Gestión remota de la seguridad en cajeros

atm securityActualmente, los principales objetivos de los ciberdelincuentes son las entidades bancarias. La posibilidad de conseguir rápidamente dinero en efectivo o acceso a datos económicos de los usuarios es un suculento botín. Un punto débil relativo a la seguridad es el de los cajeros automáticos, aunque los que se encuentran ubicados en las sucursales suelen estar en lugares vigilados y dotados de múltiples medidas de seguridad. Sin embargo, aquellos que están desplazados e instalados de manera independiente no disponen de toda esa infraestructura de seguridad.

(más…)

Ignacio Esnoz: graduado en Ingeniería Técnica de Telecomunicación con especialidad en Telemática. Especialista de producto SD-WAN en Teldat.    

Smartgrid: seguridad en la red

smartgrid schemaUno de los retos más importantes y exigentes que hay que tener en cuenta a la hora de implantar una  red smartgrid es el de conseguir que sea estable, segura y fiable.

El estado del arte de la tecnología disponible en la actualidad permite activar mecanismos de seguridad en los distintos dispositivos de comunicaciones de la red que aseguran la confidencialidad de las comunicaciones, la integridad de los datos transmitidos y la disponibilidad de la información.

(más…)

Andres Monterrubio:

Internet de las cosas: ¿un regalo envenenado?

iotEste año, el Internet de las cosas (IoT, por sus siglas en inglés) conectará a unos 5.000 millones de terminales y dispositivos. ¿Es una buena idea desde el punto de vista de la seguridad? 

(más…)

Heidi Eggerstedt: Heidi Eggerstedt es parte del Departamento de Marketing de bintec-elmeg. Dentro de este departamento es la responsable de la documentación de marketing y traducciones

Conexión de sucursales a través de VPN

router cloud para oficinasLa necesidad de conectar las sucursales y filiales de una compañía no se debe solo una cuestión técnica. También es una cuestión de ahorro en costes. Con el fin de mantenerse al día en un entorno global, los operadores de la cadena deben mantener a un nivel bajo su coste y garantizar que los procesos sean ligeros y rápidos. Esto significa que las sucursales y filiales deben ser gestionadas y administradas de forma centralizada. Una parte elemental es la infraestructura de IT que conecta a todos los usuarios dentro de la red de forma segura, económica y sin gran esfuerzo.

(más…)

Bernd Buettner:

Redes Privadas Virtuales, tipos y características

¿Qué es una Red Privada Virtual? ¿Cuántos tipos de RPV existen, y para qué se utilizan? ¿Cómo elegir el tipo más adecuado para responder a necesidades específicas? Hoy respondemos a estas y otras preguntas

Una Red Privada Virtual (RPV), en esencia, consiste en usar una red (IP), normalmente pública, pero con un nivel de abstracción tal que se usa solo como mecanismo de transporte entre extremos, y que servirá para construir una red privada. Pero el hecho de usar una red pública conlleva la necesidad de extremar la seguridad en las comunicaciones. Así, ambos conceptos, RPV y seguridad, tienden a fundirse en uno solo, independientemente de que el núcleo de la red que proporciona conectividad sea público o privado. A tales efectos, las conexiones entre los puntos reciben el nombre de “túneles”, precisamente porque ocultan la información privada que viaja a través de la red pública.

Dado que la seguridad, como decíamos, es un factor clave en las comunicaciones, es necesario conocer los distintos tipos de RPV. Solo así se puede elegir, con conocimiento de causa, cuál es el que mejor se adapta a cada escenario en concreto. Pero no todo el mundo posee conocimientos avanzados en IT como para sopesar la información relevante. Uno de los problemas, es orientarse entre la maraña de acrónimos asociados a las RPV, tan crípticos que pueden suponer una barrera infranqueable para la comprensión (GRE, L2TP, IPSec, DMVPN, GDOI, SSLVPN, WebVPN, y un largo etcétera).

En Teldat nos hemos propuesto desmenuzar estos tecnicismos en la medida de lo posible, explicándolos para que todo el mundo, con independencia de sus conocimientos técnicos, pueda entender lo que está en juego, y sea capaz de orientar sus decisiones.

RPV a nivel de red

Consiste en la implementación de la Red Privada Virtual a nivel 3 de la capa OSI, esto significa que máquinas y aplicaciones a ambos lados del túnel se ven entre ellas exactamente igual que lo harían mediante una conexión directa. Este tipo de RPV es transparente a cualquier protocolo y aplicación.

