a red de nueva generación en virtud del cual sólo equipos o dispositivos de confianza comprobada pueden acceder a la red. “Zero Trust” significa que la autorización de acceso nunca es implícita y cuando se concede no es global, sino que viene en función del perfil del dispositivo o usuario y de los recursos o zonas de red a las que necesita acceder. El propio proceso de autenticación del usuario se realiza en un compartimento estanco. Fabric permite definir perfiles de dispositivos (teléfono IP, cámara IP, punto acceso, etc.) y mediante políticas definir el tipo de acceso que se concede a cada uno. La red reconoce automáticamente el dispositivo de que se trata y provisiona el puerto con los servicios necesarios de acuerdo a esas políticas.
• Automatización de Procesos de red. Ante un evento de seguridad, en muchas ocasiones lo más importante es la rapidez con que se lanzan las contramedidas, para minimizar los daños. Sin embargo, actuar deprisa requiere un importante trabajo de preparación previa. La tecnología fabric soporta tecnologías automatizadas, que permiten disparar automáticamente acciones correctivas en caso de incidencias de red: bloquear dispositivos, cerrar puertos que están sufriendo un ataque, limitar un tipo determinado de tráfico, etc.
• Colaboración con el ecosistema de seguridad. Hoy día la orquestación es una pieza fundamental en la postura de seguridad de cualquier organización. De nada sirve tener desplegadas decenas de herramientas de seguridad si son incapaces de comunicarse entre ellas y no hay nadie que orqueste todo ese ecosistema y aplique la información que proporcionan esos sistemas. Fabric es capaz de operar e interactuar con un amplio ecosistema de soluciones de seguridad, desde firewalls de última generación hasta gestores DNS seguros. Así, la consola de gestión de la red fabric, ante una conexión sospechosa, detectada por el fiewall o por sistema de gestión de DNS/IPAM, automáticamente procede al aislamiento del sospechoso o al bloqueo del puerto.
• Seguridad Wi-Fi. Todas las funcionalidades que refuerzan la seguridad en las arquitecturas fabric son extensibles a la red Wi-Fi via servicios WIPS (Wireless Intrusion Prevention System). WIPS sobre fabric es mucho más que un sistema de prevención de intrusiones en Wi-Fi, sino que es un sistema avanzado de seguridad que permite entre otras cosas la detección y bloqueo de Puntos de Acceso ilegítimos (Rogue APs), detección y gestión de APs o clientes mal configurados, bloqueo de conexiones no autorizadas, identificación y bloqueo de redes Wi-Fi “Ad-hoc”, y así como prevención de técnicas avanzadas de hackeo como Spoofing del código MAC de los APs, ataques DoS sobre Wi-Fi y otras.
• Visibilidad. Y por último, aunque no menos importante, la visibilidad sobre los flujos de tráfico que atraviesan la red y las aplicaciones que la están utilizando. La arquitectura fabric puede integrarse con el análisis de red y utilizar esa información para actuar sobre las amenazas potenciales, incluso antes de que se produzcan.
Francisco García, Director of Systems Engineering, Extreme Networks