El Valor de la Seguridad Integrada para las Empresas en Crecimiento y las Sucursales de Grandes Empresas.

Durante los últimos veinte años, las redes han evolucionado y se han transformado de infraestructuras cerradas en sistemas integrados que permiten a las organizaciones trabajar en estrecha colaboración con sus empleados, partners, clientes y proveedores de todo el mundo al conectar y automatizar los procesos y las aplicaciones de negocios. La habilitación de aplicaciones en la web ha mejorado de manera extraordinaria la productividad y rentabilidad, y a su vez ha aumentado el riesgo de sufrir ataques maliciosos.

Las violaciones a la seguridad de la red de una empresa pueden provenir de una amplia gama de fuentes, como los equipos personales y servidores en la red de la organización. Los nuevos gusanos y virus también están atacando los puntos terminales de la red, una situación que genera fundadas preocupaciones en las pequeñas oficinas o sucursales que cuentan con escasos recursos de TI para combatir estos males.

Cisco Systems® prepara a las organizaciones para afrontar los ataques al ayudarles a construir redes de autodefensa que mejoran drásticamente las capacidades para identificar, prevenir y responder a las amenazas. Una base importante de la Red de autodefensa de Cisco® en constante evolución es la nueva generación de routers de servicios integrados de Cisco. Estos routers son los primeros de la industria en proporcionar servicios seguros de datos, voz, video y otros servicios avanzados a velocidad wirespeed a las empresas medianas y pequeñas, y las sucursales de grandes empresas.

En este informe técnico se analizan los cambios que está sufriendo el panorama de la seguridad y se presentan las funciones de seguridad incorporada de los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800. Considerando las tendencias actuales del mercado en que se observa una demanda creciente de servicios integrados simultáneos en las pequeñas empresas y sucursales, en este documento se reseña el valor de integrar la seguridad en los routers. También se ilustra de qué manera el enfoque basado en sistemas exclusivo de Cisco da una respuesta eficaz a los problemas de seguridad en el presente y el futuro.

Este documento no tiene por objeto ofrecer una guía de implementación técnica. En cambio, explica cómo Cisco está combinando la mejor tecnología de seguridad de red de su clase con sus más de 20 años de experiencia en routing para redefinir la seguridad de las redes y brindar a los clientes protección de red de extremo a extremo.

Desafíos de Seguridad de la Red sin Precedentes

En el pasado, las amenazas de fuentes internas y externas eran relativamente esporádicas y resultaba fácil mitigar los ataques. En la primera generación de desafíos de seguridad de la década de 1980, los virus de inicio afectaban equipos individuales y redes, y tardaban semanas en propagarse. En los años noventa aparece la segunda generación de desafíos de seguridad y los elementos nocivos se propagaban en días, por ejemplo, macro virus, virus por correo electrónico, amenazas de denegación de servicio ((DoS) y algunos intentos de piratería informática.

En el entorno actual, la rapidez y sofisticación de las violaciones a la seguridad de la red y los ataques destructivos siguen aumentando a un ritmo alarmante. Las amenazas de gusanos de Internet, virus y caballos de Troya se propagan por todo el mundo en cuestión de minutos afectando varias redes regionales, por lo que se producen intrusiones masivas y se ocasionan costosos daños.

El Elevado Precio de los ataques y las violaciones a la seguridad de la red

Costo del robo de información propia confidencial: US $1.136.409
Costo de la inactividad y los daños causados por virus: US $61.729
Sabotaje de redes de datos: US $535.750
Penetración de intrusos en el sistema: US $172.448
Denegación de servicio: US $108.107
Acceso no autorizado por parte de personas de la organización: US $1.008.050

Fuente: Encuesta sobre seguridad y delitos informáticos realizada por CSI FBI en 2004

Normativa vigente y mayor deber de diligencia

La necesidad de cumplir con una cantidad creciente de leyes y reglamentos ha impulsado a las organizaciones a reforzar la seguridad de la red. Esta normativa fue adoptada con el fin de incrementar la privacidad, la seguridad nacional y, en muchos casos, la responsabilidad de las empresas que cotizan en bolsa.

Por ejemplo, en EE.UU. se sancionó la Ley de Información médica y privacidad del paciente (Health Information and Patient Privacy Act o HIPPA) para el sector de servicios médicos, la ley Gramm Leach Bliley (GLBA) para el sector de servicios financieros y la ley Sarbanes-Oxley en el campo contable. Por su parte, la legislación sobre privacidad de la Unión Europea, denominada la Directiva sobre la protección de datos, establece, entre otras obligaciones, que cuando se trata de transferencias de datos personales a países que no son miembros de la Unión Europea, dichas transferencias sólo deben realizarse si estos países brindan niveles aceptables de protección de la confidencialidad de los datos.

Demanda creciente de routers seguros

Así como las inquietudes sobre la seguridad y la privacidad siguen en aumento, también lo hace la demanda de innovadoras soluciones de seguridad. En el artículo titulado Enemy at the Gates: The Evolution of Network Security [Enemigo en puerta: La evolución de la seguridad de las redes] (Business Communication Review, diciembre de 2004), Jeff Wilson, analista principal de Infonetics Research, afirma Si bien muchas personas han estado observando el mercado de equipos de seguridad con sumo interés, suelen ignorar las implementaciones de seguridad a través de routers y switches. Así como la conectividad a Internet distribuida y la necesidad de las empresas de todo tamaño de proteger las redes impulsaron la integración de diversas tecnologías de seguridad en productos únicos, estos mismos factores impulsaron a los fabricantes a integrar la seguridad en los routers y switches. Un estudio de Infonetics citado en el mismo artículo señala que "los porcentajes de participantes en el estudio que piensan implementar equipos de seguridad y routers seguros fueron prácticamente uniformes."

