sd-wan securityLa tecnología SD-WAN representa algunos beneficios innegables, aunque oculta algunas amenazas o retos para las empresas. ¿Cuáles son? ¿Cómo se pueden superar?

En el post anterior hablé sobre las raíces del SD-WAN y sus ventajas. Se trataba de un post en el que rescataba un artículo publicado en la revista Securitecnia sobre las ventajas de la tecnología SD-WAN. Pero por motivos de extensión, solo pude reproducir la primera parte del artículo.  

En esta ocasión me gustaría poner en conocimiento del lector la segunda parte del ensayo, porque al igual que la primera, conecta con los intereses de los clientes de Teldat, los seguidores y el público en general.

La segunda entrega del artículo centra su atención, no ya en las ventajas de SD-WAN, sino en los problemas que plantea. Sin más dilación, transcribo a continuación la segunda parte del texto.

Pero todas estas ventajas no están exentas de retos o amenazas que las empresas interesadas deberán evaluar bien cuando analicen las distintas opciones que ofrece el mercado. En lo relativo a la seguridad, las principales nuevas amenazas están motivadas por el uso de redes de banda ancha “residenciales” no seguras, que de hecho conectan las sedes remotas SD-WAN directamente a Internet, a diferencia de lo que ocurre en una red WAN empresarial tradicional donde servicios como el MPLS crean una red privada virtual (VPN) totalmente inaccesible desde Internet.

Debido a esto, los principales riesgos de seguridad adicionales, frente a una red MPLS, de una red SD-WAN son varios.

En primer lugar, el tráfico que viaja por Internet es por naturaleza no seguro, por lo que será necesario cifrarlo si queremos evitar que dicho tráfico pueda ser inspeccionado o reemplazado por terceras partes. La totalidad de las soluciones SD-WAN del mercado emplean tecnologías de VPN para la creación del “overlay” o red WAN virtual por encima de la red física. No obstante, no todas las tecnologías VPN son iguales y podemos observar diferencias tanto en relación a la calidad de la autenticación o del cifrado como en el empleo de mecanismos de VPN propietarios. Adicionalmente se podrá mirar el “track record” de cada tecnología VPN en particular y sus referencias reales (SD-WAN es todavía una tecnología muy reciente) para analizar la robustez y escalabilidad de cada solución, factores ambos que afectan tanto a los costes de despliegue como a los de operación.

En segundo lugar, aunque quizás más importante aún que la posibilidad de que nuestro tráfico corporativo sea visto en Internet, está el hecho de que SD-WAN ofrece una puerta de entrada a nuestro datacenter corporativo, a través de Internet, a cualquiera que se logre hacer pasar por un extremo o terminador SD-WAN remoto (de oficina). Debido a que la mayoría de las conexiones de Internet de banda ancha residenciales emplean direccionamiento IP dinámico, esto es, no conocido de antemano, las soluciones SD-WAN están preparadas para trabajar en este entorno de conexión con direccionamiento IP dinámico. Como cualquier línea de Internet es a priori válida para conectarse a la red corporativa, cualquiera que logre simular o disponga de un equipo terminador SD-WAN puede, potencialmente, conectarse a la red central corporativa, con todos los permisos y salvoconductos de un usuario legítimo. El mayor riesgo generado por esta característica del SD-WAN es el derivado del robo del equipo terminador SD-WAN original de mi oficina o punto remoto. El ladrón de dicho dispositivo tiene potencialmente acceso a mi red corporativa. Esta situación no ocurre en una red MPLS, ya que el acceso a los sistemas centrales está condicionado al uso de la línea WAN MPLS en particular de cada oficina, por lo que un potencial ladrón del router MPLS no puede acceder a la red conectando el router a cualquier red de banda ancha. Por lo tanto, las soluciones SD-WAN deben estar provistas de mecanismos antirrobo de equipos, que detecten la utilización de los mismos fuera de las oficinas corporativas remotas. Una amenaza a proteger, dentro de esta categoría, es la utilización del “botón de reset” disponible en la mayoría de equipos de comunicación, que restaura en el dispositivo su configuración “de fábrica” y que un usuario malicioso podría querer utilizar también para “reconectar” el terminador SD-WAN a la red central desde un punto remoto no autorizado, simulando una primera instalación.

