{"id":20739,"date":"2016-11-16T09:18:15","date_gmt":"2016-11-16T08:18:15","guid":{"rendered":"https:\/\/www.teldat.com\/sin-categorizar\/20739\/virtualizacion-sd-wan-y-sus-implicaciones-de-seguridad-parte-2\/"},"modified":"2022-12-22T19:24:02","modified_gmt":"2022-12-22T17:24:02","slug":"virtualizacion-sd-wan-y-sus-implicaciones-de-seguridad-parte-2","status":"publish","type":"post","link":"https:\/\/www.teldat.com\/es\/blog\/virtualizacion-sd-wan-y-sus-implicaciones-de-seguridad-parte-2\/","title":{"rendered":"Virtualizaci\u00f3n, SD-WAN y sus implicaciones de seguridad \u2013 Parte 2"},"content":{"rendered":"

\"sd-wanLa tecnolog\u00eda SD-WAN representa algunos beneficios innegables, aunque oculta algunas amenazas o retos para las empresas. \u00bfCu\u00e1les son? \u00bfC\u00f3mo se pueden superar?<\/span><\/strong><\/p>\n

En el post anterior habl\u00e9 sobre las ra\u00edces del <\/span>SD-WAN y sus ventajas<\/span>. Se trataba de un post en el que rescataba un art\u00edculo publicado en la revista <\/span>Securitecnia<\/span><\/em> sobre las ventajas de la tecnolog\u00eda SD-WAN. Pero por motivos de extensi\u00f3n, solo pude reproducir la primera parte del art\u00edculo. <\/span>\u00a0<\/span><\/p>\n

<\/p>\n

En esta ocasi\u00f3n me gustar\u00eda poner en conocimiento del lector la segunda parte del ensayo, porque al igual que la primera, conecta con los intereses de los clientes de Teldat, los seguidores y el p\u00fablico en general.<\/span><\/p>\n

La segunda entrega del art\u00edculo centra su atenci\u00f3n, no ya en las ventajas de SD-WAN, sino en los <\/span>problemas<\/span><\/strong> que plantea. Sin m\u00e1s dilaci\u00f3n, transcribo a continuaci\u00f3n la segunda parte del texto.<\/span><\/p>\n

Pero todas estas ventajas no est\u00e1n exentas de retos o amenazas que las empresas interesadas deber\u00e1n evaluar bien cuando analicen las distintas opciones que ofrece el mercado. En lo relativo a la seguridad, las principales nuevas amenazas est\u00e1n motivadas por el uso de redes de banda ancha \u201cresidenciales\u201d no seguras, que de hecho conectan las sedes remotas SD-WAN directamente a Internet, a diferencia de lo que ocurre en una red WAN empresarial tradicional donde servicios como el MPLS crean una red privada virtual (VPN) totalmente inaccesible desde Internet.<\/span><\/i><\/p>\n

Debido a esto, los principales riesgos de seguridad adicionales, frente a una red MPLS, de una red SD-WAN son varios.<\/span><\/i><\/p>\n

En primer lugar, el tr\u00e1fico que viaja por Internet es por naturaleza no seguro, por lo que ser\u00e1 necesario cifrarlo si queremos evitar que dicho tr\u00e1fico pueda ser inspeccionado o reemplazado por terceras partes. La totalidad de las soluciones SD-WAN del mercado emplean tecnolog\u00edas de VPN para la creaci\u00f3n del \u201coverlay\u201d o red WAN virtual por encima de la red f\u00edsica. No obstante, no todas las tecnolog\u00edas VPN son iguales y podemos observar diferencias tanto en relaci\u00f3n a la calidad de la autenticaci\u00f3n o del cifrado como en el empleo de mecanismos de VPN propietarios. Adicionalmente se podr\u00e1 mirar el \u201ctrack record\u201d de cada tecnolog\u00eda VPN en particular y sus referencias reales (SD-WAN es todav\u00eda una tecnolog\u00eda muy reciente) para analizar la robustez y escalabilidad de cada soluci\u00f3n, factores ambos que afectan tanto a los costes de despliegue como a los de operaci\u00f3n.<\/span><\/i><\/p>\n

