Términos como comercio electrónico, interempresarial (B2B) y sitio web son ya familiares fuera del sector de las tecnologías de la información, lo que indica simplemente hasta dónde ha llegado Internet dentro de la economía del sector y de la conciencia individual.
Sin embargo, cuanto más dependemos de Internet, más debemos protegernos de sus abusos.
Aunque se ha dado mucha publicidad a los virus -como el caso de I Love You, del que algunos economistas calcularon que alcanzó a más de un 25 por ciento de los trabajadores con acceso a Internet en los Estados Unidos y ocasionó pérdidas financieras de hasta 10.000 millones de dólares-, la integridad de las infraestructuras de los proveedores de servicios es un tema aún desconocido que todavía le queda tiempoa para alcanzar la madurez de la red de telefonía pública. Estamos acostumbrados a descolgar el teléfono, marcar un número y conectarnos con cualquier lugar del mundo, con cualquier tipo de teléfono que ofrezca un cien por cien100% de fiabilidad. Sigue resultando extraño que una centralita telefónica se atasque por sobrecarga de volumen de llamadas. Sin embargo, cada vez más, éste es el tipo de problema al que se enfrentan los proveedores de servicios de Internet a la hora de defenderse contra ataques maliciosos.
Llegados a este punto, es importante apreciar la separación entre las medidas de seguridad de transacción y las defensas de la infraestructura. Transacciones como las del sistema bancario en Internet y el correo electrónico son aplicaciones que emplean las empresas y particulares, pero se basan en infraestructuras seguras de proveedores de servicios. Las VPNs (Virtual Private Network o rred privada virtual) y las capacidades de cifrado facilitadas por IP SEC se pueden incluir en la categoría de las transacciones. IP SEC protege la información desde el usuario hasta el punto de servicio donde reside la aplicación y, por lo tanto, son las empresas las que suelen gestionarla. Cuando una red privada virtual IP SEC está gestionada por una empresa, los proveedores de servicios planifican el despliegue y gestión de MPLS VPN.
La técnica MPLS forma parte de la infraestructura mediante la creación de túneles de seguridad en el proveedor, en lugar de en las instalaciones del cliente.
Aunque MPLS libera a las empresas de la complejidad y la gestión que requiere la técnica IP SEC, hay muchas demandas en los routers de acceso de los proveedores, y los equipos con cierta antigüedad se encuentran lejos de poder satisfacerlas.
Los ataques de «piratas informáticos» son otro tema de actualidad. En el caso de proveedores de servicios, existen tres aspectos para asegurar el contenido. La primera zona es de defensa del perímetro de la red, de modo que no se permite el tráfico no deseado o por lo menos se limita a un mínimo. La segunda zona es de detención de los inicios de sesión no autorizados en los propios equipos, los cuales podrían ser reconfigurados y por tanto tirar toda la red. La tercera zona es se refiere al registro de los ataques que tienen éxito, mediante una alarma y la localización del punto de origen.
El primer aspecto de la seguridad, dirigido a la defensa del perímetro, se podría considerar similar al control y bloqueo de llamadas telefónicas maliciosas. Regular el tráfico es una de las aplicaciones factibles gracias a las funciones del límite de flujos de tráfico disponibles en la nueva generación de routers de Internet, de modo que un, router PE (Provider Edge) puede examinar cada paquete de datos que entran en sus puertos y aplicar diferentes acciones configurables mediante filtros. En el caso de un ataque DOS, el router puede contar con un umbral determinado de respuestas eco ICMP como tráfico legal. Si el nivel de tráfico ICMP sobrepasa el umbral, se desechan las respuestas de eco, limitando de este modo la eficacia del ataque. Cuando se realiza una conexión de peer con otro proveedor de servicios, la función del límite de flujo de tráfico ofrece el control que se va a realizar incluso si el tráfico tieneuvo su origen fuera de nuestra infraestructura IP.
El segundo aspecto de la seguridad, que se centra en los inicios de sesión no autorizados, se puede considerar similar a la combinación de grupos cerrados de usuarios de teléfonos y de prohibición de llamadas. La mejora de routers centrales de proveedores de servicios incluye la aplicación de filtros de paquetes, que detienen los ataques basados en simular la dirección del NOC (centro de operaciones de la red). Los filtros se pueden ajustar para desechar paquetes de entrada desde el punto de conexión con otro operador si contienen una dirección simulada, al igual que los paquetes de una fuente NOC original no llegarían a esta interfaz.
El tercer aspecto de la seguridad es la capacidad para localizar el origen de un ataque, parecido a la función CLI (identificador de llamada) de los disponible para teléfonos. Del mismo modo que un router de Internet se puede configurar para limitar la velocidad de respuestas de eco ICMP, puede registrarse cada caso en el que se desecha un paquete lo que permite, crear un catálogo de detalles sobre el ataque con datos sobre el momento en el que se recibió el paquete, las interfaces, el protocolo (en este caso ICMP), la dirección de origen y la dirección de destino. Aunque se haya simulado la dirección de origen, el registro permite que un proveedor de servicios realice un seguimiento contracorriente del flujo de datos, router por router, hasta alcanzar el punto en el que el ataque se introdujo en la infraestructura. Al disponer de esta información de manera instantánea, se puede registrar un ataque en el momento en que tiene lugar, lo que facilita contactar con las redes de origen y cortar el ataque.
Por lo general, los proveedores de servicios tenían que sacrificar su calidad cuando querían ofrecer servicios de valor añadido y de seguridad. Había que elegir entre rendimiento y servicios cuando se hacía necesario filtrar todos los paquetes y establecer políticas de control de flujos. En este sentido, los routers de la serie M de Juniper Networks están diseñados específicamente para cubrir las demandas de Internet, con tecnología ASIC y software JUNOS creado específicamente para estos productos. Esto cobra especial importancia a medida que aumentan los requisitos, como cientos de miles de operaciones de filtrado, tanto en la parte del proveedor de Internet como en la infraestructura troncal.
El impacto de la oferta de rendimiento y servicios sin compromiso significa que los proveedores de servicios pueden desempeñar un papel importante a la hora de hacer de Internet un mundo seguro para sus clientes.
José Carrallo, director general de Juniper Networks España
