La Seguridad de
acceso a la red está definida como la autenticación de "algo" o
"alguien" a la red, a lo que muchos usuarios se preguntan ¿que esta no es la
función del servidor de autenticación de la organización? Si usted se ha hecho
esta pregunta permítame decirle que usted está en lo cierto; Sin embargo las
funciones del servidor de autenticación de la organización cumplen el rol
de autenticación al sistema, es decir que sin las funcionalidades de este los
usuarios no podrían acceder a los aplicativos y/o recursos de la empresa además
de que las áreas de Seguridad de la información y otras interesadas perderían el
control acerca de lo que usuarios puedan o no realizar en cuanto a permisos de
archivos, modificaciones del sistema local (PC) o privilegios de administración
de algunos sistemas que compartan este servidor.
La
idea de esta publicación no es detallar las funcionalidades de un servidor de autenticación
a la organización como ser un AD o un LDAP sino más bien entender la diferencia
entre estos y un servidor de autenticación a la red como ser ISE de la marca
Cisco por lo que pasemos a resolver la cuestión.
Desde el punto de
vista general si un usuario conecta a la red, pero no cuenta con credenciales
para acceder al sistema corporativo, se podría interpretar como un “sistema
seguro” ya que este usuario estaría limitado a cero operatividad en el sistema
al que se encuentra conectado, sin embargo, desde el punto de vista de la
seguridad y/o ciberseguridad es suficiente estar conectado a la red de una organización
para perpetrar una seria de eventos relacionados con el modelo diamante de intrusión,
o “Diamond model of intrusión” en inglés, logrando desde la simple identificación
y reconocimiento de componentes del sistema global hasta la instalación de
componentes altamente perjudiciales y riesgosos para la organización.
Existen diversas
maneras en las que se puede prevenir el acceso a la red a intrusos o personas
no deseadas, de hecho, uno de los mecanismos de seguridad más antiguos en
cuanto al acceso a la red inalámbrica ha sido el uso de contraseñas para la autenticación
a la red e inclusive servidores de autenticación a través del protocolo WPA2
ENTERPRISE. Respecto a la red cableada se utilizan métodos manuales y mejores prácticas
de seguridad como ser la revisión periódica de los puertos de acceso y que los
mismos se encuentren apagados cuando no están siendo utilizados. Se podría decir
que bajo el criterio de seguridad los mecanismos utilizados para la seguridad
de acceso a redes alámbricas o inalámbricas dependen bastante de la cantidad de
accesos que se tengan en estas redes, es decir que una empresa que tiene 20
puntos de acceso a la red y un Access point, por ejemplo, si es capaz de
realizar estos mantenimientos que a lo mejor le lleven minutos, por otro lado una
empresa con 1000 puntos de red y 10 access point podría demorar horas en
realizar estos mantenimientos, imagínese usted una empresa que cuenta con
varias sucursales y cuente con más de 1000 puntos de red y más de 10 access
points conectados en diferentes sitios, la cantidad de tiempo que tomaría realizar
este tipo de operativa para una empresa seria exuberante y permitiría un alto
nivel de riesgo en cuanto a una falla humana que permita a un intruso acceder a
la red sin mencionar las grandes limitantes que tendría la empresa para poder
saber en qué momento, donde, por qué, como y que o quien ha perpetrado acciones
maliciosas en la red y/o sistemas.
Ahora que entendemos
los riesgos a los que se expone una organización que no cuenta con mecanismos
apropiados a la autenticación de red vamos a entender fácilmente la operativa del
servidor de autenticación de acceso a la red ISE de CISCO.
Haciendo un resumen y
énfasis en unos cuantos detalles técnicos que no pueden ser no mencionados en
este artículo vamos a revisar una a una las características de este increíble servicio
que nos brinda esta plataforma, a continuación, vamos revisar las incógnitas
que nos habíamos planteado anteriormente a las que estamos limitados sin la
presencia de este servicio.
-
¿Que o quién?
El servidor ISE de CISCO permite tener una visibilidad
completa de personas o dispositivos que acceden o intentan acceder a la red
permitiendo a los administradores de este servicio tener visibilidad acerca de
todas las personas o dispositivos que cuentan con acceso a la red e incluso aquellas
que solamente están haciendo intentos fallidos de acceder a la misma.
-
¿Cuándo?
Además
de poder brindar esta visibilidad el servidor permite tener un histórico que se
adecua a la necesidad del cliente en tiempo que permite verificar horas exactas
en las que algún usuario o dispositivo ha accedido o ha intentado acceder a la
red, permitiendo a los administradores de este servicio tener mayores datos
para poder brindar un adecuado soporte a los usuarios de la red en cuanto al
acceso o para identificar amenazas e intrusiones.
-
¿Donde?
Uno
de los grandes desafíos de la visibilidad de eventos de seguridad es el saber
donde se ha perpetrado una intrusión o un ataque. El servidor de ISE permite, a
través del registro de dispositivos de red, identificar los lugares en los que
los usuarios están haciendo uso de la autenticación de red y las amenazas que
existen, permitiendo localizar las mismas físicamente en un lugar geográfico especifico.
-
¿Como?
La pregunta más importante y que causa
curiosidad en todos es justamente ¿Cómo? Esta pregunta involucra varios
aspectos que vamos a detallar a continuación.
¿Como
es que ISE puede autenticar personas o dispositivos?
La respuesta en una sola sigla es 802.1X, este
protocolo permite la autenticación de dispositivos y/o personas a la red de
manera que se establezca un parámetro de autenticación exitosa o fallida que
permita al servidor tomar diferentes decisiones al respecto. Está claro que con
IoT y la realdad actual de los dispositivos que están ingresando a la red se
establecen también como alternativa la autenticación a través de la MAC ADDRESS
de los dispositivos, identificador que también permite tomar decisiones al
servidor de autenticación de acceso a la red.
