Cómo configurar el proxy de navegación corporativo para controlar los nuevos dispositivos móviles iOS y Android

La creciente introducción en la empresa de nuevos dispositivos móviles a los que se ha de dar servicio en la red corporativa, ha dejado de ser una predicción de analistas del sector para convertirse en una realidad tangible. (Por Alberto Cita, Senior Systems Engenieer de Blue Coat Systems).

El número de iPhones, iPads, smartphones y tablets Android, entre otros, primero reducidos a un pequeño grupo de ejecutivos, se ha ido ampliando rápidamente hasta el punto de convertirse en un fenómeno generalizado, impulsado por el interés corporativo en las iniciativas “BYOD”.

Estos nuevos dispositivos han traído consigo sus propios desafíos para la seguridad corporativa, que podríamos resumir en dos puntos:

1. Los relacionados con la (en el mejor de los casos) escasa integración de estos nuevos dispositivos con los sistemas corporativos de autenticación y autorización.

2. Los relacionados con las nuevas aplicaciones móviles que incorporan estos dispositivos.

Estos desafíos han puesto en jaque a los sistemas de seguridad y control de las redes empresariales, siendo el control de la navegación por Internet (es decir, el Proxy de navegación, o empleando la denominación de Gartner: el Secure Web Gateway) uno de los más afectados.

Los nuevos dispositivos a los que tiene que servir la red corporativa, a día de hoy mayoritariamente dispositivos iOS (iPad e iPhone), permiten configurar un proxy explícito de navegación asociado a su interfaz WI-FI. Pero la abrumadora mayoría de las aplicaciones instaladas en estos dispositivos ignora esa configuración, intentando acceder de forma directa a Internet, lo que rara vez está permitido en la política de seguridad de las empresas (que sólo permite acceder directamente a Internet a los proxies de navegación).

De este modo, nada más llegar a la red corporativa, la mayor parte de las aplicaciones instaladas en estos dispositivos o no funcionarán o lo harán parcialmente.

Por si esto fuera poco, si, como es esperable en una red empresarial, la navegación por Internet requiere de la previa autenticación del usuario en el proxy de navegación, habrá que hacer frente a otro inconveniente: que estos nuevos dispositivos o sus aplicaciones (o ambos) presentarán problemas de diversa índole para soportar el mecanismo de autenticación empleando en el Secure Web Gateway corporativo (NTLM, Kerberos, LDAP…). Debido a esta limitación en los nuevos dispositivos y sus aplicaciones, bien no serán capaces de autenticarse con el sistema de control de la navegación (quedando sin acceso a Internet a través de la red de la empresa), o bien, el usuario se verá continuamente interrumpido por solicitudes de sus credenciales de acceso, con tanta frecuencia que llegará a hacer muy difícil, si no imposible, utilizar el dispositivo dentro de la red corporativa. 

Página anterior
Todos estos inconvenientes obligan al usuario del iPad, iPhone o similar a tener que desconectarse de la red corporativa para poder utilizar su dispositivo, lo que puede suponer un problema de seguridad o ser del todo imposible si su dispositivo, por ejemplo un iPad, no viniera equipado con Internet móvil (3G).

Antes esta casuística, los administradores de red se han visto obligados a elegir entre “puentear” la política de seguridad corporativa permitiendo navegar a estos dispositivos sin pasar por el Secure Web Gateway corporativo (creando una brecha de seguridad) y no darles acceso a la red corporativa.

El objetivo de este artículo es presentar una tercera opción que permita la integración de estos nuevos dispositivos en la infraestructura de seguridad corporativa, detallando para ello los mecanismos a configurar en el Proxy de navegación corporativo, para poder controlar la navegación de estos dispositivos (incluyendo la autenticación de sus usuarios), sin necesidad de instalar en ellos software adicional (pudiendo así controlar los dispositivos corporativos y aquellos que sean propiedad de los usuarios).

Dado que no se puede confiar en la configuración de un proxy explícito de navegación en este tipo de dispositivos, el Proxy de navegación corporativo deberá configurarse como un proxy transparente HTTP y HTTPS, al mismo tiempo que mantenga sus actuales funciones como Proxy explícito. De esta forma será posible interceptar a nivel de aplicación todo el tráfico generado por estos nuevos dispositivos.

Así mismo el Proxy de navegación deberá contar con un mecanismo de categorización y filtrado web, que permita implementar controles granulares sobre el tráfico generado por las aplicaciones instaladas en estos dispositivos, muchas de las cuales hacen uso de la Web 2.0. Esto permitirá ejercer control sobre cada una de las operaciones individuales que se pueden realizar desde estas aplicaciones (por ejemplo permitir acceder a los contenidos personales de una red social, pero no permitiendo ni subir, ni descargar documentos).

