Acceso itinerante seguro a la red

Por Josh Ryder (nyder@cs.ualberta.ca) para SecurityPortal

En la ©poca actual de la oficina mãvil, un administrador de sistemas no debe preocuparse ênicamente de aquellas m¡quinas que "viven" peramentemente en su red sino que debe gestionar algunos centenares, o incluso millares de m¡quinas que se conectan y desconectan en la red de forma casi aleatoria. Los usuarios de estos sistemas itinerantes desean disponer en sus ordenadores port¡tiles de un acceso similar al que tienen en sus estaciones de sobremesa, un deseo que puede ser fuente de muchos problemas. Cada usuario puede tener, teãricamente, de su propia configuraciãn de hardware y software ninguno de los cuales tiene una fuerte conexiãn con las m¡quinas que actualmente est¡n en la red. õCãmo podemos mantener la seguridad en la red con toda esta diversidad?
 

Recuerdo cuando los laboratorios de acceso general de mi universidad eran justamente esto --cualquiera pod­a sentarse a uno de las numerosas terminales Windows y acceder a una conexiãn a Internet pr¡cticamente sin restricciones. Pronto estas m¡quinas empezaron a ser conocidas como los mejores sistemas para mantener el anonimato entra la comunidad inform¡tica. Al permitir la libre utilizaciãn de las mismas, sin necesidad de identificarse previamente, no hab­a ninguna posibilidad de identificar a los autores de cualquier actividad ilegal. En cada laboratorio pasaban a lo largo del d­a (en algunos casos, incluso estaban abiertos las veinticuatro horas del d­a, siete d­as a la semana) centenares de personas que utilizaban esos ordenadores, poco pod­a hacerse para evitar el abuso en su utilizaciãn.
 

Esta situaciãn es muy similar a la que pueden experimentar los administradores de las redes de empresas medianas y grandes. La gente de marketing dispone de sus iBooks; los directivos con sus Inspiron y entre los ingenieros, cada uno utiliza su versiãn favorita de Linux/BSD. Cada una de estas plataformas es probablemente la m¡s cãmoda y familiar para cada usuario. El problema radica en la imposibilidad de conocer todos los matices de cada versiãn de cada distribuciãn. Nuestra problem¡tica, como administradores de red, radica en como ofrecer la libertad de acceso que desean los usuarios con la seguridad y posibilidad de seguimiento que necesitan los administradores.
 

õCu¡les son las opciones?

No permitir el acceso itinerante. Limitando el acceso a la red a ênicamente los sistemas que son directamente controladores por los administradores, elimina el problema de las m¡quinas externas que interfieren con nuestra red. Si la gente de marketing necesita llevarse la presentaciãn que han preparado en su Mac G3, podemos grabar un CD-ROM y ponerlo en el iBook. A pesar de que esto no tiene demasiado aspecto de soluciãn, antes de descartarla es interesante que te hagas una pregunta: ões necesario que estas estaciones itinerantes tengan acceso a Internet? Sospecho que si bien se encuentran razones para conectarlas a la red de la empresa, muy poca gente podr¡ justificar el tener una completa conexiãn a Internet. Si necesitan acceder a su correo electrãnico o utilizar Internet, puden hacer uso de una las estaciones de trabajo (convenientemente protegidas) que ya tenemos.
 

Limitar la exposiciãn exterior. En vez de segregar nuestra red impidiendo la utilizaciãn de las estaciones itinerantes para acceder a las redes externas, podemos optar por controlarlas mediante la utilizaciãn del cortafuegos para filtrar el tr¡fico desde estas estaciones itinerantes hacia y desde las redes internas y externas. Controlando aquello que pueden recibir y enviar, podemos prevenir una de las brechas de seguridad m¡s frecuentes que crean los usuarios incontrolados. Esto, no obstante, no nos ofrece ningên sistema de autenticaciãn diferente al login normal de Windows (o el equivalente en otras plataformas).
 

Permitir un mayor acceso interno y externo, creando un mecanismo de autenticaciãn que evite cualquier acceso hasta que se haya completado satisfactoriamente la conexiãn a la red. Qu© tal si disponemos de un mecanismo de autenticaciãn que permita a todos los usuarios conectar sus ordenadores port¡tiles en cualquier lugar que lo deseen y sãlo tengan que autenticarse una vez para poder acceder a la red. Y si este mismo mecanismo pudiera controlar que entra y sale, registrando todas las transacciones de red a medida que suceden. õSuena demasiado bonito para ser realidad? Robert Beck ha creado una implementaciãn de una soluciãn que hace todo esto en la universidad de Alberta, Canad¡.
 

En su art­culo "Dealing with Public Ethernet Jacks - Switches, Gateways, and Authentication", Beck describe como utiliza switches y routeres est¡ndars, combinados con OpenBSD para crear un ¡rea de seguridad que rodea todas las estaciones itinerantes de su red. El coste de implementaciãn de esta soluciãn no solo es muy bajo sino que permite controlar todas las actividades que se realizan en la red desde estas m¡quinas. La direcciãn MAC de cada tarjeta de red es almacenada en las pasarelas de autenticaciãn y sãlo se permite el acceso al exterior una vez el usuario se ha identificado. Una vez autenticado mediante Kerberos, la pasarela levanta el filtro hac­a la direcciãn IP asignada (mediante DHCP) de forma que el usuario puede acceder a Internet. Esta descripciãn es una simplificaciãn del mecanismo utilizado, por lo que recomiendo una lectura al art­culo de Beck.
 

Enlances relacionados
Dealing with Public Ethernet Jacks - Switches, Gateways, and Authentication,  por Robert Beck

[P¡gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]