Volver arriba

Transition Networks

Seguridad de la red: por qué es importante la autenticación

Para la mayoría de las organizaciones, la seguridad física es un hecho. Ya se trate de videovigilancia, control de acceso, detectores de movimiento o alarmas; las empresas comerciales han adoptado el concepto de proteger sus bienes y activos físicos. A medida que se realizan más y más negocios a través de Internet y los usuarios inician sesión en las redes de su empresa de forma remota, la importancia que se otorga a la seguridad de la red y la protección de los activos intelectuales ha aumentado drásticamente.

El propósito de la seguridad de la red es proteger la red y sus elementos de violaciones de acceso no autorizado que pueden conducir a la pérdida de datos, ingresos y / o productividad. Este documento técnico analizará algunas de las medidas de seguridad que se están empleando actualmente en los equipos de red para limitar la infiltración de usuarios malintencionados y el contenido electrónico potencialmente dañino.

 

¿Qué son HTTPS, SSL y SSH?

Al igual que un pasaporte o una licencia de conducir, un certificado SSL o una clave SSH es emitido por una fuente confiable, conocida como la Autoridad de Certificación (CA). Muchas CA verifican el nombre de dominio y la existencia de su propiedad del nombre de dominio mediante la emisión de certificados digitales que contienen una clave pública y la identidad del propietario. Este certificado también es una atestación por parte de la CA de que la clave pública contenida en el certificado pertenece a la persona, organización, servidor u otra entidad indicada en el certificado.

HTTPS son las siglas de Hypertext Transfer Protocol Secure. Es un software de servidor que brinda la capacidad de “asegurar” las transacciones que tienen lugar en la World Wide Web (www). Si un sitio web se ejecuta desde un servidor HTTPS, puede escribir HTTPS en lugar de HTTP en la sección de URL de su navegador para ingresar al "modo seguro". Las instituciones financieras a menudo ofrecen HTTPS para respaldar sus ofertas de banca en línea con el fin de verificar que la información que se transmite entre su PC y su servidor es "segura".

SSL significa Secure Socket Layer y es un método de cifrado basado en estándares que permite que HTTPS funcione de forma segura. SSL se implementa ampliamente para ayudar a proteger las transacciones en Internet y es la forma preferida por la mayoría de las instituciones financieras para realizar negocios a través de la web. Se basa específicamente en un certificado de autenticación de clave pública, que utiliza una clave privada autogenerada y una contraseña. Una organización que busque implementar SSL puede comprar un certificado público de algunas autoridades de certificación (CA), como: VeriSign, Comodo y Go Daddy.

Para realizar una conexión SSL desde una computadora personal a un servidor de banca en línea, por ejemplo, la computadora personal solicita conectarse y anuncia los métodos de encriptación de los que es capaz. El servidor bancario elegirá el método de cifrado más alto que ambos componentes sean capaces de realizar y luego responderá con su nombre, la autoridad de certificación que proporciona la clave y la clave de cifrado pública. En este punto, el cliente puede ponerse en contacto con la autoridad de certificación para verificar la autenticidad de la clave. La computadora personal responderá generando aleatoriamente un número, encriptando el número aleatorio usando la clave pública proporcionada por el servidor bancario, y luego retransmitirá al servidor bancario. En este punto, el único dispositivo que debería poder descifrar el mensaje es el servidor bancario que usa su clave privada. Esto iniciará una "sesión" única entre los dos componentes de la red en la que la información que pasa entre ellos está encriptada.

SSH funciona de manera muy similar a SSL, pero cubre diferentes capas del modelo OSI para encriptar los datos intercambiados dos veces. El primer cifrado ocurre en la capa de transporte del modelo OSI una vez que se realiza una conexión física. En este punto, la conexión se autentica mediante una clave pública que puede generar la mayoría de los equipos. Esta verificación de claves públicas crea un cifrado de 128 bits que permite que se proporcione un nombre de usuario y una contraseña a través de un mensaje cifrado entre un cliente y un servidor. Una vez verificada la contraseña, se crea una sesión única y se utiliza una clave privada para firmar digitalmente la sesión y volver a cifrarla, esta vez en la capa de sesión del modelo OSI.

En el caso de un ataque a un sistema SSH, un atacante debe romper el primer cifrado de 128 bits para interceptar la contraseña y luego el atacante debe ingresar a la clave privada, que es una serie inmensamente larga de números para "hacerse pasar" por una sesión. De lo contrario, si se registraron (incluso al mismo tiempo que "usted"), las sesiones se firmarían digitalmente con una ID de clave privada diferente, verificando así el origen de cada sesión.