  • GRE (Generic Router Encapsulation) y L2TP (Layer 2 Tunneling Protocol) son protocolos sencillos que permiten construir Redes Privadas Virtuales a nivel de red, si bien a pesar de ser protocolos perfectamente estandarizados y de probada compatibilidad, no se ha desarrollado sobre ellos un nivel de seguridad suficiente. Por esa razón, no son ampliamente usados, más que como un protocolo auxiliar para la interconexión de la RPV.
  • IPSec (Internet Protocol Security) es una alternativa estándar sobre la que sí se ha desarrollado un nivel de seguridad adecuado. De hecho, es el estándar en protocolo de seguridad en RPVs y, por tanto, es usado ampliamente en los routers de la periferia de red.
  • DMVPN (Dynamic Multipoint Virtual Private Networks) es una arquitectura de RPV basada en el uso simultáneo de GRE e IPSec. El primero (GRE), es usado para la conectividad, mientras que el segundo se emplea para la seguridad. Aquí, la principal ventaja de GRE es que permite enviar información de routing, de modo que los extremos del túnel se informan entre ellos de las redes privadas, lo cual reduce el esfuerzo de configuración para construir RPV. Y lo hace reduciendo el número de puntos: DMVPN se basa en uno, central (Hub) al que se conectan el resto de puntos remotos (Spokes), y que distribuye la información de routing entre todos ellos. DMVPN está basado en la RFC2332 NBMA Next Hop Resolution Protocol (NHRP).
  • GETVPN (Group Encrypted Transport Virtual Private Networks) or GDOI (Group Domain Of Interpretation) es un mecanismo adicional a IPSec, que facilita la gestión de claves. También basado en RFC e interoperable, se basa en un servidor central que genera y envía claves a todos los puntos. GETVPN no realiza túneles, razón por la cual, solo funciona si el direccionamiento de los hosts es público.

Los routers de las oficinas remotas establecen RPV a nivel de red, de forma transparente a las máquinas de la red local, aunque también es posible encontrar implementaciones (IPSec y L2TP, principalmente) en hosts, bien como parte del sistema operativo (Windows, Linux, Android, iOS), bien como servicios de red adicionales desarrollados por terceros.

RPV a nivel de aplicación

Se implementan estableciendo una Red Privada Virtual sin que los routers intermedios, ni la pila de red del host, intevengan en el proceso. Se basa en el protocolo SSL (Socket Security Layer) desde una sesión HTTP. En su versión más básica (clientless), el servidor SSL mantiene, a través de la red pública, una sesión segura con el navegador HTTP del cliente, y presenta recursos de la red interna (aplicaciones, servidores de ficheros, etc.) en formato web. Por esa razón, recibe el nombre de “HTTP Reserve Proxy”.

Una versión más avanzada (Full Network Access), descarga en el cliente un applet que crea interfaces virtuales para interceptar el tráfico privado a intercambiar entre el cliente y la red privada. De este modo, se consigue establecer, de forma efectiva, una RPV entre el host y la red privada conectada al servidor.

SSL es una implementación original de Netscape. La versión 3.0 ha sido estandarizada por IETF, adquiriendo el nombre de TLS 1.0 (Transport Layer Security). La parte estandarizada comprende el protocolo de seguridad, pero no las funcionalidades HTTP Reserve Proxy, ni los applets, que son propietarios.

Qué Red Privada Virtual es mejor

Depende de las necesidades a satisfacer. Las Redes Privadas Virtuales, a nivel de aplicación, son la solución para interconectar de forma individual una máquina, desde cualquier punto de la red pública, fuera de las oficinas. Por ejemplo usuarios móviles que se conectan con sus dispositivos portátiles desde internet (PCs, tablets, teléfonos, etc.) o incluso desde PCs públicos. Los servidores de RPV a nivel de aplicación suelen encontrarse en las oficinas centrales, y no en los routers de acceso.

Para establecer RPVs entre distintas sedes de una empresa la solución son las RPVs a nivel de red desde los routers de acceso de cada sede, donde IPSec es el estándar de facto.

Teldat es líder en interoperabilidad en tecnologías de RPV de red (L2TP, GRE, DMVPN, GETVPN e IPSEC). Le ofrecemos el asesoramiento que necesite sobre RPV de red. Contamos con amplias referencias por parte de grandes clientes. Porque la mejor forma de ganarnos su confianza, es ofrecerle un servicio de élite.

Marcel Gil: Ingeniero en Telecomunicaciones y Máster en Telemática por la Universidad Politécnica de Catalunya, es Responsable de la línea de negocio SD-WAN en Teldat

Ataques “Heartbleed” a tu seguridad en Internet: ¿Cómo prevenirlos?

heartbleed noticeEl robo de datos y el espionaje en Internet aprovechan los puntos débiles de algunos servidores y programas de software. Descúbrelos, ¡y toma precauciones!

Nuestro tráfico diario de datos en Internet ha alcanzado un volumen tal, que a menudo es difícil ponderarlo en cifras. Por ejemplo: en junio de 2014, el DE-CIX alemán (hablamos del mayor punto de intercambio de datos en Internet, ubicado en Frankfurt), transmitió un promedio de 1,7 Tbit/s.¡Asombroso!

