Una de las obsesiones de los administradores de TI es la infame, o quizás mejor dicho famosa, ¡»seguridad de TI»! Sí, es mejor decir famosa porque, al fin y al cabo, la seguridad es un factor positivo, ¡a pesar de ser un gran problema diario con el que lidiar! Proteger los datos y las infraestructuras de TI corporativas de cualquier intento malicioso externo o de posibles imprevistos es una misión importante, que permite a la empresa asegurar la eficiencia operativa y evitar el riesgo de pérdidas económicas elevadas. Esto, sin embargo, requiere una evolución constante, tanto en productos de software para integrar estándares y procedimientos de seguridad de última generación, como para los administradores de TI, llamados a actualizar sus infraestructuras y aplicar tecnologías de punta.
Entre los diversos aspectos que deben tenerse en cuenta en lo que respecta a la seguridad de TI, se encuentran las comunicaciones entre sistemas, en particular las comunicaciones entre servidores, llamados a prestar servicios y proporcionar acceso a recursos corporativos compartidos (incluidos los datos), y clientes o estaciones de trabajo periféricas (típicamente las estaciones de trabajo en las que los usuarios finales operan de diferentes maneras) y las comunicaciones entre servidores necesarias para interactuar con servicios externos.
Proteger estas comunicaciones, especialmente cuando se producen en redes públicas, como por ejemplo a través de Internet, es fundamental tanto para garantizar la confidencialidad de los datos intercambiados como para evitar diversos ataques informáticos en los que se sabotean y explotan para hacerse pasar por la infraestructura y acceder de forma fraudulenta a los activos digitales corporativos.
Pero además de brindar seguridad, también es importante entender a qué precio, en términos de acciones y esfuerzos concretos, esto se puede garantizar. Existen soluciones que pueden ayudar a los administradores de sistemas al ofrecer una capacidad de configuración y un acceso «fáciles» a las configuraciones de seguridad más modernas.
Los estándares recientes en los productos de Praim
En sus productos de software Praim integra los últimos estándares en términos de seguridad de protocolos de comunicación, en particular para todos los intercambios de información entre la consola de gestión ThinMan y los demás endpoints (que ejecutan ThinOX o Agile). De hecho, una de las propiedades fundamentales de los productos Praim es que todos los endpoints (ya sea que se basen en ThinOX, ThinOX4PC o Windows con Agile4PC) se comunican con ThinMan a través de una conexión que se mantiene activa a través de un canal Web-Socket seguro.
No solo eso, todo el software de Praim permite configurar fácilmente el uso de certificados para fortalecer esta comunicación, tanto gratuitos y validados a través del servicio Let’s Encrypt, como aquellos internos de la organización. A través de ThinMan es posible automatizar la configuración y el uso de certificados en todas las estaciones de trabajo, de modo que solo aquellos con certificados validables puedan comunicarse y recibir comandos desde la consola de ThinMan.
Desde un punto de vista técnico, mediante el uso de este protocolo no es necesario que el administrador de infraestructuras de la empresa mantenga abiertas las conexiones entrantes en el puerto 443 en los dispositivos, como lo requieren otras soluciones. De hecho, todos los comandos pasarán a través del canal Web-Socket establecido, lo que simplifica la configuración del firewall dentro de la red. La comunicación se vuelve full-duplex en el mismo canal, permitiendo el paso de datos incluso en redes bajo NAT. Por ejemplo, para realizar asistencia remota en un dispositivo gestionado por ThinMan en una oficina remota, incluso en movimiento en una red doméstica privada, no será necesario pasar por una conexión web en una dirección IP; al tener una conexión bidireccional protegida siempre activa, la asistencia remota pasará dentro del canal y sin necesidad de cambios de lado del firewall.
Las nuevas herramientas: Transport Layer Security
Como se mencionó anteriormente, la seguridad informática es una cuestión de «evolución continua» y las técnicas de protección también deben evolucionar al ritmo de los intentos de ataque correspondientes. Esto también se aplica a los protocolos de comunicación, que están llamados a utilizar técnicas de intercambio de datos y algoritmos de cifrado cada vez más avanzados, tanto para «inmunizarse» contra las nuevas técnicas de «decryption» como para mantener la eficiencia a medida que aumenta su complejidad.
Una de las herramientas disponibles para asegurar las comunicaciones es, en particular, el Transport Layer Security (TLS). TLS es un protocolo que permite establecer un canal con las propiedades de integridad y confidencialidad en sentido criptográfico entre un cliente y un servidor. Después de establecer una conexión segura a través del protocolo TLS, las aplicaciones pueden usarlo para intercambiar datos. TLS se utiliza en múltiples contextos de aplicaciones, como conexiones HTTPS, SMTPS, etc. Dada la continua evolución tecnológica y el posible descubrimiento de nuevas vulnerabilidades, el protocolo TLS evoluciona continuamente, integrando nuevas suites -o combinaciones- de algoritmos de cifrado cada vez más avanzados y seguros (en inglés Cipher Suite).
Hasta la fecha, hay 4 versiones de TLS disponibles, desde la 1.0 (lanzada en 1999) hasta la más reciente TLS 1.3 (lanzada en 2018), donde las versiones de TLS 1.0 y 1.1 ahora se consideran obsoletas y ya no son seguras con las herramientas actuales.
Para sus conexiones seguras WSS ThinMan utiliza las últimas versiones de TLS. Además, a partir de la versión 8.5.2, ofrece la posibilidad de bloquear cualquier conexión no segura que pueda solicitar dispositivos obsoletos cuyo software o sistema operativo no estén actualizados o actualizables a versiones que soporten las nuevas versiones del protocolo. Esto con el fin de facilitar el trabajo del administrador de TI que puede haber olvidado actualizar o eliminar dispositivos no seguros de su red.
Con ThinMan es posible configurar el nivel mínimo de seguridad aceptado en comunicaciones con «protocolos TLS y los Cipher Suites relacionados», permitiendo por ejemplo seleccionar un nivel superior que excluya dispositivos o servicios que operen con TLS 1.0 o TLS 1.1, para identificarlos y sustituirlos, bloqueando, además, cualquier comunicación realizada con estos protocolos ya en desuso.