Un tercer riesgo, muy relacionado con esto último, es la instalación segura de terminadores SD-WAN en oficinas autorizadas. La independencia intrínseca del SD-WAN respecto al proveedor o proveedores de red hace mucho más fácil y común el empleo de mecanismos de provisión sin intervención humana en el punto remoto (ZTP o zero touch provisioning en inglés) por lo que la mayoría de las soluciones SD-WAN del mercado dispone de dichos mecanismos ZTP. De esta forma, los terminadores SD-WAN remotos pueden ser enviados por correo ordinario, por ejemplo y pueden ser instalados en las oficinas corporativas correspondientes por el propio personal de la oficina, sin que personal técnico especializado se traslade a dicha oficina y sin necesidad de formación muy específica del personal de la oficina, que simplemente tiene que sacar el equipo de la caja y conectarlo entre los routers existentes y los dispositivos de la red local (LAN) de la oficina o switch LAN. Las soluciones SD-WAN deberán disponer, por lo tanto, de mecanismos de seguridad en la puesta en marcha o primera instalación del dispositivo en la oficina remota. Se requiere principalmente una autenticación segura en ambos sentidos: del terminador SD-WAN remoto al punto central y al revés. Las distintas alternativas del mercado tratan de solucionar este riesgo de una manera sencilla, que permita el ZTP y podemos encontrar varias respuestas al problema, como el uso de “tokens” de seguridad por USB, aplicaciones en smartphones, envío de correos electrónicos o SMS con credenciales para la autenticación, etc. Por supuesto, esta autenticación mutua deberá mantenerse en el tiempo para sucesivas conexiones, no sólo en la primera conexión de instalación. Lo normal para sucesivas conexiones es que no se requiera repetir el mecanismo de ZTP, que aunque no requiere intervención humana en el punto remoto si emplea normalmente algún tipo de validación “manual” o específica en el punto central. Para ello, el terminador SD-WAN debe almacenar las credenciales de conexión al menos durante cierto tiempo. Es aquí donde los mecanismos antirrobo mencionados anteriormente deben entrar en juego.

Como último riesgo, adicionalmente al tráfico corporativo, conviene analizar también la seguridad del mecanismo o protocolo de comunicación entre el terminador SD-WAN remoto y el sistema de gestión central o controlador, empleando la terminología nativa de SDN. Dicho canal de comunicación deberá ser también seguro (es común o al menos posible alojar el controlador en una nube pública o que el tráfico de gestión viaje a través de Internet). Si se usa un controlador en la nube pública en una topología “multi-tenant”, esto es, compartido para varios clientes distintos, se deberá analizar también la seguridad del mecanismo de “reclamo” de equipos en una primera instalación: un terminador SD-WAN remoto podría ser a priori de cualquier cliente de los que comparte la infraestructura de la nube pública, pero sólo aquel cliente legítimo deberá ser capaz de reclamarlo.

Además, en mi blog anterior comenté que SD-WAN se puede utilizar no solo en oficinas remotas tradicionales, sino también en cualquier punto de la red corporativa que tenga sentido conectar. Di ejemplos de M2M y comunicaciones en el mundo del transporte. En estos casos los riesgos de seguridad mencionados anteriormente deberán ser analizados y ampliados a las particularidades de dichos ámbitos “no oficina”. Por ejemplo, dichos entornos utilizan típicamente tecnología de conexión 4G, que requieren el uso de tarjetas SIM, que suponen un reto adicional de seguridad, ante la posibilidad de robo o ataque de denegación (bloqueo intencionado de SIM, por ejemplo).

Y así finaliza el artículo publicado en la revista Securitecnia. Desde Teldat esperamos que os haya parecido interesante, y que os haya ayudado a resolver dudas o profundizar en el concepto de SD-WAN.

Como conclusión, solo comentar que es una tecnología prometedora que, aunque inmadura todavía, ha nacido para permitir que las empresas utilicen de manera segura las redes de banda ancha por Internet, con la  gran cantidad de ventajas que conllevan para la empresa, en comparación con el uso tradicional de redes MPLS.

En SD-WAN son inherentes los riegos derivados del uso de Internet. Pero precisamente por eso, la seguridad está en el punto de mira y en los objetivos de diseño críticos desde el primer momento.


Sobre el autor

Eduardo Tejedor

Comparte este post

Tweet about this on TwitterShare on LinkedInShare on Google+Email this to someone