Para evitar abrir brechas en la seguridad corporativa, el filtrado web del proxy de navegación debe proteger a los dispositivos iOS y Android de la propagación de malware a través del que actualmente es, con diferencia, el principal vector de ataque: la navegación web. Para ello la categorización y filtrado web del proxy debe contar con categorías específicas de seguridad que no estén basadas en reputación web (casi por completo inefectiva en la actualidad como mecanismo de prevención de malware), que bloquearán el acceso a sitios web desde los que se esté distribuyendo malware de forma preventiva, e incluso permita identificar dispositivos que ya hubieran sido infectados por malware cuando estaban conectados a otra red, bloqueando el tráfico que ese malware generará para entrar en comunicación con su servidor de Comando & Control y con ello conteniendo la “infección” e impidiendo que el malware complete su objetivo; el robo de información.

Sí así lo exigiera la política de seguridad corporativa, el Proxy de navegación debería contar con un la posibilidad del enviar el 100% de los objetos descargados de Internet por estos dispositivos a un motor de anti-virus en línea, donde serán inspeccionados antes de entregarlos al usuario que los solicitó.

El Proxy de navegación deberá, así mismo, disponer de algún mecanismo de autenticación de usuarios que se integre correctamente tanto con los nuevos dispositivos, como con los sistemas de autenticación corporativa.

Hasta ahora, el mecanismo de autenticación que ha demostrado integrarse bien en ambos extremos de la autenticación, en especial hablando de dispositivos iOS , es la autenticación de usuarios mediante certificados digitales. 

Página anterior
Requisitos para autenticar nuevos dispositivos mediante certificados digitales

1.- Cada dispositivos iOS/Android debe contar con un certificado digital de usuario generado por la propia Empresa (o por otra autoridad certificadora en la que la Empresa confíe). El dispositivo mostrará este certificado cuando un servidor se lo pida (de forma transparente para el usuario).

2.- El Proxy de navegación debe tener instalado a su vez un certificado digital generado por la misma autoridad certificadora.

3.- El Proxy de navegación debe ser capaz de interceptar de forma transparente el tráfico generado por estos nuevos dispositivos y, mostrando su certificado de servidor, solicitar a la sesión interceptada que se le muestre un certificado de usuario,

4.- El Proxy de navegación debe ser capaz de verificar que el certificado digital de usuario ha sido generado por la misma CA que su certificado de servidor y, en ese caso, extraer del certificado digital presentado por el usuario una cadena de caracteres (por ejemplo del Comon Name del certificado) que empleará para extraer del Directorio Activo (por ejemplo empleando LDAP) el nombre de usuario y el grupo al que pertenece.

Por último, pero no menos importante, el Proxy de navegación debe de ser capaz de hacer frente a las descargas masivas de información que periódicamente inician este tipo de dispositivos: actualización de aplicaciones, actualización de sus sistema operativo (sin ir más lejos, la actualización de dispositivos Apple a iOS 6.0, disponible desde el 19 de septiembre de 2012, implica la descarga de más de 500MBytes desde cada dispositivo) y que podrían llegar a saturar la conexión corporativa a Internet o, lo que podía ser peor, los enlaces WAN de delegaciones. Así pues, el Proxy de navegación debería ser capaz de cachear, de forma inteligente, los objetos (ficheros) descargados por estos dispositivos móviles (en especial este tipo de actualizaciones) así como el contenido multimedia al que permiten acceder, sirviéndose estos contenidos desde el proxy una vez descargados por primera vez, proporcionando un doble beneficio: evitar la degradación del servicio de red para toda la Empresa y mejorar la experiencia del usuario.

Con la configuración adecuada en el Secure Web Gateway (es decir, Proxy de navegación) corporativo, es posible integrar a los dispositivos iOS (iPhone, iPad) y Android (tablets y smartphones) en la infraestructura de seguridad corporativa, incluyendo los mecanismos de autenticación de usuarios y protección frente a malware, de una forma simple y escalable, al tiempo que aplica la política corporativa de control de contenidos, tanto de la navegación web como al tráfico generado por las aplicaciones móviles, se protege el ancho de banda corporativo y se mejora la experiencia de usuario de estos dispositivos a través de la red corporativa. 

Por Alberto Cita, Senior Systems Engineer de Blue Coat Systems