Gran parte de esa información tiene que ver con transacciones realizadas con aplicaciones críticas, y contienen, entre otras cosas, datos financieros y personales.

Ya se trate de operaciones en el mercado de valores, compras online o gestiones bancarias, cualquier persona que efectúe este tipo de transacciones espera que la seguridad, la integridad y la autentificación estén absolutamente garantizadas en todo momento.

Errores de seguridad en nuestras comunicaciones a través de Internet

Durante años, los procesos de intercambio de información por Internet han sido sometidos adecuadamente a métodos de cifrado de datos, gracias a la implementación de tecnologías específicas para ello. Pero, y aquí viene lo importante, ¡estos sistemas no son infalibles!

Resulta que  los servidores web, NAS, los gateways y los routeres son vulnerables, debido a un error de implementación. Los datos sensibles pueden ser recuperados sin que nadie pueda detectar el ataque. De hecho, la intercepción y el espionaje de datos se ha convertido en un lucrativo negocio.

Resulta preocupante, en particular, la gran variedad de servicios cuyo objetivo es proteger los datos, por medio generalmente, de SSL y TLS, que pueden verse afectados y poner en riesgo su privacidad. Lo mismo ocurre con los e-mails (POPS, IMAPS, SMTP con STARTTLS).

Anatomía de un “fallo en el corazón” de su seguridad en Internet

Al observar de cerca el problema, se da cuenta uno de que el error más común es relativamente sencillo. Durante el proceso, el remitente transmite los datos (carga útil) al receptor, que a cambio, responde con el envío de información. El problema surge por el hecho de que el receptor no verifica la cantidad de datos transmitidos. Si el remitente “miente”, y dice haber enviado 16 Kbytes, cuando en realidad solo ha mandado un solo byte, el receptor responde de buen grado mediante la devolución de datos desde la memoria RAM (Ramdom Access Memory).

Este fallo “tonto”, si se quiere, en la Memoria de Acceso Aleatorio, le sitúa potencialmente a merced de la estación remota de cualquier atacante. No es ninguna broma. Este punto débil en su seguridad puede convertirle en objeto de prácticas tan peligrosas como el phishing, o suplantación de identidad.

Si un ciberatacante usa este procedimiento de forma sistemática y con gran potencia de cálculo, pueden hacerse con grandes cantidades de información de tarjetas de crédito y contraseñas. Puede incluso llegar al corazón de los servidores, con el objetivo de reconocer la clave privada. Los afectados, usuarios como usted, no notarían nada, dado que no recibirían ningún mensaje de aviso de certificados falsos.

¿Es posible recuperarse de este “infarto” en la seguridad de tus datos?

Las personas afectadas se encuentran en una situación incierta. En primer lugar, habría que investigar lo antes posible si realmente existe una amenaza seria respecto a los sistemas a los que tenemos acceso. El fabricante podría prestarnos su ayuda para determinar la gravedad de la situación. Si efectivamente se corre un riesgo importante, hay que tomar medidas rápidamente, con el fin de actualizar los sistemas afectados.

En este escenario, también es aconsejable declarar como no válidos los certificados digitales existentes y sustituirlos. En lo que concierne a los servicios para los que no tenemos acceso, no nos queda otra que confiar en que el proveedor garantizará la seguridad lo antes posible. Solo tiene sentido cambiar las contraseñas una vez que el proveedor haya renovado los certificados.

Toma medidas preventivas: evite ataques “de infarto” a tu privacidad en Internet

El uso de Open Source, y concretamente de OpenSSL, evidencia el modo en que una infraestructura fundamental y crítica en Internet puede desmoronarse en un abrir y cerrar de ojos.

Cuando uno analiza la situación a fondo, y teniendo en cuenta la cantidad de ingenieros de software que trabajan a tiempo completo en labores de mantenimiento y desarrollo, no puede evitar sorprenderse de la magnitud del asunto.

La pregunta que cabe hacerse es: ¿cuál es el camino para evitar este tipo de problemas de seguridad en Internet, de cara al futuro?

Lo único que podemos responder, como fabricantes, es que nosotros siempre hemos tomado medidas preventivas para cuidar la salud de sus comunicaciones y transacciones en red. Por esa razón, ninguno de nuestros productos incluye los componentes de software mencionados. Prescindimos de todo aquello que puede poner en jaque su seguridad en Internet. Aunque gracias a nuestra política preventiva no tenemos ninguna responsabilidad en este tipo de fallos de seguridad, en Teldat creemos que es nuestro deber informar a los usuarios, y por supuesto, seguir trabajando en nuestra línea, desarrollando productos de calidad que garanticen su seguridad de cara a futuras amenazas.

Bernd Buettner: