Autor: Arnaud Le Hung, director de marketing para EMEA en Ruckus Wireless
Desde la gran estafa del ‘efecto 2.000’, nada parece haber generado mayor revuelo en la industria de las redes informáticas que el BYOD (Usa tu propio dispositivo). El BYOD da miedo y el miedo vende productos, algo que siempre es positivo para los empresarios. Pero la realidad es que la tendencia del BYOD se ha convertido en algo parecido al ‘efecto 2.000’, un problema que parece grande pero que en realidad no lo es tanto.
Todo lo móvil está creciendo, sí, pero los que venden estos productos lo están explotando demasiado. Los antiguos fans de Blackberry convertidos en adictos a dispositivos Apple están haciendo a las empresas replantearse sus estrategias inalámbricas. Pero la realidad es que la mayoría de las empresas también quieren ya probar algunas cuestiones relacionadas con el BYOD:
1.Encontrar una manera sencilla de dar servicio a todos los dispositivos, tanto a los de la organización como a los personales.
2. Proporcionar automáticamente políticas basadas en el usuario cuando se conecte alguien.
3.Ver quién está accediendo a la red y con qué dispositivos.
4.Extender la seguridad y el diseño del cableado(filtrado de contenidos, firewalls y VLAN) a la red inalámbrica.
5. Añadir capacidad inalámbrica a redes con 2, 3 o 4 dispositivos por usuario.
6. Convertirlo en algo simple, rentable y aprovechar la infraestructura existente.
Está claro que algunas empresas querrían gestionar directamente los dispositivos y aplicaciones, proporcionar inspección del control de acceso a la red (y antivirus), cuarentena y remediación, y luego filtrar, controlar y dirigir a sus usuarios con políticas muy personalizadas basadas en diecisiete criterios únicos incluyendo (pero no limitándose exclusivamente a ello)usuario, dispositivo, ubicación, tiempo, método de acceso, estado de ánimo del usuario, fase lunar, temperatura ambiente exterior,nivel de la marea y su talla de pantalón.
Es comprensible que algunas compañías (como aquellas que tienen estrictos requisitos de cumplimiento) necesiten políticas de seguridad muy personalizadas. Esto, en el caso de que la experiencia del departamento de TI y el presupuesto sea suficiente. Pero a pesar de la fama del BYOD, y recalcando que cualquier organización necesita la mayor personalización que le sea posible, la mitad de las empresas del mercado pueden librarse de estos supuestos que hemos mencionado.
Muy pocas empresas de tamaño mediano quieren implementar todos los aspectos del BYOD porque o (a) no tienen tiempo, (b) no cuentan con personal cualificado, (c) no tienen presupuesto, (d) no ven la necesidad o, más probablemente, (e) por todas las razones anteriores. Pero lo que es más importante, las compañías ya tienen los componentes de red adecuados para afrontar los fundamentos de la tendencia BYOD sin tener que comprar más equipo de red:
• Autenticación: Muy probablemente ya hayas solicitado la autenticación de usuarios en tus servidores de bases de datos (LDAP, AD, etc) para muchas funciones de red. Aunque no quieras usar 802.1X, existen excelentes opciones para la autenticación inalámbrica para usuarios específicos.
• Seguridad de red: Muchas organizaciones ya han invertido tiempo y energía en diseñar una segmentación de red y seguridad adecuadas a VLAN, ACLs,firewalls y filtros de contenido. ¿Por qué replicar la configuración y la complejidad de los dispositivos inalámbricos si ya se está haciendo en el cableado?
• Políticas de acceso basadas en roles: Cuando sabes quienes de tu empresa están usando la red, es el momento de asegurarte de que todo todos tienen el acceso correcto. Las políticas de autorización pueden aplicarse también a los distintos tipos de dispositivos.
• Visibilidad: Hay muchos dispositivos en la red que pueden monitorizar quién está en la red de la empresa y qué están haciendo. Un sistema de Wi-Fi inteligente ofrece esta información al límite, donde se pueden hacer cambios de aprovisionamiento, según sea necesario, por los cambios en el uso de la red.
El acceso en función del cargo que tengas en la empresa es , a menudo, el principal obstáculo, pero para aquellos que tienen políticas de grupo, la nueva pregunta que hay que responder es si todos los usuarios y dispositivos son los mismos. Los usuarios con dispositivos personales hacen que esta pregunta sea obligatoria. Pero el principal problema alrededor del BYOD es que se sepa quiénes son los usuarios pero no los dispositivos.