Figura 1. Compras de seguridad planificadas

Los datos recabados por Infonetics Research confirman que el mercado de routers seguros es un segmento en rápido crecimiento. En un informe de fin de año de 2004, Matthias Machowinski, analista director del área de comunicaciones empresariales de voz y datos de Infonetics Research, afirmó que "El 12% de los ingresos del cuarto trimestre por routers empresariales provino de la venta de routers seguros, registrándose un aumento del 1% respecto del tercer trimestre." El autor agregó "Anticipamos que los routers seguros seguirán ocupando un segmento creciente del total de ingresos de routers y llegarán a representar un 29% del total de ingresos por routers para 2008."

SOLUCIONES DE SEGURIDAD DE CISCO EN CONSTANTE EVOLUCIÓN

Las soluciones de seguridad evolucionan constantemente a fin de satisfacer las necesidades cambiantes, y Cisco sigue estableciendo la norma mediante las mejores soluciones de seguridad de su clase.

Synergy Research citó en un editorial titulado "Hybrid Products Lead Securitys Advance" [Los productos híbridos lideran los avances en seguridad] publicado el 14 de marzo de 2005 en Investors.com, datos que indican que "El mercado de productos de seguridad de redes creció un 28% a más de US$4 mil millones el año pasado (2004)." Aaron Vance, analista de Synergy, señaló, "Anticipo un crecimiento un poco más pronunciado para este año y los productos híbridos que combinan firewall, VPN y otras funciones de seguridad serán sus principales impulsores. Cisco Systems, (CSCO) el fabricante No. 1 de equipos para redes, lidera las ventas de productos híbridos de seguridad."

Hoy en día, Cisco incorpora seguridad de red en el hardware de todos los routers de servicios integrados y ofrece protección de extremo a extremo con los conjuntos de funciones del software Cisco IOS®. Por sus características de diseño técnico, los routers de servicios integrados poseen interoperabilidad con la serie Cisco 7200 y los routers de adición 7301 que comparten el mismo conjunto completo de funciones de seguridad avanzadas del software Cisco IOS.

EL VALOR DE LAS SOLUCIONES DE SEGURIDAD INTEGRADA EN EL ROUTER

La seguridad integrada es el elemento básico de la Red de autodefensa de Cisco. Las soluciones de seguridad integrada en el router aprovechan las tecnologías líderes del mercado de firewall y del sistema de prevención de intrusiones (IPS), al combinar las robustas funciones del software Cisco IOS y la conectividad LAN y WAN líder de la industria con funciones de seguridad de primer nivel.

La integración de la seguridad del software Cisco IOS en el router ofrece numerosas ventajas. En primer lugar, aprovecha la infraestructura de red actual y permite habilitar nuevas funciones de seguridad en el router mediante el software Cisco IOS sin necesidad de instalar otros equipos de hardware. De esta manera, se ahorra tiempo y dinero debido a que disminuye la cantidad de dispositivos de la red y, por ende, reduce los costos de capacitación y administración, lo que se traduce en un menor costo total de propiedad (TCO). Además, los módulos de red para routers están cubiertos en los actuales contratos de mantenimiento de Cisco SMARTnet® a fin de facilitar aún más el mantenimiento de los routers.

En segundo lugar, ofrece flexibilidad para aplicar funciones de seguridad, como firewalls, prevención de intrusiones en línea y VPN, en cualquier parte de la red, con el fin de garantizar la defensa óptima contra las amenazas a la seguridad. La combinación de funciones basadas en routers, switches y equipos de Cisco ofrece protección de extremo a extremo en toda la red.

En tercer lugar, la directa integración de la seguridad del software Cisco IOS en el router protege los gateways de la red, ya que los routers son los primeros puntos de acceso a la red y en los routers de adición para WAN, el punto de acceso al centro de datos. Gracias a ello, pueden implementarse las mejores funciones de seguridad de su clase en todos los puntos de acceso a la red, que constituyen los lugares lógicos para proteger la red.

La seguridad en los routers no sólo protege el primer punto de acceso a la red sino que también aprovecha la inteligencia de los routers como manejador de confianza del tráfico, al integrar funciones avanzadas de seguridad, calidad de servicio (QoS) y enrutamiento. De esta manera es posible habilitar funciones de seguridad a fin de compartir información y coordinar una respuesta rápida y precisa a una amenaza, que garantice la alta disponibilidad de la red. La seguridad integrada protege el router y a su vez genera una línea de defensa contra los ataques dirigidos a la infraestructura de la red, como los ataques de DoS distribuido (DDoS).

Muchas soluciones de seguridad de productos puntuales que se ofrecen hoy en día en el mercado protegen aspectos específicos de la red; sin embargo, pocas soluciones pueden brindar protección a toda la infraestructura cubriendo todos los puntos de la red como lo hace el portafolio de soluciones de seguridad de Cisco.

EL VALOR DE UTILIZAR UN ENFOQUE BASADO EN SISTEMAS

Antes de analizar algunas de las funciones específicas de seguridad integrada que se incluyen en los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800, así como la serie Cisco 7200, debe considerarse el valor de utilizar un enfoque basado en sistemas.

Alta disponibilidad en las sucursales

Cisco ofrece un extraordinario conjunto de funciones que permiten mantener una alta disponibilidad en las sucursales. Concebida desde un comienzo para ofrecer redes accesibles, la perspectiva de extremo a extremo de Cisco brinda a las organizaciones de TI una arquitectura de red de autodefensa que puede implementarse y mantenerse con mayor facilidad. Los routers de servicios integrados fortalecen este enfoque al permitir el uso simultáneo de más interfaces y funciones e incrementar a la vez el rendimiento de diversos servicios simultáneos de seguridad, administración e integración.

Mediante los routers de servicios integrados, Cisco ofrece una completa solución preparada para el futuro que ayuda a asegurar la alta disponibilidad en las sucursales y reduce al mínimo las interrupciones en la red, además de garantizar el acceso permanente a la mayoría de las aplicaciones estratégicas. El enfoque de Cisco en la integración de nuevos servicios de infraestructura con el rendimiento permite a las empresas construir redes que son más inteligentes, flexibles y confiables.

Si desea obtener más información sobre la solución de Alta disponibilidad de Cisco para sucursales y pequeñas oficinas, lea el informe técnico "Cómo incrementar al máximo la disponibilidad en las sucursales con los routers de servicios integrados".

Rendimiento

Al utilizar un enfoque basado en sistemas, los routers de servicios integrados de Cisco han sido diseñados para proporcionar el rendimiento adecuado a velocidad de línea de WAN. Es decir, si los clientes habilitan otros servicios, como por ejemplo voz o seguridad, el rendimiento no sufrirá ninguna merma por debajo de la velocidad de la interfaz WAN correspondiente. Los routers de servicios integrados están optimizados para ejecutar servicios simultáneos con la alimentación adecuada del CPU y los servicios que demandan un alto nivel de CPU, como VPN, se transfieren a aceleradores dedicados.

Cisco contrató a Mier Communications, Inc. para que llevara a cabo una verificación independiente de la configuración, funcionamiento y rendimiento de los nuevos routers de servicios integrados de Cisco. Como resultado de su minucioso examen de estos sistemas, Miercom constató el rendimiento de estos sistemas durante el aprovisionamiento simultáneo de importantes servicios de red de alto nivel a una sucursal con gran actividad, como el firewall Cisco IOS y NAT (Network Address Translation), IPS, voz sobre IP (VoIP), además de servicios telefónicos analógicos, durante el transporte de un gran volumen de datos. Asimismo, las pruebas verificaron la calidad de los servicios de voz durante el transporte de cargas de gran volumen.

En especial, las pruebas confirmaron la capacidad de Cisco 3845 para cargar un enlace T3 IP WAN y emplear la Norma de cifrado avanzado (AES) con una VPN IPSec, por un enlace T3 completo de tráfico. Además de Cisco 3845, Miercom probó los routers de servicios integrados inalámbricos Cisco 2851, 2811, 2801, 1841 y 1812 así como también el administrador de dispositivos de seguridad y routers de Cisco (SDM) basado en la web. Si desea consultar los informes resumidos completos de Miercom, visite http://www.miercom.com.

"Nuestras pruebas comprobaron que Cisco 3845 mantiene simultáneamente velocidades T3 completas de WAN para diversas aplicaciones. Su procesador criptográfico incorporado maneja VPN IPSec y AES de 128 bits con facilidad, proporcionando de forma simultánea firewall, prevención de intrusiones, QoS y enrutamiento de datos a las máximas velocidades de un enlace WAN. Además, se procesaron 72 flujos de tráfico de voz con transcodificación, voicemail, AutoAttendant, fax y telefonía a prueba de fallas en sitio remoto sin afectar en modo alguno el rendimiento de Cisco 3845."

Ed Mier
Presidente, Mier Communications, Inc.

Inteligencia

Si bien un enfoque basado en sistemas comienza por una plataforma flexible como los routers de servicios integrados de Cisco, no se limita a ofrecer una solución todo en una caja. El enfoque basado en sistemas combina la presentación con servicios inteligentes dentro de los servicios y entre ellos. Los servicios funcionan más adecuadamente juntos a fin de ofrecer ventajas concretas como VPN multipunto dinámica (DMVPN) que permite utilizar túneles dinámicos o VPN habilitada para voz y video (V3PN), según se ilustra en la figura 2.

Figure 2. Telefonía IP segura y de alta calidad mediante DMVPN, V3PN

El enfoque basado en sistemas combina servicios de voz, seguridad, enrutamiento y aplicaciones, y permite contar con procesos más automatizados y más inteligentes. En consecuencia, se proporciona seguridad ubicua en la red y las aplicaciones, una calidad de servicio superior del tráfico de datos, voz y video, mayor productividad en menos tiempo y mejor aprovechamiento de los recursos de la red.

Al combinar las mejores aplicaciones y software de su clase en una sola plataforma, las organizaciones pueden:

Implementar con mayor rapidez servicios básicos y avanzados
Administrar estos servicios mediante interfaces y herramientas comunes, lo que garantiza la sencillez de las operaciones
Aumentar la seguridad de la red al reducir al mínimo la cantidad de equipos independientes que deben bloquearse
Aprovechar las interfaces y los módulos de red presentes y futuros que agilizan la entrega de datos y liberan el hardware para aplicaciones nuevas
Resolver problemas con mayor rapidez, reparar dispositivos con mayor facilidad y capacitar al personal con mayor rapidez, todos factores que permiten reducir los costos operativos
Aprovechar los paquetes de presentaciones y los contratos de servicios a fin de reducir los costos de capital

FUNCIONES DE SEGURIDAD DISTINTIVAS DE LOS NUEVOS ROUTERS DE SERVICIOS INTEGRADOS DE CISCO

Con el respaldo de 20 años de liderazgo e innovación, los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800 brindan los servicios de seguridad más completos de la industria e incorporan de forma inteligente datos, seguridad y voz en un solo sistema flexible, lo que permite proporcionar con rapidez aplicaciones de negocios estratégicas y escalables.

Los routers de servicios integrados de Cisco fueron concebidos para incorporar seguridad en cada router. Por ello, cuentan con una función estándar de cifrado basado en hardware. La aceleración del cifrado basado en hardware incorporado descarga los procesos VPN, a fin de proporcionar un mayor rendimiento de VPN con un impacto mínimo en el CPU del router. Si se necesita mayor rendimiento o escalabilidad de VPN (por ejemplo, una mayor cantidad de túneles VPN), pueden incorporarse módulos de integración avanzada (AIM) de cifrado de VPN opcionales.

La Red de autodefensa de Cisco ofrece cuatro categorías de protección que se aplican a los nuevos routers: confianza e identidad, protección de infraestructura de red, conectividad segura y defensa contra amenazas (vea la figura 3).

Figura 3. Routers de servicios integrados y la Red de autodefensa.

Confianza e identidad

Los servicios de confianza e identidad permiten que la red proteja de forma inteligente los puntos terminales mediante tecnologías tales como control de admisión a la red (NAC), servicios de identidad, y autenticación, autorización y contabilidad (AAA).

Control de admisión a la red
NAC es una iniciativa de la industria impulsada por Cisco que permite garantizar que todos los puntos terminales cumplan las políticas de seguridad de la red antes de acceder a ella. NAC limita los daños que pueden ocasionar virus y gusanos al interrogar a los dispositivos que se conectan a la red y verificar si cumplen las últimas políticas de parches del sistema operativo y antivirus de la empresa antes de acceder a la red. Es posible aislar los hosts vulnerables y no conformes, y restringir su acceso a la red hasta que cuenten con los parches adecuados y la protección necesaria, con lo cual se evita que sean un blanco fácil o foco de infecciones de virus y gusanos.

Como primer paso lógico hacia una Red de autodefensa de Cisco, es posible habilitar NAC y otros servicios de seguridad integrada del software Cisco IOS en los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800 y la serie Cisco 7200 y los routers de adición 7301 con los conjuntos de funciones de Seguridad avanzada, Servicios IP avanzados o Servicios avanzados empresariales del software Cisco IOS.

Autenticación, autorización y contabilidad
Los servicios de seguridad de red AAA del software Cisco IOS brindan la estructura básica para configurar el control de acceso en un servidor de acceso o router. Los servicios AAA han sido diseñados para permitir a los administradores configurar de manera dinámica el tipo de autenticación y autorización que desean por línea (por usuario) o por servicio (por ejemplo, IP, Novell Internetwork Packet Exchange [IPX], o red virtual privada de acceso telefónico [VPDN]), mediante listas de métodos que se aplican a interfaces o servicios específicos.

La norma 802.1x
Las aplicaciones 802.1x estándar solicitan credenciales válidas de acceso, con lo cual impiden el acceso no autorizado a los recursos protegidos de información. Al instalar aplicaciones 802.1x, los administradores de redes también pueden eliminar con eficacia la posibilidad de que los usuarios implementen puntos de acceso inalámbrico no protegidos, lo que permite solventar uno de los más grandes problemas que plantean los equipos de LAN inalámbrica (WLAN) fáciles de desplegar.

Puerto USB/credenciales móviles
Los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800 fueron diseñados con puertos USB 1.1. incorporados e integrados, que pueden utilizarse para habilitar importantes funciones de seguridad y almacenamiento. Estas funciones permiten la autenticación segura del usuario, almacenar credenciales móviles para establecer conexiones a VPN seguras, distribuir con seguridad los archivos de configuración y proporcionar almacenamiento de memoria flash de gran volumen para archivos y la configuración.

Protección de la base de la red

La protección de la base de la red (NFP) evita los ataques y las vulnerabilidades de la infraestructura, en particular al nivel de la red. Por ejemplo, entre las funciones de protección cabe mencionar la vigilancia del plano de control, la autoseguridad y el reconocimiento de aplicaciones basado en la red (NBAR).

Vigilancia del plano de control
Hasta la implementación de software más robusta y la arquitectura de hardware más sólida son vulnerables a los ataques de DoS maliciosos concebidos para paralizar la infraestructura de la red al inundarla con tráfico sin valor. Para bloquear estas amenazas y otras similares que se presentan camufladas como tipos específicos de paquetes de control dirigidos al centro de la red, el software Cisco IOS incluye funciones programables de vigilancia en los routers que limitan el tráfico destinado al procesador del plano de control. Esta función, denominada Vigilancia del plano de control (CoPP), puede configurarse para identificar y limitar determinados tipos de tráfico por completo o cuando superan determinado nivel de umbral.

Autoseguridad
La función de Autoseguridad del software Cisco IOS simplifica la configuración de seguridad del router y disminuye el riesgo de errores de configuración. El modo interactivo, ideal para usuarios con experiencia, solicita a los usuarios que personalicen los parámetros de seguridad y servicios del router, con lo cual brinda mayor control respecto de las funciones de seguridad de los routers. El modo no interactivo de la función de autoseguridad habilita automáticamente las funciones de seguridad del router según los parámetros predeterminados por Cisco y recomendados por la International Computer Security Association (ICSA). Mediante un solo comando se configura instantáneamente la posición de seguridad de los routers y se inhabilitan los procesos y servicios no fundamentales del sistema, lo que elimina las posibles amenazas contra la seguridad de la red.

Reconocimiento de aplicaciones basado en la red
NBAR es un motor de clasificación del software Cisco IOS que utiliza la inspección profunda de paquetes a fin de reconocer una amplia gama de aplicaciones así como los protocolos basados en la web y otros de difícil clasificación. Cuando se lo utiliza en el contexto de seguridad, NBAR puede detectar gusanos en función de las firmas de la carga útil. Cuando NBAR detecta y clasifica una aplicación, la red puede invocar servicios para la aplicación concreta de que se trate. Cisco SDM cuenta con un asistente fácil de utilizar para habilitar NBAR y además, brinda una vista gráfica del tráfico de aplicaciones.

Cisco SDM
Todos los routers de las series Cisco 800, 1800, 2800 y 3800, así como la serie Cisco 7200 y los routers de adición 7301 vienen con un SDM instalado en fábrica. Cisco SDM es un administrador de dispositivos intuitivo basado en la web (GUI), que fue concebido para la implementación y administración de los routers de Cisco. Cisco SDM facilita la configuración y supervisión de los routers mediante un asistente de inicio que garantiza la instalación rápida y el bloqueo del router. Además, Cisco SDM ofrece asistentes inteligentes que permiten habilitar las funciones de seguridad y enrutamiento, configuraciones del router aprobadas por el Centro de asistencia técnica de Cisco y contenido educativo relacionado con la materia.

Conectividad segura

La conectividad segura proporciona conectividad segura y escalable de la red e incorpora diversos tipos de tráfico. Por ejemplo, incorpora cifrado y túneles VPN, DMVPN, Easy VPN, V3PN, Interfaz de túnel virtual (VTI), Multi-Virtual Route Forwarding (VRF), Multiprotocol Label Switching (MPLS) y contextos seguros.

Cifrado y túneles VPN
Las redes VPN representan el tipo de conectividad a la red que ha crecido con mayor rapidez. Todos los servicios integrados de las series Cisco 800, 1800, 2800 y 3800 incluyen aceleración de cifrado VPN basado en hardware incorporado que descarga el cifrado IPSec y los procesos de VPN, a fin de proporcionar un mayor rendimiento de VPN con un impacto mínimo en el CPU del router. Esta función admite el cifrado IPSec, AES, DES (Norma de cifrado estándar) y DES triple (3DES) sin consumir una ranura para AIM.

Los módulos AIM opcionales de cifrado de VPN se ofrecen a las empresas que necesitan un rendimiento o escalabilidad adicional de VPN. En consecuencia, se incrementa el rendimiento de VPN con un menor uso del CPU del router. El módulo AIM opcional proporciona hasta 10 veces el rendimiento de cifrado de los modelos anteriores, además de escalabilidad de túneles.

Los routers de servicios integrados pueden utilizar una técnica alternativa de creación de túneles que combina los protocolos IPSec y de encapsulación de enrutamiento genérico (GRE). La técnica de creación de túneles de IPSec con GRE es una solución exclusiva de Cisco que ayuda a enviar protocolos de enrutamiento dinámico por la VPN y proporciona mayor flexibilidad a la red que las soluciones con sólo IPSec. Además de suministrar un mecanismo de recuperación tras las fallas, los túneles GRE ofrecen la posibilidad de cifrar los paquetes multicast y broadcast, y los protocolos no IP.

VPN multipunto dinámica
Cisco DMVPN permite habilitar VPN de malla completa escalable y a pedido a fin de reducir la latencia, conservar el ancho de banda y simplificar la implementación de VPN. La función DMVPN se basa en la experiencia de Cisco en enrutamiento e IPSec y permite la configuración dinámica de túneles GRE, cifrado IPSec, el protocolo NHRP (Next Hop Resolution Protocol), OSPF (Open Shortest Path First) y EIGRP (Enhanced Interior Gateway Routing Protocol).

Esta configuración dinámica de túneles VPN, combinada con tecnologías como QoS e IP Multicast, optimiza las aplicaciones sensibles a la latencia como las de voz y video. Asimismo, DMVPN facilita la carga administrativa ya que no necesita configuración en el hub cuando se incorporan nuevos enlaces radiales o se configuran conexiones entre dichos enlaces.

Comunicaciones de voz seguras
Las funciones de autenticación y cifrado del portafolio de routers de servicios integrados de Cisco garantizan la protección contra la interceptación de las conversaciones de voz que terminan en puertos de gateway de voz TDM (multiplexión por división de tiempo) o analógicos. Estas funciones confiables y escalables brindan un entorno seguro para las comunicaciones IP por una LAN o WAN.

El cifrado de medios mediante el protocolo SRTP (Protocolo seguro de transporte en tiempo real) brinda protección al cifrar las conversaciones de voz, por lo cual no pueden ser comprendidas por los hackers internos o externos que han accedido al dominio de voz. Como implementación de la norma RFC 3711 de la IETF, el protocolo SRTP fue concebido específicamente para paquetes de voz; además, admite el algoritmo de cifrado AES. El cifrado de medios con SRTP es más eficiente que IPSec desde el punto de vista del ancho de banda.

Easy VPN
Easy VPN es una solución de seguridad IP diseñada para admitir topologías radiales (hub-and-spoke) de VPN con un mínimo esfuerzo y alta escalabilidad. Easy VPN simplifica el aprovisionamiento y la administración de las soluciones VPN entre firewalls Cisco PIX®, el cliente Cisco VPN 3000 y los routers de todo tamaño. Easy VPN, que fue comprobada en miles de instalaciones de clientes, utiliza tecnología de aplicación de políticas a fin de simplificar la configuración y a su vez conservar la riqueza de funciones y el control de políticas.

IPSec habilitada para voz y video
Los routers de las series Cisco 800, 1800, 2800 y 3800, y la serie Cisco 7200 y los routers de adición 7301 admiten V3PN, que proporciona una infraestructura VPN con capacidad para servicios convergentes de datos, voz y video por una red IPSec segura habilitada para QoS y permite a las empresas obtener de forma segura y eficaz el mismo rendimiento para las aplicaciones de voz y video por un medio IP que el que obtendrían por un enlace WAN alternativo. A diferencia de muchos equipos VPN que se ofrecen en el mercado, los routers de servicios integrados de Cisco dan respuesta a las diversas necesidades de topología de red y tráfico que habilitan las redes VPN IPSec mutliservicio. La arquitectura de red de extremo a extremo de V3PN aprovecha los routers habilitados para seguridad de Cisco con el software Cisco IOS a fin de proteger el tráfico de voz.

Para proporcionar servicios de voz y video de alta calidad por redes VPN IPSec se necesita algo más que el cifrado del tráfico; en efecto, se necesita una combinación de tecnologías avanzadas de IPSec VPN y multiservicio. Entre las principales tecnologías del software Cisco IOS que permiten habilitar Cisco V3PN cabe mencionar: QoS centrado en servicios múltiples, compatibilidad con varios tipos de tráfico, compatibilidad con topologías de red multiservicio y funciones mejoradas de recuperación de fallas de la red.

Interfaz de túnel virtual
Cisco IPSec VTI es una nueva herramienta que puede utilizarse para configurar redes VPN IPSec entre equipos de sitio a sitio. Los túneles IPSec VTI proporcionan una vía establecida por la WAN compartida y encapsulan el tráfico con nuevos encabezados de los paquetes, lo que permite garantizar su entrega a destinos específicos. La red es privada debido a que el tráfico puede ingresar en un túnel sólo por un punto terminal. Asimismo, IPSec brinda auténtica confidencialidad (al igual que el cifrado), y puede transportar tráfico cifrado.

Contextos seguros Multi-VRF y MPLS para proveedores de servicios
Multi-VRF es una ampliación de VPN IPSec de sitio a sitio. Las empresas pueden esperar contar con seguridad y privacidad cuando el tráfico se transporta por la red del proveedor. Sin embargo, resulta más complejo mantener el tráfico debidamente separado por la red LAN tradicional, lo que es fundamental al desplegar varios sitios de sucursales. Multi-VRF ha sido concebido para conservar la privacidad entre los segmentos de forma elegante y económica.

Defensa contra amenazas

Los servicios de defensa contra amenazas evitan y responden a los ataques y amenazas contra la red mediante servicios de red, como por ejemplo, el firewall Cisco IOS y Cisco IOS IPS.

Firewall Cisco IOS
El firewall Cisco IOS es una opción de firewall con inspección de estado completo que se ofrece para los routers de Cisco. Al aprovechar las mismas tecnologías de firewalls de estado completo que se utilizan en el firewall Cisco PIX líder en el mercado, el firewall Cisco IOS se admite en todos los routers de servicios integrados con los conjuntos de funciones de seguridad avanzada o superiores del software Cisco IOS. El firewall Cisco IOS es una solución ideal de seguridad y enrutamiento en una sola caja para proteger el punto de acceso WAN a la red. Si bien el hub es el sitio común para ubicar el firewall e inspeccionar el tráfico con el fin de detectar posibles ataques, las oficinas remotas también son importantes y es conveniente tomarlas en cuenta al implementar la seguridad.

El firewall Cisco IOS fue mejorado con la introducción del soporte del firewall de aplicaciones. El firewall de aplicaciones brinda al firewall Cisco IOS la inteligencia para bloquear el tráfico no HTTP y garantizar la legitimidad del tráfico que se presume HTTP, es decir que se trata de tráfico de exploración web y no de mensajería instantánea o similar que intenta acceder a la red a través del firewall. El resultado neto es que los administradores de redes contarán con un mayor control granular de las aplicaciones que pasan por el firewall.

El firewall Cisco IOS no sólo permite habilitar un solo punto de protección en el perímetro de la red sino que también permite incorporar el cumplimiento de las políticas de seguridad como componente inherente de la red propiamente dicha. La flexibilidad y la eficacia en cuanto a costos de la aplicación de políticas dedicada e integrada facilitan las soluciones de seguridad para perímetros de extranet e intranet y conectividad a Internet en una sucursal u oficina remota. El firewall Cisco IOS, que se integra en la red mediante el software Cisco IOS, también permite a las organizaciones utilizar las funciones avanzadas de QoS en el mismo router.

El software Cisco IOS admite el firewall IPv6 y permite la coexistencia de IPv4 y IPv6. El firewall Cisco IOS IPv6 ofrece la inspección de protocolos de estado completo (detección de anomalías) de los paquetes IPv6 y mitigación de ataques de DoS IPv6.

Firewall transparente
Además de proporcionar un firewall de estado completo de capa 3, los routers de las series Cisco 800, 1800, 2800 y 3800 y la serie Cisco 7200 y los routers de adición 7301 admiten firewalls transparentes, es decir, brindan firewalls de capa 3 para conectividad de capa 2 en el mismo router. Los firewalls transparentes admiten subinterfaces y enlaces troncales VLAN, el protocolo Spanning Tree, todas las herramientas de administración estándar y transferencia DHCP (Protocolo de configuración dinámica de host) para asignar direcciones DHCP en interfaces opuestas (bidireccionales). Debido a que no es necesario volver a numerar la subred IP ni contar con direcciones IP en las interfaces, su incorporación a las redes existentes es muy sencilla.

Sistema de prevención de intrusiones en línea
Cisco lidera la industria con los primeros routers que ofrecen funciones IPS en línea. IPS Cisco IOS es una solución de inspección profunda de paquetes en línea que permite habilitar el software Cisco a fin de mitigar con eficacia los ataques contra la red. IPS Cisco IOS, que se utiliza para la prevención de intrusiones y la notificación de eventos, aprovecha la tecnología de los productos sensores del sistema de detección de intrusiones (IDS) de Cisco, como los equipos de la serie Cisco IDS 4200, el módulo de servicios IDS Cisco Catalyst® 6500 y los equipos IDS de hardware de módulos de red.

Ya que IPS del software Cisco IOS se encuentra en línea, puede descartar tráfico, enviar una alarma o restablecer la conexión, con lo cual permite al router responder de inmediato a las amenazas contra la seguridad y proteger la red. Gracias a la colaboración con VPN IPSec, GRE y el firewall Cisco IOS, IPS Cisco IOS puede permitir el cifrado, la terminación de túneles, la protección con firewall y la inspección del tráfico en el primer punto de acceso a la red (sucursal o hub), siendo el primero de la industria en hacerlo. IPS Cisco IOS permite detener los ataques lo más cerca posible de la fuente.

IPS Cisco IOS, en combinación con los routers de las series Cisco 800, 1800, 2800 y 3800, ahora puede cargar y habilitar determinadas firmas de IPS de la misma manera que lo hacen los equipos sensores de IDS de Cisco, por lo que las organizaciones cuentan con una amplia gama de opciones de más de 1200 firmas admitidas por las plataformas de sensores de IDS de Cisco. Las empresas también pueden modificar una firma existente o generar una nueva para combatir nuevas amenazas y si desean máxima protección contra las intrusiones, pueden seleccionar un archivo de firmas fácil de usar que contiene las firmas de gusanos y ataques más probables. Se configura el descarte del tráfico que coincide con estas firmas de gusanos y ataques de gran confianza. Cisco SDM ofrece una intuitiva interfaz de usuario para aprovisionar estas firmas así como para cargar nuevas firmas desde el sitio web Cisco.com sin necesidad de cambiar la imagen de software. Además, Cisco SDM configura el router de forma adecuada para estas firmas.