En segundo lugar, aunque quiz\u00e1s m\u00e1s importante a\u00fan que la posibilidad de que nuestro tr\u00e1fico corporativo sea visto en Internet, est\u00e1 el hecho de que SD-WAN ofrece una puerta de entrada a nuestro datacenter corporativo, a trav\u00e9s de Internet, a cualquiera que se logre hacer pasar por un extremo o terminador SD-WAN remoto (de oficina). Debido a que la mayor\u00eda de las conexiones de Internet de banda ancha residenciales emplean direccionamiento IP din\u00e1mico, esto es, no conocido de antemano, las soluciones SD-WAN est\u00e1n preparadas para trabajar en este entorno de conexi\u00f3n con direccionamiento IP din\u00e1mico. Como cualquier l\u00ednea de Internet es a priori v\u00e1lida para conectarse a la red corporativa, cualquiera que logre simular o disponga de un equipo terminador SD-WAN puede, potencialmente, conectarse a la red central corporativa, con todos los permisos y salvoconductos de un usuario leg\u00edtimo. El mayor riesgo generado por esta caracter\u00edstica del SD-WAN es el derivado del robo del equipo terminador SD-WAN original de mi oficina o punto remoto. El ladr\u00f3n de dicho dispositivo tiene potencialmente acceso a mi red corporativa. Esta situaci\u00f3n no ocurre en una red MPLS, ya que el acceso a los sistemas centrales est\u00e1 condicionado al uso de la l\u00ednea WAN MPLS en particular de cada oficina, por lo que un potencial ladr\u00f3n del router MPLS no puede acceder a la red conectando el router a cualquier red de banda ancha. Por lo tanto, las soluciones SD-WAN deben estar provistas de mecanismos antirrobo de equipos, que detecten la utilizaci\u00f3n de los mismos fuera de las oficinas corporativas remotas. Una amenaza a proteger, dentro de esta categor\u00eda, es la utilizaci\u00f3n del \u201cbot\u00f3n de reset\u201d disponible en la mayor\u00eda de equipos de comunicaci\u00f3n, que restaura en el dispositivo su configuraci\u00f3n \u201cde f\u00e1brica\u201d y que un usuario malicioso podr\u00eda querer utilizar tambi\u00e9n para \u201creconectar\u201d el terminador SD-WAN a la red central desde un punto remoto no autorizado, simulando una primera instalaci\u00f3n.<\/span><\/i><\/p>\n

Un tercer riesgo, muy relacionado con esto \u00faltimo, es la instalaci\u00f3n segura de terminadores SD-WAN en oficinas autorizadas. La independencia intr\u00ednseca del SD-WAN respecto al proveedor o proveedores de red hace mucho m\u00e1s f\u00e1cil y com\u00fan el empleo de mecanismos de provisi\u00f3n sin intervenci\u00f3n humana en el punto remoto (ZTP o zero touch provisioning en ingl\u00e9s) por lo que la mayor\u00eda de las soluciones SD-WAN del mercado dispone de dichos mecanismos ZTP. De esta forma, los terminadores SD-WAN remotos pueden ser enviados por correo ordinario, por ejemplo y pueden ser instalados en las oficinas corporativas correspondientes por el propio personal de la oficina, sin que personal t\u00e9cnico especializado se traslade a dicha oficina y sin necesidad de formaci\u00f3n muy espec\u00edfica del personal de la oficina, que simplemente tiene que sacar el equipo de la caja y conectarlo entre los routers existentes y los dispositivos de la red local (LAN) de la oficina o switch LAN. Las soluciones SD-WAN deber\u00e1n disponer, por lo tanto, de mecanismos de seguridad en la puesta en marcha o primera instalaci\u00f3n del dispositivo en la oficina remota. Se requiere principalmente una autenticaci\u00f3n segura en ambos sentidos: del terminador SD-WAN remoto al punto central y al rev\u00e9s. Las distintas alternativas del mercado tratan de solucionar este riesgo de una manera sencilla, que permita el ZTP y podemos encontrar varias respuestas al problema, como el uso de \u201ctokens\u201d de seguridad por USB, aplicaciones en smartphones, env\u00edo de correos electr\u00f3nicos o SMS con credenciales para la autenticaci\u00f3n, etc. Por supuesto, esta autenticaci\u00f3n mutua deber\u00e1 mantenerse en el tiempo para sucesivas conexiones, no s\u00f3lo en la primera conexi\u00f3n de instalaci\u00f3n. Lo normal para sucesivas conexiones es que no se requiera repetir el mecanismo de ZTP, que aunque no requiere intervenci\u00f3n humana en el punto remoto si emplea normalmente alg\u00fan tipo de validaci\u00f3n \u201cmanual\u201d o espec\u00edfica en el punto central. Para ello, el terminador SD-WAN debe almacenar las credenciales de conexi\u00f3n al menos durante cierto tiempo. Es aqu\u00ed donde los mecanismos antirrobo mencionados anteriormente deben entrar en juego.<\/span><\/i><\/p>\n

