Proteger las redes ópticas: cómo el cifrado ayuda a mantener sus datos seguros

El cifrado de capa 1 puede ayudar a mantener seguras las redes ópticas (crédito: ArtHead/Shutterstock.com)

Las redes ópticas actuales son como superautopistas de información: utilizan la luz para enviar grandes cantidades de datos rápidamente a largas distancias. Si bien esto ha permitido la aparición de algunas aplicaciones emergentes interesantes, también ofrece a los ciberdelincuentes un mayor grado de tentación, gracias al mayor “premio” de datos.

Una de las vulnerabilidades clave de las redes ópticas radica en su infraestructura física. Los cables de fibra óptica que transportan los datos lo hacen en diversos entornos, incluidas instalaciones subterráneas, cables submarinos y conductos de servicios públicos. Esta exposición puede hacerlos susceptibles a manipulación física, como intervenir en los cables de fibra óptica, lo que puede resultar en interceptación y violaciones de datos.

Incluso las marcas más importantes no son inmunes a las amenazas a la seguridad cibernética. En 2021, LinkedIn fue pirateado en un ataque en el que se publicaron datos de alrededor de 700 millones de usuarios en un foro de la web oscura. Más recientemente, una banda de ransomware robó unos 80 GB de datos al sitio de redes sociales Reddit, que amenazó con venderlos si la empresa no pagaba 4,5 millones de dólares para eliminarlos.

Las redes ópticas no son menos vulnerables. La convergencia de las redes de fibra óptica con los sistemas basados ​​en IP puede exponerlas a una amplia gama de ataques cibernéticos, incluida la denegación de servicio distribuido (DDoS), la interceptación de datos y el acceso no autorizado. Las posibles consecuencias de una violación de la seguridad en una red óptica van más allá de la pérdida de datos y abarcan la interrupción del servicio, el daño a la reputación de una empresa y luego el impacto financiero.

Paul Momtahan, director de Soluciones de Infinera, explica: “Según el último informe de IBM [1], el coste medio global de una filtración de datos es de 4,45 millones de dólares, y en EE.UU. es de casi 10 millones. También existe la legislación y el riesgo de grandes multas, por ejemplo, está el GDPR en Europa, y eso puede ser de hasta 20 millones de euros o el 4% de tu facturación, lo que sea mayor. Y luego, en California, está la Ley de Privacidad del Consumidor de California. Y eso puede ser entre $100 y $150 por residente de California, y hay 40 millones de residentes en California. Por tanto, una filtración de datos puede resultar muy costosa”.

Los operadores de redes de fibra tienen la ventaja de que se sabe que la fibra es más segura y más difícil de penetrar que otras tecnologías de red porque la forma en que transmite datos hace que la señal sea más difícil de interceptar. Pero ni siquiera la fibra es impenetrable para los ciberdelincuentes. Los operadores necesitan las mejores estrategias para proteger los datos de su red, tanto mientras están "en reposo" en el centro de datos o instalación de almacenamiento como, fundamentalmente, en la capa óptica cuando están en tránsito en la propia fibra.

El cifrado en la capa óptica y la esteganografía óptica para ocultar datos son formas de ofrecer un alto nivel de protección. El cifrado funciona convirtiendo datos a un formato ilegible mediante algoritmos criptográficos.

En términos de beneficios para los operadores, el cifrado garantiza que sólo las partes autorizadas puedan acceder y comprender los datos transmitidos, al tiempo que salvaguarda su integridad al garantizar que permanezcan inalterados durante la transmisión. Cualquier modificación no autorizada de los datos cifrados alertará a los operadores sobre una posible manipulación. El cifrado también se puede combinar con mecanismos de autenticación para garantizar que tanto el remitente como el receptor de datos sean genuinos. El cifrado permite el acceso remoto seguro a redes ópticas, lo que permite al personal autorizado administrar y monitorear la red desde cualquier lugar sin comprometer su seguridad.

El cifrado de capa 1 en particular es útil para proteger los datos en la capa física, para aplicaciones críticas para el rendimiento, como las redes. Este método garantiza que no haya datos generales y que el cifrado se pueda realizar a la velocidad de la línea con un rendimiento de datos del 100 %. Dado que los datos se cifran directamente a nivel óptico, están protegidos incluso antes de ingresar a capas superiores de la red, lo que dificulta que los atacantes intercepten o alteren los datos.