¿Como
es que ISE puede permitir otorgar mecanismos de seguridad en base a la autenticación?
Al
igual que cualquier servidor de autenticación ISE es capaz de tomar acciones
y/o asignar privilegios a un usuario, pero ¿se
imaginó usted alguna vez que un servidor podría permitir otorgar privilegios a
nivel de red como ser listas de acceso o “ip tables” a un usuario o dispositivo
solo con haberlo identificado? El servidor ISE hace realidad esto, siendo capaz
de restringir accesos a nivel de red a usuarios y/o dispositivos que no cumplan
con la autenticación. ¿Se ha preguntado si esto es suficiente?
¡Claro que no! A estas alturas la ambición por las funcionalidades de este
servicio que permitan garantizar la seguridad de una organización apenas está
empezando.
Entonces, si ya sé
que, como, cuando y donde puedo realizar la analítica, autenticación y permisos
a los usuarios ¿Qué
más podría aspirar a lograr con este servicio?
La
respuesta a esta última pregunta está basada en su totalidad en un término muy
bien conocido en el área de seguridad, este término viene definido en las
siglas AAA y es la AUTORIZACIÓN. Este término se refiere a todo aquello que
puedo accionar como ser privilegios y otro tipo de permisos y/o acciones a
usuarios y dispositivos en la red basado en la autenticación, sin embargo, como
ya habíamos dicho esto no es suficiente, Cisco ha buscado la manera de poder ir
más halla y no obedecer únicamente al termino previo de estas siglas que es la
AUTENTICACIÓN.
Entiendo
que en este punto ya las cosas se han complicado, pero no se preocupe que ahora
mismo veremos la explicación de toda esta telaraña de términos y definiciones.
AAA
es un protocolo que engloba tres términos, los cuales son: Autenticación,
Autorización y Recolección en cuanto a lo que se refiere seguridad en el acceso
a la red, ya que habíamos acordado que la idea de este artículo no es aburrirnos
con detalles técnicos respecto a esta herramienta pasemos a conversar acerca de
la autorización y él porque de una nueva visión que va más allá de la autenticación.
Cisco
a través del servicio de ISE ha permitido que los administradores de este
servicio sean capaces de otorgar permisos y/o privilegios a usuarios y/o
dispositivos no solamente basándose en sus credenciales sino en otro tipo de parámetros
que permiten otorgar mayor seguridad a la información generando una
inteligencia en el servicio que es capaz de identificar diversos parámetros y
autorizar de esta manera distintas acciones que permitan garantizar la
seguridad de la red de la organización.
Vamos
a separar 4 de los más importantes apartados en los que se definan estos parámetros
que permiten al servicio dar un nivel de autorización:
- Grupos de seguridad.
- ISE permite crear y agrupar de forma local distintos usuarios de manera que
obedezcan a las necesidades de organización de la empresa, generalmente estos
grupos están enfocados en áreas y/o cargos de los empleados aun que dependiendo
de la organización estos grupos podrían ser customizados en función a sus
necesidades. No se asuste los usuarios y grupos no necesariamente tienen que
ser locales, pueden ser importados de servidores de autenticación de terceros
como ser Active Directory, LDAP o hasta servidores Radius.
- Atributos. – Ya que
el servicio permite importar usuarios y grupos de seguridad de servidores de
terceros también permite la importación de atributos específicos por los cuales
se puede otorgar mayor granularidad a nivel de permisos y/o privilegios en la autorización,
por ejemplo un usuario podría pertenecer al grupo de contabilidad pero contar
con un atributo activo que lo defina además como jefe o gerente del área, la
idea de este atributo es que permita al servidor ISE otorgar privilegios extras
o de menor alcance a los del usuario o grupo pre definido.
- Perfilamiento. –
Este término mayormente conocido en el mundo de la seguridad como “profiling”
permite a este servidor generar perfiles de dispositivos que quieren acceder a
la red haciendo posible la identificación de la marca, modelo, explorador o
medio que está utilizando y sistema operativo que utiliza. Esto permite al
servidor otorgar privilegios a dispositivos que cumplan las medidas
establecidas en la organización , por ejemplo si los administradores en base a
las políticas de la empresa decidan que no accedan dispositivos que hacen uso
de sistemas operativos que ya este fuera de soporte podría hacerlo a través de
perfilamiento, otro tipo de acciones que pueden tomarse con estos parámetros son
por ejemplo el acceso a redes con niveles de acceso a internet diferentes,
pudiendo distinguir que las necesidades de conexión externa son diferentes por
ejemplo para dispositivos Andorid y para dispositivos IOS.
- Postura. – Este
servidor además permite la recopilación de datos como ser fechas de instalación
de parches, actualización y uso de antivirus, y requisitos del sistema operativo
como ser aplicaciones pre instaladas o acciones en el sistema que generen un
nuevo parámetro que permita a la autorización otorgar diferentes privilegios según
la ocasión hasta incluso poner en cuarentena el dispositivo y auto remediar los
requisitos que no se han cumplido.
Ya
hemos revisado todo el apartado de seguridad que involucra un servidor de autenticación
a la red como ser ISE. Pierda cuidado que en un próximo articulo estaremos
hablando de BYOD y GUEST ACCESS que son otras funcionalidades de última generación
que pueden realizarse con este servicio analizando también la razón de existir
de las mismas.
Gracias por haberse
tomado el tiempo de leer este artículo.
Con mucha dedicación,
Ing. Fabricio López
Prado