Así puedes proteger tus redes con gestión desde el Cloud de ataques

En los últimos años las redes han evolucionado hacia una gestión directamente desde el Cloud, algunos administradores TI en las empresas ya no despliegan equipos como switches o APs que se gestionan localmente, sino que se gestionan directamente desde la nube del fabricante. Esto supone muchas ventajas, como una instalación fácil y rápida basada en el número de serie, una monitorización continua desde la nube sin necesidad de configurar nosotros sistemas de monitorización, y un acceso a la configuración desde cualquier lugar. Hoy en RedesZone os vamos a enseñar cómo puedes proteger tu red de ataques si las gestionas desde la nube.

¿Qué es la gestión de redes desde el Cloud o nube?

Las redes locales han evolucionado desde una gestión local, donde teníamos que acceder de forma local a los diferentes switches, y donde teníamos un controlador WiFi por software o hardware para los puntos de acceso, a una gestión centralizada desde la nube. En una gestión centralizada en el Cloud o nube, podremos gestionar toda la red desde el router principal hasta los diferentes puntos de acceso que tengamos conectado al switch, y todo ello a través de un panel de control con el que accederemos vía web, o también a través de una app en nuestro smartphone.

Con una gestión de redes en el Cloud podremos configurar de manera global y automática todos los switches y puntos de acceso WiFi que nosotros queramos, de esta forma, no tendremos que ir switch por switch realizando las mismas o similares configuraciones, ahora lo podremos aplicar a todos los switches simultáneamente, ahorrando muchísimo trabajo a los administradores de TI y también muchísimo tiempo. Lo mismo ocurre con los APs, aunque desde hace mucho tiempo hemos tenido los controladores WiFi para gestionar de manera centralizada diferentes puntos de acceso WiFi, ahora es aún más fácil con la gestión en el Cloud, porque podremos tener varios APs desplegados por diferentes «Sitios» y administrarlos todos desde el mismo panel de control.

La gestión de las redes desde la nube tiene muchos aspectos positivos, como, por ejemplo:

  • Despliegue Zero-touch, podremos dar de alta los APs y switches antes de conectarlos a la red eléctrica, dando de alta su número de serie en la nube para añadirlos al inventario.
  • Monitorización continua y automática, con avisos por email y notificaciones Push.
  • Actualizaciones de firmware automáticas, bajo demanda o en un determinado horario.
  • Registros con todos los cambios realizados en la configuración.
  • Administración basada en roles, para delegar configuraciones a otros compañeros de TI.
  • Informes de tráfico cableado y WiFi avanzados, donde podremos ver en detalle qué está pasando en la red.
  • Acceso remoto desde cualquier lugar, tan solo es necesario acceder a la plataforma vía web o con la app móvil.
  • Gestión de varios sitios con la misma cuenta de usuario.

Por supuesto, también tiene algunos aspectos negativos, como depender siempre de conexión a Internet para hacer cualquier cambio, para la monitorización continua o para subir los registros en tiempo real, además, siempre dependeremos del fabricante de la solución, y, en algunos casos, debemos pagar por el uso de la nube y no solamente basta con comprar los equipos hardware.

Ahora que ya conocemos las principales características de la gestión en la nube de tu red, vamos a ver cómo podemos protegerla de ciberataques.

Recomendaciones de seguridad para la gestión Cloud de tu red

Para proteger correctamente tu red local profesional con una gestión Cloud, se siguen las mismas recomendaciones de seguridad que en una gestión local, es decir, deberemos segmentar correctamente el tráfico de la red usando VLANs, tendremos que configurar correctamente el Spanning-Tree para evitar ataques a este protocolo, también deberíamos habilitar protecciones como DHCP Snooping e incluso medidas de mitigación de ataques ARP Spoofing entre otros, por supuesto, controlar los puertos de los switches con Port-Security es algo fundamental. Todas estas medidas de seguridad siguen vigentes en una gestión en la nube, porque todos estos protocolos siguen estando presentes, lo único que cambia es de cara a la administración de los diferentes equipos.

Con una gestión local, lo más normal es tener una VLAN con una subred dedicada específicamente a la gestión de los diferentes equipos (router, switches y puntos de acceso WiFi), y el acceso a esta VLAN se puede realizar desde la red de administración desde uno o varios equipos directamente, haciendo uso de HTTPS para tener confidencialidad y autenticidad punto a punto, otra opción muy interesante es conectarnos vía VPN con IPsec, OpenVPN o WireGuard directamente a un servidor que esté ubicado en esta red de gestión, y «saltar» a la gestión de los diferentes dispositivos directamente desde aquí. Por supuesto, no solo es importante aislar correctamente la red de administración del resto de usuarios, también es muy importante utilizar credenciales de usuario robustos, con unas buenas contraseñas para evitar problemas.

La comunicación de los diferentes dispositivos como switches y APs con la nube del fabricante se realiza vía HTTPS, por tanto, hace uso de conexiones TLS v1.2 o TLS v1.3, por lo que tendremos confidencialidad, autenticidad y se comprobará la integridad de los datos transmitidos, con el objetivo de evitar posibles ataques a la comunicación de los dispositivos con la nube del fabricante.