El departamento de TI necesita saber qué dispositivos están en red en todo momento y a quién pertenecen. Pero el acceso a la red ha sido ya restringido por la seguridad y segmentación de la red (y cualquier otra solución superpuesta, como NAC y filtros de contenido). Esto plantea algunas preguntas importantes:
• ¿Cómo se provisiona a los dispositivos personales para que accedan a la red por primera vez?
• ¿Cómo se identifica cada dispositivo, asociado a un usuario, y se le hace un seguimiento?
• ¿Cómo se restringe a un usuario/dispositivo a una WLAN o a una política VLAN/ firewall?
Hay unas cuantas características de Wi-Fi fáciles de usar que ya existían antes del boom del BYOD y que pueden ayudar a la mayor parte de las empresas a superar el reto que les plantea el BYOD.
Dynamic Pre-Shared Keys (DPSKs) son una característica única para organizaciones que no están preparadas para profundizar en seguridad para hacer frente al BYOD Wi-Fi con 802.1X. Tradicionalmente, WPA2-Personal utiliza un PSK compartido para toda la red, pero existen muchos problemas conocidos de seguridad y gestión con estas claves compartidas. Sin embargo, con DPSK se crea una clave única y segura para cada usuario o dispositivo. Al vincular cada usuario/dispositivo con una credencial PSK individualizada, la combinación de clave/dispositivo/usuario puede tener una política única y puede ser gestionada y monitorizada individualmente. Es un poco como el cuento de Ricitos de oro, cuya teoría se suele aplicar en marketing en este tipo de casos.
El 802.1X/EAP es confuso y/o difícil de implementar. Las PSKs ofrecen problemas de gestión y seguridad. Sin embargo, las DPSKs son las adecuadas, ya que ofrecen lo mejor de ambos mundos:
• Credenciales únicas de acceso para cada usuario y dispositivo
• Control individual de las credenciales de usuarios (creación y revocación)
• Sin certificados, sin configuración compleja ni dependencias de backend
• Los usuarios validados no pueden descifrar el tráfico de los demás
La DPSK es un complemento ideal para la tendencia BYOD, especialmente para empresas entre extremos menos aceptables de 802.1X y contraseñas tradicionales. Las características que automatizan el aprovisionamiento de dispositivos, como la activación del Zero-IT de compañías como Ruckus Wireless, son también muy beneficiosas para el BYOD. Aliándose con DPSKs o 802.1X, las características zero-touch ofrecen una herramienta de abordaje segura que permite a los usuarios el auto-aprovisionamiento de dispositivos sin intervención del departamento TI.
Cuando existe un flujo de trabajo típico, los usuarios se conectan a una red de suministro, iniciando sesión de forma segura con sus credenciales de dominio, y después la herramienta de aprovisionamiento autoconfigura su dispositivo con el perfil de red adecuado y sus privilegios asociados. El dispositivo vuelve a conectar con la red adecuada y el usuario recibe acceso, conforme a las políticas basadas en cargos/roles que tenga el sistema Wi-Fi, u obtenido desde una base de datos de usuarios. El departamento de TI no interviene en el proceso, pero mantiene un control total sobre el acceso de usuarios y dispositivos. Y en la mayoría de los sistemas, los administradores ganan visibilidad para ver los ajustes específicos de cada dispositivo (direcciones MAC e IP, nombre de host, etc), qué usuario registra el dispositivo, qué tipo de dispositivo es y mucho más.
Para empresas que quieran políticas adicionales para dispositivos específicos, la mayoría de los proveedores tienen software integrado que configura nuevos dispositivos utilizando sistemas operativos con técnicas de reconocimiento de huellas. Si unimos esto con usuario, rol, localización y políticas basadas en el tiempo, el departamento de TI tendrá aún más detalles, en caso de que necesiten capas de control extra.
Estas soluciones son menos intrusivas que el desarrollado NAC y los enfoques MDM, pero resuelven los problemas reales para la mayoría de las organizaciones. Un hecho positivo es que estas soluciones son fáciles de instalar y de un uso muy intuitivo para los usuarios de BYOD. Si la WLAN está diseñada correctamente y proporciona una funcionalidad de RF fiable, los usuarios permanecerán conectados y productivos. Y eso es exactamente de lo que se trata la tendencia del BYOD.