No-Trust Infrastructures

La forma tradicional de implantar sistemas IT se ha basado en tener una red interna de confianza considerada “segura”, protegida por uno o varios firewalls y capas de seguridad. Fuera de esta zona, teníamos Internet público y la zona de red insegura.

En la zona segura teníamos hospedados nuestros servidores y sistemas críticos, con sus bases de datos, directorios, datos críticos, etc.

Sin embargo cada vez resulta necesario, por no decir imprescindible conectar nuestros servidores y sistemas internos de la zona segura con el mundo exterior para conectarlos a servicios en el cloud público, APIs, microservicios, etc. Y todos estas conexiones externas han convertido a los firewalls en auténticos “quesos de gruyere” con tanta conexión abierta.

Lo mismo sucede con los equipos de usuario final como PCs, Smartphones o Tablets: Aunque sean equipos de empresa la mayoría de las veces se conectan directamente a Internet desde fuera de la oficina. Ya no sirve que los protejamos suponiendo que se conectarán siempre a través de un proxy o un firewall para acceder a innumerables servicios que, en la mayoría de casos, también son accesibles únicamente a través de Internet público.

Y lo mismo sucede con otros elementos de infraestructura como switches, access points, sensores IoT, impresoras, etc – todos requieren cada vez más conectividad con servicios accesibles por Internet fuera de la red interna de la empresa.

La solución a esto implica un cambio de paradigma y en lo que se basa la filosofía de infraestructura “no-trust”: Ya no podemos distinguir en una zona de red segura y confiable y otra insegura. Debemos considerar todas las redes y sistemas no confiables y preparar la infraestructura y los sistemas para ello.

Cómo securizar las infraestructutras “No-trust”

  1. Securizar cualquier sistema (“Hardening”) desde su puesta en marcha: Ya no podemos esperar a la puesta en producción para securizar los sistemas. El “Security by design” se debe aplicar desde el primer momento que se pone en marcha cualquier sistema
  2. Hacer accesibles a los sistemas únicamente a través de conexiones cifradas y securizadas: SSL / TLS, IPSec, doble factor de autenticación, etc
  3. Cifrar los datos
  4. Parchear continuamente los sistemas. Ya no podemos espesar semanas a securizar los sistemas. Se deben parchear tan pronto como se puedan y se publiquen las vulnerabilidades. Si tenemos externalizada la administración de sistemas debemos asegurar que nuestro proveedor lo cumple por contrato
  5. Retirar inmediatamente los sistemas que no se utilicen

En definitiva debemos diseñar la seguridad de nuestros sistemas, aunque sean internos, para que puedan exponerse a Internet.

Por supuesto por temas de compliance y normativas (PCI-DSS, GDPR, etc) puede ser que aun así tengamos que proteger los sistemas en “burbujas” especiales con una protección dedicada.

Solución a los problemas de cobertura WIFI

No vivo en un piso muy grande pero hasta ahora he tenido problemas de cobertura WIFI: El router conectado a la fibra óptica está en un extremo en el salón y la habitación donde suelo trabajar con el ordenador se encuentra justo en el extremo opuesto de mi casa. Además de cada vez tenemos más dispositivos con conexión WIFI en casa, en mi caso: 2 PCs portátiles, 2 Tablets, 2 móviles, bombillas Philips HUE, 2 altavoces inalámbricos, una SmartTV y un Google ChromeCast.

Primero probé con un repetidor WIFI pero lo devolví el mismo día por el mal resultado que obtuve. Después lo resolví provisionalmente con una solución PLC (utilizando la red eléctrica doméstica para transmitir datos) que podemos adquirir en cualquier tienda de informática. Sin embargo no alcanzaba una velocidad muy buena de transmisión y, el hecho de tener dos redes WIFI (SSID) con nombres diferentes no ayudaba mucho: Los dispositivos no saben identificar a qué red conectarse automáticamente en función de la cobertura/rendimiento.

Redes WIFI Mesh

Mis problemas se solucionaron definitivamente adquiriendo una solución WIFI Mesh, en mi caso Google WIFI. Aunque hay soluciones de la mayoría de fabricantes de equipos de red como Linksys, TP-Link, Netgear, Nova, etc. Basta con echar un vistazo en Amazon.com

Las redes MESH permiten crear una única red WIFI compartida a través de varios puntos de acceso que colocaremos en la casa. Los puntos de acceso son “inteligentes” y se aseguran que nuestros dispositivos se conecten al que proporciona mejor cobertura.

Además estos equipos suelen incluir funcionalidades de auto-gestión interesantes. En el caso particular de Google WIFI los equipos se actualizan de forma automática, permiten controlar el acceso por horario a los niños de la casa, priorizar tráfico para un dispositivo, controlar dispositivos tipo bombillas Philips Hue, etc.

En mi caso compré un pack de 3 puntos de acceso de Google WIFI disponible en la mayoría de tiendas de Informática. Uno lo conecté al router de fibra de Movistar y los otros dos en los extremos opuestos de la casa. Gracias a esta solución se han acabado los problemas de cobertura.

El único inconveniente de estas soluciones Mesh es su precio comparado con las alternativas más baratas de extensores WIFI o PLC. Un pack de 3 puntos de acceso suele rondar los 200-300 euros, aunque el fabricante Nova ya ofrece soluciones por 99 euros.