Cuando se creó Internet, no se incorporó la seguridad como un elemento fundamental de su infraestructura. Eso ha creado problemas y vulnerabilidades con un alcance global, que requiere que proveedores y gestores de infraestructura, organizaciones, empresas de telecomunicaciones y personas individuales tengan que tomar medidas constantes para asegurar sus comunicaciones.
Por ejemplo, en 2008, el investigador de seguridad Dan Kaminsky descubrió un error en el diseño del protocolo DNS que permitió la creación de toda una categoría de vulnerabilidades llamadas DNS spoofing o cache poisoning.
Más recientemente, en 2020, tuvo lugar un ejemplo de BGP hijacking, una vulnerabilidad del Border Gateway Protocol, el protocolo de puerta de enlace que gobierna el intercambio de información de routing de paquetes entre distintas redes. El proveedor de telecomunicaciones australiano Telstra redirigió a sus redes tráfico que tendría que haber ido al proveedor de email cifrado Protonmail.
Esto son solo dos ejemplos de problemas de diseño de los protocolos fundamentales de la red que son fuente de vulnerabilidades. Por ello es siempre importante el aumentar la seguridad de tu conectividad y de tus dispositivos de enrutamiento. El incremento en el uso de internet como consecuencia de la pandemia de COVID-19, que ha aumentado nuestro uso de plataformas de streaming de contenido, nos ha hecho trabajar desde casa e incluso ha aumentado el uso de telemedicina, así como otras macrotendencias como el incremento de dispositivos de la internet de las cosas, no hace más que aumentar la urgencia de implementar normas básicas de seguridad de red.
Incrementando la seguridad de redes y comunicaciones
La seguridad total no existe. Vivimos en un entorno en cambio constante, en el que nuevas vulnerabilidades son descubiertas a diario y, por otro lado, se trabaja para parchear y solucionar esos problemas de seguridad antes de que puedan ser aprovechados por un atacante. Aunque no es posible lograr una protección total, es fundamental una actitud de seguridad proactiva en redes con dos objetivos:
- Evitar los problemas de seguridad básicos.
- Tomar una buena posición, tanto a nivel de infraestructura como de procesos y de preparación, para evolucionar y reaccionar a cambios en el entorno de seguridad y amenazas.
Como hemos visto con la vulnerabilidad mencionada del Border Gateway Protocol, los incidentes de routing -hijacks, route leaks, spoofing, etc- pueden hacer que redes legítimas sean inalcanzables o desviadas a otros destinos, con el problema económico y de seguridad que puede conllevar.
MANRS es una iniciativa global con el soporte de la Internet Society que vela por la seguridad y eficiencia en el intercambio de rutas de los proveedores de Internet, con el objetivo de proteger la red global de una forma activa. Esta iniciativa permite reducir la mayoría de las amenazas de enrutamiento más comunes.
En Adam entendemos que parte de nuestra responsabilidad es contribuir a un internet más robusto, estable y seguro. Por eso fuimos pioneros en España en adherirnos a esta iniciativa, junto a CATNIX, RedIRIS y Nexica.
Para cumplir con las exigencias de MANRS hay que realizar 4 acciones:
- Prevenir la propagación de información de enrutamiento incorrecto.
- Prevenir el tráfico con IP de origen spoofed.
- Facilitar la comunicación y la coordinación global entre operadores de red.
- Facilitar la validación de información de enrutamiento a nivel global
Resource Public Key Infraestructure (RPKI) es otro marco de trabajo para mejorar la seguridad del BGP. La implementación de este protocolo en marzo de 2021 solo alcanza el 18% de las redes a nivel global. En España, esa cifra sube al 33%. Muy por encima del 6% de Estados Unidos, pero por detrás del 45% de Francia.
Qué pueden hacer las empresas para mejorar la seguridad de sus redes
La tipología de trabajo remoto o híbrido ya no es un caso excepcional, sino una realidad que probablemente venga para quedarse. Para los equipos encargados de gestionar redes y conectividad esto supone un desafío, ya que se multiplican los puntos de contacto. Igualmente, cadenas de hostelería, restauración o distribución también cuentan con desafíos parecidos.
En ambos casos, tanto la conectividad de sus sedes con internet como la interconexión entre ellas son elementos cruciales para asegurar la continuidad del negocio. Por tanto, es importante invertir recursos en una seguridad más robusta de esas redes para evitar incidentes.
Reforzar la seguridad de tu infraestructura es un proceso continuo que abarca tanto la conectividad como la capa de aplicaciones y la capa social. De cara a trabajar las redes Hay dos grandes áreas de mejora en la que puedes trabajar:
- Adopción de mejores prácticas: al final, la seguridad de tus redes depende sobre todo de tu gestión. Definir y adoptar mejores prácticas de seguridad de forma estricta te permitirá estar preparado para los incidentes de seguridad más comunes y evitar errores que expongan tus redes a riesgos innecesarios. Dado que muchos ataques utilizan ingeniería social y no explotan ninguna vulnerabilidad, cuidar la higiene de los procesos es fundamental.
- Extender la seguridad de tus redes: puedes fortalecer la seguridad de tu conectividad con servicios como VPN para trabajo en remoto, firewalls y segmentación de redes con SD-WAN que permitan compartimentalizar tus redes para contener posibles ataques.
En Adam trabajamos de forma constante para ofrecer a nuestros clientes las mejores soluciones de seguridad para su conectividad. Recientemente hemos lanzado dos nuevos servicios:
- Network Manager Express VPN: instalación de un equipo de routing y tunelización VPN para establecer conectividad mediante VPN en cualquiera de sus formatos entre tus sedes de cliente y/o entre tus sedes y los data center de Adam.
- Network Manager Managed Firewall: además del equipo de routing y tunelización VPN, incluye un firewall gestionado por uno de nuestros partners. El servicio consiste en una auditoría inicial, y la implementación, instalación y gestión del equipo, además de servicios de monitorización, gestión de incidencias y provisiones.
Mejorar de forma proactiva la seguridad de las redes nos ahorrará problemas e incidencias, además de mejorar la experiencia de uso de nuestros usuarios al evitar interrupciones del servicio y problemas de seguridad que puedan afectar a sus datos.
Este artículo ha sido escrito por
Ferran Pons
Coordinador del Área Network Operations Center