Filtrado de URL (Off-Box y On-Box opcional)
Cisco ofrece el filtrado de URL para respaldar el firewall Cisco IOS, lo que permite a las organizaciones utilizar los productos de filtrado de URL Websense o N2H2 con los routers de seguridad de Cisco. La función de filtrado de URL Websense permite que el firewall Cisco IOS de una empresa interactúe con el software de filtrado de URL Websense o N2H2 a fin de evitar que los usuarios accedan a determinados sitios web según la política de seguridad correspondiente. El firewall Cisco IOS funciona con el servidor Websense y N2H2 para determinar si permite o deniega (bloquea) un determinado URL.

Módulos de red de seguridad avanzada (opción de las series Cisco 2800 y 3800)

Las organizaciones que desean contar con una solución dedicada basada en hardware de IDS y seguridad de contenido pueden agregar dos módulos de red para seguridad a los routers de las series Cisco 2800 y 3800.

El módulo de red para IDS de Cisco permite habilitar un sistema IDS completo que funciona con otros componentes IDS a fin de proteger con eficiencia la infraestructura de información y datos. Posee un CPU dedicado para IDS y un disco duro de 20 GB para su registro con más de 1000 firmas IPS admitidas. El módulo de red para motor de contenido de Cisco ofrece un sistema de entrega de contenido integrado en el router con funciones de seguridad y protección de contenido. Además de realizar la distribución y el enrutamiento inteligentes de contenido, puede funcionar como servidor de aplicaciones de filtrado de URL (Websense, SmartFilter).

ELEVADO INTERÉS DEL MERCADO EN LOS SERVICIOS INTEGRADOS EN LOS ROUTERS

Cisco observa un elevado interés del mercado en los servicios integrados en routers en todas las organizaciones, desde las pequeñas hasta las grandes empresas.

Ann Taylor

Un ejemplo es Ann Taylor, una empresa valuada en mil millones de dólares que se dedica a la venta minorista de indumentaria femenina y posee más de 600 locales en EE.UU. y Puerto Rico. Para acompañar sus proyectos de expansión, la empresa decidió reemplazar su red de acceso telefónico para habilitar aplicaciones de venta e inventario basadas en la web, transacciones seguras de solicitudes instantáneas de crédito y futuros puestos de información de voz y video en los locales.

Ann Taylor implementó con rapidez routers de Cisco con VPN integrada en una nueva red que proporciona una intranet, correo electrónico, sistemas de ventas en línea y atención de pedidos, un sistema de compensación de tarjetas de crédito y cambios de crédito, inventario para todo el país, y aplicaciones de rendimiento de ventas para todos sus locales.

Los resultados son extraordinarios. El nuevo sistema de inventario permite a los representantes de venta acceder a información precisa sobre los productos en tiempo real y simplifica la tarea de los asistentes de venta a la hora de manejar los productos. Por su parte, los gerentes pueden acceder a formularios y manuales, analizar datos sobre ventas y actualizar las pantallas de productos. Las ventas aumentaron de manera considerable en todos los locales que cuentan con el nuevo sistema.

GST

GST ofrece soluciones de transporte y logística, y cuenta con 34 oficinas y 380 empleados. La empresa deseaba unificar sus redes de voz y datos con el fin de ampliar el acceso a Internet, reducir costos, y simplificar la administración de proveedores y de las redes, además de disminuir los costos y la complejidad de los movimientos, incorporaciones y cambios de los teléfonos.

Mediante switches y routers de Cisco, GST integró datos, VPN, seguridad y telefonía IP para reducir gastos de US$52.000 por mes correspondientes a 19 oficinas a US$57.000 por mes correspondientes a las 34 oficinas en menos de tres años. La empresa también incorporó 15 nuevas oficinas a la red y los empleados remotos cuentan con el mismo nivel de acceso a la red que los empleados que se desempeñan en la oficina principal. Ahora, los clientes pueden realizar sus pedidos y controlarlos directamente a través del sitio web.

¿EQUIPOS DE SEGURIDAD DEDICADOS O ROUTERS DE SEGURIDAD INTEGRADA?

Las organizaciones que implementan firewalls pueden optar por un equipo de seguridad Cisco PIX dedicado de primer nivel o un firewall Cisco IOS. El firewall Cisco IOS integrado en el router aprovecha las tecnologías del firewall Cisco PIX respaldadas por 20 años de experiencia en enrutamiento.

Cisco seguirá ofreciendo la mejor seguridad incorporada de su clase en los routers así como también los equipos de seguridad dedicados a fin de brindar opciones a las organizaciones que desean seleccionar el mejor método de protección de sus redes. Si bien las diferencias entre los equipos de seguridad integrada y los autónomos son imprecisas, existen varias razones por las cuales una organización puede escoger una respecto de la otra o una combinación de soluciones de seguridad.

Seguridad integrada ideal para pequeñas empresas o sucursales

Un aspecto importante es la ubicación de la red que debe protegerse. Muchas empresas optan por integrar la seguridad en los routers de adición del extremo de la red. Sin embargo, las empresas más grandes pueden optar por proteger el sistema central de cabecera con un equipo autónomo y el centro de datos con un módulo de servicio de firewall (FWSM) integrado en un switch Cisco Catalyst, dado que estas áreas de la red necesitan un rendimiento superior. Asimismo, estas mismas empresas pueden optar por proteger todos los puntos de la red mediante la incorporación de routers con seguridad integrada en las sucursales.