Muchos de los modelos más nuevos de Transition Networks, como ION Chassis, SM24-1000SFP-AH y SM24-100SFP-AH, vienen con terminación Secure Sockets Layer (SSL) y Secure Shell (SSH) para una seguridad de extremo a extremo.

 

¿Qué es RADIUS y por qué un administrador de red lo implementaría con el módulo de administración ION (IONMM)?

RADIUS es un acrónimo de Remote Authentication Dial In User Service, que es un protocolo de red diseñado para ayudar a centralizar el proceso de autenticación de administración. Los proveedores de servicios han adoptado ampliamente RADIUS para limitar el número de reglas de gestión que deben implementarse en cada elemento de la red. El protocolo RADIUS está diseñado para funcionar en una relación de cliente a servidor. Lo que significa que todas las reglas de autenticación y el monitoreo se realizan en un servidor (o servidores) centralizado y cada cliente accederá a esas reglas antes de permitir que se realice cualquier administración al cliente.

Imagine que es un arquitecto de red para un gran proveedor de servicios que tiene 20.000 elementos de red (conmutadores, enrutadores, NID, etc.) y que hay 50 estaciones de administración con acceso autorizado a la red de administración. Cada estación de administración puede tener diferentes niveles de autorización (es decir, la computadora portátil A puede leer / escribir NID y conmutadores de acceso, pero es posible que solo tenga acceso de lectura al equipo central). Antes de RADIUS, cada elemento de la red debía programarse con las reglas, al igual que cada nuevo elemento de la red. Con un servidor RADIUS, las reglas están en una ubicación y cada dispositivo cliente esencialmente "aprende" las reglas de ese servidor.

En el caso de una aplicación RADIUS, el módulo de gestión ION (IONMM) actuaría como un servidor de acceso a la red en el sentido de que un usuario enviaría una solicitud de gestión al IONMM y la enviaría directamente a un servidor RADIUS para su autenticación y autorización. . Esta función ayudará a los administradores de red a garantizar que el acceso a la información de administración de IONMM solo se otorgue al personal autorizado, sin preocuparse por instalar las reglas en todos los IONMM implementados en su red. También asegura que si un usuario de desconfianza obtuviera acceso a un módulo de administración de ION, ese usuario no tendría acceso a todas las reglas de red y códigos de autenticación sin tener que profundizar en la red.

Muchos de los modelos de Transition Networks, como el chasis ION, SM24-1000SFP-AH y SM24-100SFP-AH, vienen con RADIUS integrado.

 

¿Qué es una regla de ACL y a qué otorga / impide el acceso?

Una lista de control de acceso (ACL) es literalmente una lista que permite o deniega el acceso a equipos de red. En términos del módulo de gestión ION (IONMM), es mejor pensar en una lista de control de acceso en términos de tener una declaración de "permitir" o "denegar" sin un término medio. Se le permite entrar o salir.

En el caso del IONMM, se utiliza una lista de control de acceso para controlar el acceso a la gestión del chasis ION y posteriormente a las interfaces de gestión de las tarjetas insertadas en ese chasis. El IONMM tiene tres capas de listas de control de acceso; en términos del modelo OSI, la lista de control de acceso de capa más alta para el IONMM está en la capa 4. En la capa 4, el IONMM puede filtrar el acceso según el puerto UDP, puerto TCP o tipo ICMP. Este filtro otorga o niega el acceso según el tipo de protocolos de transporte que podrían estar intentando obtener acceso a la interfaz de administración. La siguiente capa más alta de control de acceso opera en la capa 3 y se basa en las direcciones IP de las estaciones que intentan acceder a los controles de gestión. Mientras que la ACL de capa más baja funciona en la capa 2 con direcciones MAC. De forma predeterminada, cada una de estas reglas de ACL tiene un comando allow implícito dado. Eso significa que todo lo que se conecta tiene acceso con el nombre de usuario y la contraseña adecuados.

Es importante tener este permiso implícito como predeterminado porque, en la configuración, es importante que un operador de red pueda obtener acceso al dispositivo desde cualquier estación de trabajo. Sin embargo, una vez implementado, representa un punto potencial de violación de seguridad que posiblemente podría tener un efecto negativo en la red y los ingresos de una organización. Esto hace que sea importante configurar las ACL para garantizar no solo que alguien con las contraseñas correctas esté iniciando sesión, sino también que una máquina a la que le dio acceso esté iniciando sesión.

La forma más básica de una ACL es especificar direcciones MAC para permitir / denegar. Este tipo de ACL funciona bien si está conectado a la misma red de transmisión o si desea permitir la administración desde una interfaz de enrutador y al mismo tiempo permitir que el enrutador controle quién tiene acceso a su interfaz. El estado predeterminado de MAC ACL es permitir implícitamente que todas las direcciones MAC con el nombre de usuario y la contraseña correctos accedan a la información de administración.

Si un operador de red solo permite que la administración sea configurada por unos pocos dispositivos y ambos están en el mismo dominio de transmisión que el módulo de administración, ingresar las direcciones MAC directamente en el módulo de administración es una forma muy efectiva de asegurar que solo los usuarios registrados pueden acceder a la interfaz de gestión. Una vez que se ingresa una dirección MAC como permitida, una declaración de denegación implícita se activa automáticamente debajo de ella. Esto significa que solo se permite el acceso a la interfaz de administración a las direcciones MAC especificadas. En el caso del módulo de administración de ION, el IONMM debe tener al menos una declaración de permiso o la administración se volverá inaccesible a través de la interfaz web o Telnet.

Si el módulo de administración está en un dominio de transmisión diferente al de las estaciones de administración, la tabla MAC necesitaría usar la dirección MAC de sus interfaces de enrutador, ya que ahí es donde se asociará la dirección MAC de “origen”. Si eso sucediera, cualquier equipo con acceso a la interfaz de los enrutadores tendría acceso por defecto a la interfaz de administración del IONMM con el nombre de usuario y la contraseña correctos. Este problema de seguridad potencial se puede solucionar asignando una ACL basada en direcciones IP.

Suponga que un administrador de red tiene tres computadoras portátiles individuales y dos estaciones de trabajo que usa para todas las aplicaciones de administración. Simplemente ingresando esas cinco direcciones IP en el IONMM ACL con una declaración de permiso les permitirá acceder a la solicitud de contraseña de administración. Tan pronto como se ingresa una declaración de "permiso" para una dirección IP, también se ingresa automáticamente una denegación implícita que garantiza que solo las IP autorizadas tengan acceso a la interfaz de administración. Por ejemplo, si un operador de red quisiera permitir que 192.168.100.100 administre el IONMM, el operador no necesitaría ingresar una declaración de denegación para cada otra dirección IP, se aplicaría implícitamente a esa interfaz después de ingresar la declaración de permiso. Es posible ingresar un rango de direcciones IPv4 o una red IPv4 completa usando un solo comando. El IONMM debe tener al menos una declaración de permiso o la administración se volverá inaccesible a través de la interfaz web o Telnet.

 

Conclusión

A lo largo de este documento técnico, hemos cubierto parte de la tecnología de seguridad que se está integrando en los elementos de red actuales para ayudar a facilitar la administración de la red y aumentar la seguridad de la red. La nueva plataforma ION es una prueba de que Transition Networks ha adoptado estas medidas de manera incondicional, entregando una familia de dispositivos de red óptica inteligente de próxima generación construida alrededor de una multitud de nuevas características de seguridad y un marco de administración sólido.

 

He utilizado los productos de Transition Networks en las instalaciones de mis clientes durante años. Siempre he encontrado que sus productos, servicio al cliente, ventas y soporte técnico son de primera categoría. Ni siquiera consideraría usar otra marca.

Gerente de Proyectos Senior en Proveedor de Soluciones de TI

Cerca

Solicite una cotización de distribución

Nuestros productos se venden a través de nuestra red mundial de socios. Solicite una cotización a continuación y nuestros expertos en red facilitarán el proceso de cotización asegurándose de que obtenga los productos y las soluciones que necesita con el socio adecuado para usted.

Para proyectos grandes de más de $2,000, podemos ofrecer precios especiales con descuento.
Nombre del distribuidor o revendedor que le gustaría procesar su cotización. Para obtener más información sobre nuestros socios en su área, consulte nuestra Cómo comprar página

Este producto ha sido agregado exitosamente a su cotización.

Haga clic aquí para ver su cotización.

¡Su cotización ha sido creada con éxito!

Haga clic aquí para ver su cotización.

Editar productos - Editar detalles

Su cotización aún no contiene ningún producto.

Editar productos - Editar detalles

Producto Cantidad

Su cotización aún no contiene ningún producto.

Su solicitud de cotización se ha enviado correctamente.

Recibirá un correo electrónico de confirmación en breve para facilitar el proceso de cotización. Si desea guardar su cotización solicitada, iniciar sesión o crea una cuenta.

Error

Hubo un error al procesar su cotización. Actualice la página y vuelva a intentarlo.

Solicitando cotización ...
Pregunte a los expertos