Como \u00faltimo riesgo, adicionalmente al tr\u00e1fico corporativo, conviene analizar tambi\u00e9n la seguridad del mecanismo o protocolo de comunicaci\u00f3n entre el terminador SD-WAN remoto y el sistema de gesti\u00f3n central o controlador, empleando la terminolog\u00eda nativa de SDN. Dicho canal de comunicaci\u00f3n deber\u00e1 ser tambi\u00e9n seguro (es com\u00fan o al menos posible alojar el controlador en una nube p\u00fablica o que el tr\u00e1fico de gesti\u00f3n viaje a trav\u00e9s de Internet). Si se usa un controlador en la nube p\u00fablica en una topolog\u00eda \u201cmulti-tenant\u201d, esto es, compartido para varios clientes distintos, se deber\u00e1 analizar tambi\u00e9n la seguridad del mecanismo de \u201creclamo\u201d de equipos en una primera instalaci\u00f3n: un terminador SD-WAN remoto podr\u00eda ser a priori de cualquier cliente de los que comparte la infraestructura de la nube p\u00fablica, pero s\u00f3lo aquel cliente leg\u00edtimo deber\u00e1 ser capaz de reclamarlo.<\/span><\/i><\/p>\n

Adem\u00e1s, en mi blog anterior coment\u00e9 que SD-WAN se puede utilizar no solo en oficinas remotas tradicionales, sino tambi\u00e9n en cualquier punto de la red corporativa que tenga sentido conectar. Di ejemplos de M2M y comunicaciones en el mundo del transporte. En estos casos los riesgos de seguridad mencionados anteriormente deber\u00e1n ser analizados y ampliados a las particularidades de dichos \u00e1mbitos \u201cno oficina\u201d. Por ejemplo, dichos entornos utilizan t\u00edpicamente tecnolog\u00eda de conexi\u00f3n 4G, que requieren el uso de tarjetas SIM, que suponen un reto adicional de seguridad, ante la posibilidad de robo o ataque de denegaci\u00f3n (bloqueo intencionado de SIM, por ejemplo).<\/span><\/p>\n

Y as\u00ed finaliza el art\u00edculo publicado en la revista <\/span>Securitecn<\/span><\/a>ia<\/a>. Desde <\/span>Teldat<\/span> esperamos que\u00a0os haya parecido interesante, y que\u00a0os haya ayudado a resolver dudas o profundizar en el concepto de SD-WAN.<\/span><\/p>\n

Como conclusi\u00f3n, solo comentar que es una tecnolog\u00eda prometedora<\/span><\/strong> que, aunque inmadura todav\u00eda, ha nacido para permitir que las empresas utilicen de manera segura las <\/span>redes de banda ancha por Internet<\/span>,<\/span><\/strong> con la<\/span>\u00a0 <\/span>gran cantidad de <\/span>ventajas<\/span><\/strong> que conllevan para la empresa, en comparaci\u00f3n con el uso tradicional de redes MPLS. <\/span><\/p>\n

En SD-WAN son inherentes los riegos derivados del uso de Internet. Pero precisamente por eso, la seguridad est\u00e1 en el punto de mira y en los objetivos de dise\u00f1o cr\u00edticos desde el primer momento.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

La tecnolog\u00eda SD-WAN representa algunos beneficios innegables, aunque oculta algunas amenazas o retos para las empresas. \u00bfCu\u00e1les son? \u00bfC\u00f3mo se pueden superar? En el post anterior habl\u00e9 sobre las ra\u00edces del SD-WAN y sus ventajas. Se trataba de un post en el que rescataba un art\u00edculo publicado en la revista Securitecnia sobre las ventajas de […]<\/p>\n","protected":false},"author":136,"featured_media":64423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1168],"tags":[1223,1071],"class_list":["post-20739","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia-sd-wan","tag-seguridad-red","tag-virtualizacion-de-redes"],"acf":[],"wpml_current_locale":"es_ES","wpml_translations":[{"locale":"en_US","id":18790,"slug":"sd-wan-security-vpn-technology-anti-theft-secure-ztp-install","post_title":"SD-WAN and security implications \u2013Part 2","href":"https:\/\/www.teldat.com\/sd-wan-security-vpn-technology-anti-theft-secure-ztp-install\/"}],"_links":{"self":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts\/20739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/users\/136"}],"replies":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/comments?post=20739"}],"version-history":[{"count":0,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/posts\/20739\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/media\/64423"}],"wp:attachment":[{"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/media?parent=20739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/categories?post=20739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.teldat.com\/es\/wp-json\/wp\/v2\/tags?post=20739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}