Las oficinas medianas y pequeñas y las sucursales de grandes empresas afrontan muchos de los mismos problemas de seguridad que las grandes oficinas principales; sin embargo, las primeras no cuentan con recursos locales de TI, o estos son escasos, para administrar las soluciones de seguridad. Con recursos de TI limitados, es posible que la implementación y administración de varios dispositivos no respondan al modelo de apoyo que necesita la empresa. En estos casos, la integración de diversos dispositivos en una sola plataforma de administración central facilita las tareas de solución de problemas y mantenimiento en las oficinas más pequeñas a la par que reduce el costo total de propiedad (TCO).

Los routers de servicios integrados de las series Cisco 800, 1800, 2800 y 3800 son ideales para las pequeñas empresas y sucursales de grandes empresas y ofrecen una solución integrada para conectar oficinas remotas, usuarios móviles y extranets de partners o equipos propios de la empresa administrados por un proveedor de servicios. Con la red VPN basada en software Cisco IOS, firewall e IPS, además de la aceleración mejorada opcional de VPN, IDS y los módulos de red para motor de contenido (series Cisco 2800 y 3800), Cisco ofrece la solución de seguridad más robusta y adaptable de la industria en routers de sucursales.

Por ejemplo, una cadena de supermercados de gran magnitud contaba con conectividad WAN desde cada local hasta la oficina principal de la empresa mediante una línea arrendada. La seguridad de los datos de los clientes de la empresa almacenados en la oficina principal era muy importante, en particular porque las leyes federales y estatales disponen que debe notificarse a todos los clientes en caso de que se produzca una violación a la seguridad de los registros. Para proteger su red empresarial contra ataques perjudiciales con origen en sus locales, la cadena decidió incorporar un firewall Cisco IOS en los routers existentes.

Preferencias de las empresas

Otros factores también pueden entrar en juego a la hora de seleccionar una solución de seguridad integrada o una dedicada, como son: las preferencias del cliente, el deseo de aprovechar la infraestructura existente, la arquitectura de implementación y operativa o diferencias de funciones concretas. Algunas empresas sencillamente prefieren que los routers enruten y los switches conmuten. O bien desde el punto de vista de la administración, una empresa puede preferir separar la infraestructura de seguridad y VPN de las infraestructuras de redes ya que cuenta con un equipo que se dedica exclusivamente a la administración de la seguridad y VPN.

Evaluación de costos futuros

Una opción económica consiste en aprovechar los routers o switches existentes para seguridad, mediante la incorporación de imágenes de seguridad del software Cisco IOS y módulos VPN, a fin de prolongar la vida útil de implementación de una infraestructura. De esta manera se potencia al máximo el retorno de la inversión inicial y a su vez se reducen de manera significativa los costos futuros y la interrupción de los negocios como consecuencia del reemplazo prematuro de dispositivos. Los costos relacionados con la inactividad planificada y no planificada pueden representar el factor más importante a la hora de evaluar los costos futuros.

El aumento de las funciones de servicios integrados también incrementa la flexibilidad y disponibilidad general de la red al prepararla para futuras implementaciones de multimedia convergente. Esas funciones también permiten a las organizaciones reaccionar con mayor rapidez a fin de aprovechar oportunidades, reducir el tiempo de implementación de nuevos servicios, mitigar las actualizaciones innecesarias de dispositivos a corto plazo, además de reducir el TCO gracias a una mayor capacidad de ampliación.

Diferencias de funciones

Debido a que Cisco integra tecnología de los equipos de seguridad Cisco PIX en el firewall Cisco IOS, los conjuntos de funciones de las dos soluciones de seguridad comparten numerosas características semejantes. Además, Cisco sigue utilizando los equipos de seguridad para perfeccionar y validar las nuevas tecnologías antes de incorporarlas en los routers de servicios integrados. Para las organizaciones que desean las funciones de seguridad más actuales e innovadoras, el equipo de seguridad Cisco PIX ofrece nuevas funciones de seguridad antes de que se suministren como opciones del firewall Cisco IOS.

RESUMEN

Hoy en día, las redes son fundamentales para la mayoría de las organizaciones y ante la realidad de las amenazas, la seguridad de las redes es un problema prioritario para los gerentes de TI que se ocupan de su protección. A medida que evolucionan las necesidades de seguridad y se esperan soluciones de seguridad integrada que protejan todos los puntos de acceso a la red, Cisco amplía su portafolio de seguridad a fin de mejorar drásticamente la capacidad de la red para identificar, prevenir y responder a las amenazas.

La nueva generación de routers de servicios integrados de Cisco cuenta con aceleración de hardware de seguridad incorporada e integra VPN Cisco IOS, firewall y servicios IPS en todo el portafolio de routers de Cisco, por lo que se proporcionan las soluciones de seguridad más completas y adaptables de la industria. Estos routers satisfacen, en particular, las necesidades de las oficinas pequeñas y remotas que necesitan seguridad integrada para reducir al mínimo la cantidad de sistemas operativos y dispositivos a administrar con recursos de TI limitados.

Al combinar las robustas funciones del software Cisco y la conectividad LAN y WAN líder de la industria con funciones de seguridad de primer nivel, las soluciones de seguridad integrada de Cisco permiten a las empresas aprovechar la infraestructura de red existente e implementar la seguridad donde más la necesitan. El software Cisco IOS permite a las organizaciones utilizar las nuevas funciones de seguridad integrada en los routers sin necesidad de agregar hardware, y aplicar esas funciones en cualquier parte de la red. Los routers de servicios integrados de Cisco protegen todos los puntos de acceso y los defienden contra los ataques dirigidos a la infraestructura de la red.

PARA OBTENER MÁS INFORMACIÓN

Si desea obtener más información sobre las funciones de seguridad integrada de los routers modulares de servicios integrados de las series Cisco 1800, 2800 y 3800, consulte los siguientes documentos en la Web.

Navegación Jerárquica