El cifrado de capa 1 también tiene la ventaja de ofrecer un mejor rendimiento de la red, ya que el cifrado y descifrado serán manejados por hardware especializado en la capa física. Esto puede minimizar el impacto en la latencia y el rendimiento de la red. El cifrado de capa 1 también puede ser más sencillo de administrar y configurar, ya que se aplica a todo el enlace óptico sin necesidad de configuraciones de enrutamiento complejas. Este método también ofrece beneficios de escalabilidad para redes grandes con grandes volúmenes de tráfico.

Momtahan dice: “El cifrado en la capa 1 tiene algunos beneficios, uno de ellos es que se obtiene un rendimiento muy alto a bajo costo. Es mucho más complicado hacerlo en, digamos, la capa tres con IPsec. También obtiene una latencia más baja, no desperdicia mucha sobrecarga de protocolo, lo que se obtiene con IPsec: no hay sobrecarga de protocolo para el cifrado de capa uno. También es multiprotocolo. Por lo tanto, puede hacer, digamos, su canal de fibra o protocolos no IP, además de su IP y Ethernet habituales”.

Al reconocer estos beneficios para los clientes de operadores de red, Infinera ofrece cifrado de capa 1 para mayor seguridad, disponible en los trineos CHM6 Xponder para la plataforma modular compacta GX G42. Gestionada a través del Sistema de gestión de red (TNMS) de Transcend, esta opción de cifrado garantiza una interconexión segura del centro de datos (DCI) con longitudes de onda cifradas entre centros de datos. También puede admitir cifrado para clientes empresariales y mayoristas, protegiendo el tráfico interno en entornos vulnerables.

La solución de la empresa permite el cifrado masivo a velocidad de cable, protegiendo los datos en toda la unidad de datos ópticos concatenados, incluido Ethernet (100 GbE, 400 GbE) y el tráfico de clientes OTU4. El cifrado es simétrico y emplea la misma clave de cifrado para ambos extremos, lo que garantiza un alto rendimiento y una baja latencia.

El cifrado se autentica y autoriza mediante Internet Key Exchange versión 2 (IKEv2). Se pueden utilizar certificados X.509 o claves precompartidas (PSK) para el intercambio de claves seguro.

La curva elíptica Diffie-Hellman efímera (ECDHE) garantiza una clave de cifrado de datos compartida sin revelar datos secretos. El cifrado del plano de datos emplea AES-256-GCM, lo que ofrece una sólida protección e integridad. Momtahan dice: “Una de las claves para una buena seguridad es cómo se intercambia la clave en sí y cómo realizar la autorización de autenticación que se encuentra encima de ella. La clave debe mantenerse en secreto, por lo que utilizamos el algoritmo ECDHE, que es un protocolo estándar para crear la misma clave en ambos extremos sin compartir ni transmitir ningún dato secreto”.

La solución de Infinera también utiliza la rotación de claves, como continúa Momtahan: “Rotamos la clave que estamos usando en el DSP cada minuto a 60 minutos, lo que hace que sea más difícil para alguien descifrar esa clave porque hay sólo una cantidad limitada de datos que podían almacenar para analizar. Si lograran descifrarlo, sólo podrían descifrar minutos de información y no podrían retroceder en el tiempo y descifrar mensajes almacenados previamente”.

La solución de cifrado CHM6 está diseñada para cumplir con rigurosos estándares de seguridad. Se alinea con FIPS 140-3 Nivel 2 y está previsto para la certificación NIAP Common Criteria Network Device Collaborative Protection Profile. También se apunta a la inclusión en la Lista de Productos Aprobados (APL) del Comando Conjunto de Pruebas de Interoperabilidad (JITC) del Departamento de Defensa de EE. UU. El cifrado de Capa 1 en el trineo CHM6 para el GX G42 también está diseñado para ofrecer seguridad sólida para interconexiones de centros de datos (DCI) y otras aplicaciones. Con cifrado de alta velocidad, intercambio seguro de claves y cumplimiento de los estándares de la industria, puede proporcionar a los operadores una solución integral para salvaguardar los datos en tránsito.

La última nota de aplicación de Infinera detalla cómo, al centrarse en la capa 1, los operadores pueden reducir el costo del cifrado mientras minimizan la latencia y escalan el rendimiento, y proporciona más detalles sobre la solución de cifrado CHM6 de Infinera.