Qu es la seguridad perimetral? Historia de los sistemas de seguridad Los nuevos retos en seguridad de redes Tipos de ataques Problemas relacionados con ataques externos Problemas de seguridad interna El reto de mantener una politica de seguridad adecuada Virus, troyanos, pishing y otros probelmas de seguridad SPAM que se puede considerar spam y alternativas para solucionarlo
Qu es la seguridad perimetral? La seguridad perimetral basa su filosofa en la proteccin de todo el sistema informtico de una empresa desde fuera es decir componer una coraza que proteja todos los elementos sensibles de ser atacados dentro de un sistema informtico. Esto implica que cada paquete de trfico transmitido debe de ser diseccionado, analizado y aceptado o rechazado en funcin de su potencial riesgo de seguridad para nuestra red.
Historia de los sistemas de seguridad En un principio la seguridad en las redes estaba concentrada en el host, esto era muy lgico ya que este era el que aglutinaba todos los servicios del sistema de la empresa. Tanto los archivos, como la ejecucin de aplicaciones estaba encomendada a este sistema por lo que los usuarios slo disponian de un Terminal que permita ejecutar aplicaciones remotamente en el sistema central mediante el uso de un sistema de transferencia de caracteres entre el Terminal y el sistema central. La labor del responsable de seguridad se centraba nica y exclusivamente en asegurar que el host central o los sistemas centrales en el caso de ser varios estuvieran protegidos del ataque de intrusos. Debido a que la infraestructura de comunicaciones se basaba en lneas punto a punto o una conexin a Internet mediante un nico punto de acceso, esta labor resultaba bastante fcil. El otro punto crtico de seguridad eran las lneas de comunicacin de datos de terminales remotos mediante MODEM, un ataque malicioso consista en averiguar el nmero de telfono al que estaba conectado el host, realizar una llamada telefnica e introducir los datos correctos de usuario y contrasea. En los aos 80 aparece el ordenador personal y las redes locales, esto plantea que el administrador de la red, no slo debe de proteger como punto crtico de la red a los servidores, sino que cada uno de los terminales de la red dispone de datos, aplicaciones, y la capacidad de ejecutar cdigo maligno en sus sistemas. Esto obliga a que todos los sistemas deben de estar protegidos. El primer punto crtico de estos sistemas lo encontramos en los virus que por entonces slo se propagaban a travs de disquetes o a finales de los 80 en CD-ROM. La solucin para el administrador entonces estaba bien clara, con un antivirus que se actualizaba regularmente mediante el envo por correo ordinario de una actualizacin bastaba para mantener la integridad del sistema. En los 90 aparece Internet en los sistemas personales lo que provoca que los puntos vulnerables de la red se comienzan a multiplicar, cada usuario con un MODEM y con conexin a Internet es un riesgo potencial para el sistema. A partir de este momento las actualizaciones de los sistemas antivirus se realizan a travs de Internet y el proceso es mucho ms rpido, ya no es un disquette o un CD-ROM cada semana o 15 das, ya las actualizaciones se efectuan cada da o 2 das. Se popularizan asimismo en la segunda mitad de los 90 los sistemas de conexin mediante proxies o routers que permiten a todos los usuarios de la red acceder a Internet. Esto proporciona una gran ventaja a los usuarios, pero muchos quebraderos de cabeza a los administradores. Su red ya no est tan segura. Los administradores empiezan en este momento a plantearse la necesidad de mantener su red libre de ataques, virus y otras vulnerabilidades.
Los nuevos retos en seguridad de redes. En la actualidad y debido al auge que ha tomado Internet en el mundo, cada vez es mayor el nmero de interanutas que acceden a Internet, esto produce un incremento en la vulnerabilidad, cada vez son ms las personas que disponen de una conexin a Internet y por lo tanto ese creador de virus o ese hacker cada vez dispone de ms medios para poder acceder a sistemas remotos. Tenemos que tener en cuenta que Internet adems es una biblioteca inmensa de conocimiento que proporciona a los usuarios cantidades ingentes de informacin y un medio de comunicacin gil para mantenerse al da; esto implica que los grupos que antes se aglutinaban en los foros de news tipo alt.2600, mantienen una estrecha colaboracin para conocer las vulnerabilidades de los sistemas y aplicaciones. Estas colaboraciones se materializan en la creacin de pginas web con contenido sobre como atacar sistemas, cursos paso a paso de creacin de virus, etc. Los administradores de sistemas, por lo tanto han pasado de ser el usuario avanzado que conoce los posibles ataques, para ejercer una labor proactiva de anlisis de vulnerabilidades y configuracin de sistemas antes de que se produzca el ataque y disponer de una serie de planes de contingencia en el caso de que este se produzca. La forma de realizar esto es la de configurar el sistema para que los puntos crticos de seguridad sean los menos posibles.
Tipos de ataques. Existen dos tipos bsicos de ataques en un sistema informtico. Los externos y los internos. Los externos se producen por virus, ataques de hackers, explotacin de vulnerabilidades del sistema. Los internos se producen por empleados descontentos y consisten en robos o borrado de informacin del sistema, sabotaje, etc.
Problemas relacionados con ataques externos
Los problemas relacionados con ataques externos no son demasiado conocidos por los administradores de sistemas, sobre todo en la Pyme, cuando se habla con el responsable de una Pyme o con el responsable de informtica de una Pyme sobre los problemas relacionados con Hackers y otros problemas de seguridad, la respuesta es casi siempre la misma no tenemos nada en nuestro sistema que pueda interesar a nadie. Este es el ms comn de los errores en la seguridad, no se trata de establecer una postura paranoica en la que pensemos que siempre estamos amenazados, pero si es un riesgo que debemos de tener en cuenta. Cuando un usuario argumenta esto, no sabe que un hacker experimentado efectivamente no intenta acceder a nuestro sistema para robar informacin, sino a veces lo puede usar de plataforma para el ataque a otros sistemas, o bien como sistema de almacenamiento de aplicaciones o servicios ilegales. Imaginemos que por ejemplo disponemos de un sistema vulnerable con acceso a Internet y que mediante la explotacin de dicha vulnerabilidad el atacante consigue algo tan sencillo como usar nuestro servicio FTP o WWW para almacenar informacin ilegal como pornografa o software ilegal; si no tenemos un control exhaustivo sobre los archivos y directorios de nuestro sistema, los accesos a travs de la red, etc. EL hacker habr usado nuestro sistema para ejercer actividades delictivas, y los responsables de esto seremos nosotros. Y ya no slo el hecho de aprovechar los servicios FTP o WWW, simplemente con que alguien pueda acceder al sistema y pueda ejecutar un ataque desde nuestro sistema hacia otros, los administradores de los sistemas afectados podrn pedirnos responsabilidades como consecuencia de estos ataques. Despus de esto estn los hackers experimentales, que son aquellos que despus de explorar varias pginas relativas a las vulnerabilidades y los ataques a sistemas deciden experimentar estos conocimientos, sin conocer las consecuencias y como una pequea travesura que aparentemente no causa ningn dao, pero esto no es as, ya que su travesura, puede afectar al funcionamiento de nuestro sistema o bien parar el sistema y tener que reinstalar las aplicaciones y servicios para que el sistema pueda estar operativo de nuevo. Adems tenemos los problemas relacionados con virus que borran informacin del sistema ( cuando no borran completamente el disco del sistema afectado) o bien se dedican a enviar correos con virus que molestan a los usuarios de nuestra lista de contactos con la posible prdida de imagen que esto conlleva para la empresa y que puede afectar econmicamente a la misma.
Problemas de seguridad interna
Uno de los problemas menos tratado en las empresas es la seguridad interna, normalmente los responsables de seguridad de las empresas se limitan a establecer una serie de criterios para prevenir estos problemas basados en la creacin de carpetas o discos con acceso restringido, y claves de usuario. El principal problema es la propagacin de claves, es de sobra conocido que cuando por ejemplo un empleado esta de vacaciones o est fuera de la oficina por cualquier causa y necesita un dato o un archivo de su ordenador, llama a su oficina para que se lo hagan llegar, esto implica que el usuario revela su nombre de usuario y contrasea en muchos de los casos para que la persona que est en su oficina acceda a la informacin. Estos datos implican que si el nombre de usuario y la contrasea son complicados, la persona en la oficina necesita apuntarlos en un papel que nadie sabe en manos de quien puede acabar (en una papelera, encima de una mesa, etc). SI por el contrario son fciles todos sabemos porque en la oficina nos conocemos, los datos ms relevantes de la vida de las personas que tenemos a nuestro lado, y los usuarios tienden a poner como contrasea palabras tan obvias como el nombre de su pareja, su mascota, su coche o moto, la matricula, etc. Esto implica que su clave puede llegar a ser de dominio pblico, lo que conlleva un riesgo de seguridad importante para el sistema, puesto que los datos que son responsabilidad de esta persona quedan expuestos para el resto. Otra de las vulnerabilidades tpicas de los sistemas es la posibilidad de instalacin de programas por parte de los usuarios. Todos sabemos que hay muchos usuarios que instalan juegos bajados de Internet, salvapantallas y utilidades que pueden esconder otros cdigos maliciosos dentro de ellos que permiten saber secuencias de teclas del usuario, recordar contraseas (todos conocemos el Gator que precisamente se presenta como una aplicacin que realiza esta tarea), etc. Por ltimo una de las vulnerabilidades ms frecuentes en los sistemas es el tratamiento por terceras personas de los mismos. Casi todas las empresas medianas y pequeas, subcontratan los servicios de mantenimiento de sus sistemas informticos con empresas externas que disponen de acceso completo a la informacin del sistema de los usuarios.
El reto de mantener una poltica de seguridad adecuada.
Como hemos mencionado anteriormente las polticas de seguridad dentro de la empresa han de mantenerse de una forma proactiva, es decir como dice un viejo refrn es mejor prevenir que curar, por lo tanto la responsabilidad del administrador del sistema es evaluar los riesgos de seguridad para poder prevenirlos antes de que estos se produzcan, la nica forma es revisar los puntos crticos del sistema y protegerlos. Estos puntos se centran como ya hemos comentado en el permetro de la red, considerando nuestra red como una fortaleza que hay que proteger, por lo tanto la nica forma de prevenirlo es revisar siguiendo el ejemplo de la fortaleza, todas las puertas de entrada que podemos enumerar como anteriormente hemos citado en los siguientes puntos: Accesos a Internet. Accesos remotos. Usuarios. Instalacin de aplicaciones. Medidas protectoras internas.
Veamos como podemos proteger cada uno de esos puntos.
Accesos a Internet.
La medida mas comn para proteger los accesos a Internet consiste en la colocacin de cortafuegos o firewalls en las comunicaciones de la empresa, estos firewalls se demuestran muy efectivos sobre todo si incorporan la opcin de IDP (intrusin detection and prevention), pero para tener un control de verdad de estos sistemas la mejor opcin es la de usar un acceso a Internet nico, es decir, si tenemos varias delegaciones, es preferible usar VPN entre todas ellas e impedir el acceso directo a Internet desde las mismas, de esta forma slo tendremos un punto crtico lo cual nos permite tener un control mas exhaustivo de lo que pasa por nuestra red. SI un usuario de cualquier delegacin tiene acceso directo a Internet, costar mucho ms trabajo aplicar todas las reglas de control y filtrado sobre varios puntos que sobre slo un punto. Una segunda medida y que puede parecer absurda pero que resulta sumamente efectiva es la de colocar un segundo firewall entre nuestra red e Internet, este segundo firewall deber de incorporar una tecnologa diferente al primero, esta medida nos permite que si un hacker conoce las vulnerabilidades del primer sistema por una publicacin de las mismas en una pgina web, o mediante tcnicas propias de hacking, podr atravesar la primera barrera, pero la segunda no, con lo cual podremos detectarlo antes de que pueda ocasionar daos. Esto es bastante simple, ya que si puede atravesar el primer firewall, el hecho de tratar de romper la proteccin del segundo firewall implica que necesitar puertos, servicios o herramientas que no estarn disponibles en esta zona protegida, con lo que adems de no poder romperlo, tardar bastante ms tiempo lo que nos d el margen suficiente para poder atajarlo a tiempo.
Accesos remotos. En el caso de los accesos remotos es primordial tratar de evitar los accesos via MODEM (cualquier usuario puede averiguar el telefono), y en el caso de usar accesos por VPN cambiar las claves de encriptacin habitualmente, estas claves deben de cambiarse usando un sistema o software de encriptacin previo, es decir, si queremos poner como clave de encriptacin laclavedemiempresa, usar un sistema que encripte esta clave de tal forma que para nosotros sea fcil repetir la clave, pero que no sea una clave repetitiva, con palabras comunes relativas a cualquier trmino fcil de recordar. Otro elemento que hay que tener en cuenta es el cambio peridico de claves, deberemos de acostumbrar a los usuarios a que deben de cambiar su clave con cierta frecuencia, habilitando para ello las restricciones de las que disponen los sistemas operativos (claves nicas, combinaciones de nmeros y letras, longitud mnima). Adems deberemos de bloquear el acceso despus de un determinado nmero de intentos fallidos de conexin.
Usuarios
Las estimaciones ofrecidas anteriormente respecto de los hbitos para los usuarios remotos deben de aplicarse tambin a los usuarios locales de tal forma que estos se habituen al cambio peridico de contraseas, al hecho de que estas deban de tener una longitud mnima, etc. Adems existen una serie de normas que se deben de aplicar a los usuarios, como la comunicacin de claves, que no haga pblica ninguna clave, y en el caso de que esto ocurra, que proceda a informar al administrador del sistema para que efectue el correspondiente cambio de claves. Establecer polticas de seguridad en los sistemas que suponen la instalacin de una solucin antivirus centralizada, que impida al usuario desactivarla o modificar la configuracin de la misma. Estas polticas de seguridad debern tambin incluir la inhabilitacin para instalar aplicaciones, controles ActiveX, programas Java, etc en los navegadores. En el caso de las unidades de CD, floppy, etc. Inhabilitarlas para el uso por parte del usuario, y que el administrador sea el responsable de la instalacin de aplicaciones en los sistemas, esto permite que el usuario no pueda instalar aplicativos, ni tampoco extraer informacin del sistema. Hay que prestar especial atencin a los puertos USB, estos puertos constituyen una seria amenaza de seguridad puesto que un usuario puede instalar un dispositivo tipo pendrive, y ejecutar programas desde el o bien extraer informacin del sistema para llevarsela. Instalacin de aplicaciones
Una de las medidas ms importantes para evitar los intrusos es la de evitar la instalacin de aplicaciones como hemos mencionado anteriormente, en el mercado existen utilidades como Zenworks de Novell, que permiten la instalacin remota de aplicaciones, es decir, el administrador del sistema, desde una consola, puede decidir que usuarios y que aplicaciones ejecutan cada uno, de tal forma que cada vez que el usuario hace login en le sistema, esta aplicacin comprueba si todos los paquetes estn perfectamente instalados y en caso contrario procede a la instalacin de los mismos. Esta medida debe de aplicarse tanto a las aplicaciones ofimticas y de gestin habituales en la empresa, como a las soluciones de seguridad y de acceso a red. Hoy en da existen multitud de aplicaciones que se disfrazan para exponer nuestros datos a usuarios malintencionados de la red.
Medidas protectoras internas
En las medidas protectoras internas deberemos de plantear otra vez los firewalls, si tenemos un departamento que debe estar especialmente protegido es el de recursos humanos y administracin, por ello es conveniente que adems de tener un sistema de proteccin mediante nombre de usuario y contrasea, deberiamos plantear la posibilidad de instalar servidores separados para estos dos departamentos de tal forma que las comunicaciones entre departamentos se hagan a travs de un firewall con unas reglas definidas, de tal forma que los nicos protocolos que deben de pasar desde la red interna, los necesarios para poder usar los servicios de base de datos, aplicaciones internas, etc. Adems de permitir en su caso el acceso a Internet desde estas mquinas, pero insisto slo hacia o desde Internet, no as las comunicaciones internas. Que ningn empleado de otro departamento pueda acceder a estas redes desde sus mquinas. Queda por resear la ms elemental de las normas, pero aunque parezca obvio, hay que recordarla, que es la de tener todos estos equipos, tanto servidores como firewalls en salas protegidas que impida que cualquiera pueda acceder a las mismas.
Como ancdota puedo recordar el caso de una gran superficie multinacional, con un sistema operativo Unix en el que la clave de root era el propio nombre de la empresa. Recuerdo que aunque parece obvio, muchas empresas no lo cumplen e insisto no slo la Pyme con 2 ordenadores.
El reto de mantener una poltica de seguridad adecuada.
Hoy en da como hemos comentado anteriormente el responsable de seguridad de una empresa ya no slo debe ser un experto en sistemas, debe tambin de tener un conocimiento profundo de las vulnerabilidades del sistema, y no slo las que le cuentan en los correos de los que tiene noticia por parte del fabricante (muchos fabricantes no desvelan sus fallos de seguridad en los sistemas hasta que no los tienen resueltos). Esta persona debe de estar informada mediante los foros de hackers, pginas dedicadas a la seguridad, mantener una maqueta del sistema (recordemos que si dejamos un punto de acceso a la red nico no representa un coste demasiado elevado). Esta maqueta le permitir experimentar determinados comandos y aplicaciones que impliquen un potencial riesgo de seguridad para poder implementarlos en el entorno de produccin. Cada vez la seguridad informtica se parece ms a la seguridad fsica, con lo que el responsable de seguridad deber de conocer todas las tcnicas que usan los posibles atacantes, como hemos dicho anteriormente no puede ser una persona que una vez tiene su sistema instalado, se siente a esperar tranquilamente. Se encontrar con problemas nuevos cada da, con aplicaciones nuevas que tratan de usar recursos del sistema que hasta ahora no se usaban. Existen muchos puertos en TCP, UDP, etc que no se usan y que cada da se empiezan a aprovechar para determinadas aplicaciones. EL administrador deber conocer adems cada uno de los servicios que se ejecutan en los sistemas y llevar un control de los mismos, de hecho una de los ataques ms comunes es usar un pequeo programa que crea un servicio muy parecido a los que estamos ejecutando y que puede llegar a pasar desapercibido en una revisin de procesos en ejecucin. Deber de controlar las fechas, tamaos, etc de los archivos dentro de los sistemas, otra de las formas de acceder es intercambiar un servicio como el telnet o el ftp por otro que permite acceder al sistema, ambos se llaman igual, se ejecutarn por lo tanto de igual forma, pero una secuencia de comandos determinada nos dar acceso al sistema. Revisar las fuentes de las aplicaciones que nos llegan, ya que un usuario malintencionado podra hacernos llegar un parche de sistema de con un nombre de correo procedente del fabricante, pero que en realidad no es de este.
Virus, troyanos, pishing y otras amenazas.
La amenaza de los virus cada da es ms importante, el nmero de virus crece exponencialmente ao tras ao, la mejor forma de mantenernos a salvo de estos problemas es la de usar un sistema en nuestro acceso a Internet que revise el contenido de los paquetes para detectar un posible cdigo malicioso. Esto no quiere decir que los usuarios del sistema no dispongan de su propio antivirus, pero es conveniente disponer de una solucin antivirus perimetral, adems de producirnos una menor saturacin del sistema puesto que esta solucin puede efectuar un anlisis ms profundo sin comprometer el rendimiento de los puestos de trabajo, detectar la mayor fuente de virus en nuestra red. Debemos asimismo preocuparnos de que servicios estn activos en cada puesto al instalar un puesto de trabajo, hacer un inventario de los mismos y controlar peridicamente estos servicios para impedir que un troyano se instale en un puesto y pueda recabar informacin del usuario. Adems debemos de procurar impedir el uso de cookies a no ser que sean de sitios de confianza. Una de las formas ms comunes de acceder a informacin confidencial es la del denominado pishing que consiste en enviar un correo al usuario informndole de que se va a proceder a un cambio en la informacin del mismo, envindole a una pgina o recabando la informacin del mismo por correo (este es al caso tpico de solicitud de datos de usuario y password de acceso a banca electrnica u otros servicios) Esta informacin recabada es usada para despus acceder al sistema y provocar el mayor nmero de daos posible, tanto econmicos (en el caso de un banco), como de datos ( en el caso de acceso a servicios on line con proveedores u otros)
SPAM que se puede considerar SPAM y formas de solucionarlo.
El SPAM es uno de los mayores problemas que existen hoy en da con el correo electrnico, y es otra de las actividades que nuestro sistema debe de resolver, existen multitud de sistemas y software que se consideran la panacea contra el SPAM, pero no son efectivos al 100%, bsicamente consisten en la admisin o no admisin de determinadas direcciones de correo o bien en funcin del asunto del mensaje. Estas soluciones son buenas, pero al igual que otras tienen sus pros y sus contras, normalmente estamos hartos de recibir publicidad por medio de correo tanto ordinario como elctrnico, pero claro est si por ejemplo somos una empresa de distribucin y rechazamos cualquier correo que no provenga de determinadas fuentes o con el asunto publicidad, oferta, etc, corremos el riesgo de rechazar a un proveedor o cliente potencialmente bueno o que si el filtro lo enva a la carpeta de Spam, revisarlo cuando ya sea tarde para responder a ese cliente o proveedor. La mejor forma de impedir el SPAM aunque claro est es bastante difcil de poner en funcionamiento es la que al igual que existe un registro de dominios, exista un registro de direcciones legales de correo en la que las direcciones de correo registradas en las mismas se comprometan a seguir unas normas de buen uso del correo electrnico y deban de introducir todos los datos legales para proceder contra ellas en el caso de abuso del sistema de correo. Lo nico que deberan pues los sistemas antispam sera comprobar que el usuario que enva el correo est incluido en dicha lista. La organizacin que se encargue del sistema deber asimismo velar para que esta lista de direcciones est actualizada y que el responsable de enviar Spam sea eliminado de dicha lista.
Eduardo Taboada Gmez.
Responsable de seguridad de ATEINCO, lleva ms de 15 aos en el mundo de las redes de ordenadores, es un experto en temas de Internet, y seguridad con conocimiento de diversos sistemas de seguridad para redes a nivel de antivirus, firewalls, LOPD, auditoras informticas, anlisis forense sistemas informticos.