Para acceder de forma remota a la gestión local de una red, un atacante debería vulnerar el firewall con las correspondientes reglas de mitigación de ataques, y también con su IDS/IPS, sin embargo, con una gestión desde el Cloud, lo único que tendrá que hacer es atacar a esta gestión en la nube, intentando realizar ataques de fuerza bruta o diccionario a nuestras credenciales de acceso. La seguridad del sistema la delegamos en el propio fabricante, el cual pondrá todos sus esfuerzos para evitar este tipo de ataques, tal y como hace Google, Microsoft o cualquier otra empresa, de esta forma, para proteger correctamente la seguridad de tu red local gestionada desde el Cloud es fundamental proteger correctamente tus credenciales de acceso:

  • Utilizar una contraseña robusta para el acceso, siguiendo las políticas básicas de creación de contraseñas.
  • Cambiar la contraseña cada cierto tiempo.
  • Activar la autenticación en dos factores, para tener una seguridad añadida. Si nuestra contraseña se filtra, no podrán acceder sin este segundo factor de autenticación.

Una vez que ya conocemos cómo podemos proteger nuestra cuenta de gestión Cloud, os vamos a enseñar las principales opciones disponibles en Nuclias Cloud, Aruba Instant On y también en EnGenius Cloud, las tres soluciones de gestión en la nube que más recomendamos en RedesZone.

Configuración de seguridad en Nuclias Cloud

Nuclias Cloud es la solución de gestión de redes en la nube del fabricante D-Link, lo primero que tenemos que hacer es registrarnos en la plataforma vía web, a continuación, nos vamos a nuestro usuario pinchando en nuestro nombre. Dentro de la sección de «My Profile» podremos cambiar la contraseña que hayamos puesto anteriormente, D-Link obliga a que las contraseñas sean superiores a 8 caracteres, por tanto, es una muy buena medida de seguridad. El máximo es de 64 caracteres, por lo que podremos usar el generador de contraseñas de los principales navegadores web para crear una contraseña robusta.

Nuclias Cloud soporta autenticación en dos factores, además, permite elegir entre autenticación vía Email o utilizando Google Authenticator, o cualquier otra app para autenticación con códigos TOTP (Temporal One Time Password), de esta forma, podremos proteger aún más nuestra cuenta de D-Link en la nube. Nuestra recomendación es hacer uso de Google Authenticator, porque la generación de los códigos es algo instantáneo, y no tenemos que esperar hasta recibir el correo electrónico en nuestra bandeja de entrada.

Estas son las únicas opciones para proteger la cuenta del usuario, el resto de opciones como mitigación de ataques de fuerza bruta o diccionario quedan delegadas al servicio en la nube, y nosotros no podemos configurar absolutamente nada. Tampoco podemos configurar la cuenta para que, solamente las IP de origen España, puedan iniciar sesión con nuestra cuenta, algo que sería muy recomendable para mitigar ataques automatizados.

Protección del acceso a la cuenta de Aruba Instant On

En el caso de Aruba Instant On, en la sección de «Administración de cuenta» podremos también cambiar la contraseña fácilmente, en este caso, el mínimo de caracteres es de 10, además, es obligatorio que incluya un número, una mayúscula y un símbolo de los que indica, con el objetivo de crear una contraseña muy robusta y protegerla frente a posibles ataques de fuerza bruta o diccionario. Además, también nos permitirá activar la autenticación en dos factores, para ello, simplemente tendremos que pinchar en «Configurar autenticación de dos factores», introducir la contraseña y seguir los pasos.

En este caso con Aruba Instant On solamente podremos usar una aplicación autenticadora, como Google Authenticator, Latch o Authy entre otras, no tendremos la opción del segundo factor de autenticación vía email. Tendremos que escanear el código QR con la app o introducir el código manualmente.

Tal y como habéis visto, Aruba Instant On también incorpora las medidas de seguridad básicas para proteger nuestra cuenta en la nube, algo totalmente necesario para proteger la gestión de nuestra red.

Configurar la seguridad en EnGenius Cloud

En el caso de EnGenius Cloud, en el menú superior derecha es donde podemos desplegar las principales opciones de cara a la seguridad. Aquí también tendremos la posibilidad de configurar una contraseña robusta y activar la autenticación en dos pasos. El fabricante no nos indica, en este caso, cual es la longitud mínima ni máxima de la contraseña que podemos introducir, no obstante, lo más normal es generar una directamente con el navegador web Firefox o Chrome para tener una clave robusta.

La autenticación en dos factores también está basada en TOTP, usando una aplicación autenticadora como Google Authenticator u otras herramientas similares. De esta forma, no solamente es necesario introducir la clave de acceso, sino que también tendremos que introducir el código generado dinámicamente por la aplicación de nuestro smartphone.

Como habéis visto, EnGenius Cloud también tiene la posibilidad de configurar autenticación en dos pasos, sin embargo, no todos los sistemas de gestión en la nube de redes lo incorporan, como TP-Link Omada.

TP-Link Omada

En el caso de TP-Link Omada, solamente tenemos la posibilidad de fijar una contraseña de acceso a la nube, no dispone de ningún sistema de autenticación en dos pasos para verificar correctamente la identidad del usuario, tan solo tendremos el email de acceso y la contraseña que hayamos configurado. Teniendo en cuenta que la autenticación en dos factores está presente en casi cualquier servicio de Internet, resulta inexplicable cómo es posible que TP-Link no haya incorporado esta funcionalidad tan importante y básica a su gestión en la nube con Omada Cloud.

Tal y como habéis visto, en un entorno de gestión Cloud no solamente es muy importante proteger la red local frente a posibles ataques, sino también la propia gestión en la nube del fabricante. Es muy importante hacer uso de una contraseña de acceso robusta, y activar la autenticación en dos pasos si es que la tenemos disponible. Hoy en día, lo más normal es encontrarnos con una plataforma donde sí se soporte la autenticación en dos pasos, en este caso, hemos visto que TP-Link Omada no dispone de esta funcionalidad de seguridad tan básica.