El año pasado me llegó una liga interesante de un video que describe la seguridad física que tienen los centros de datos de Google. En él se pueden ver diversos aspectos de protección que forman parte de los esfuerzos por mantener protegida la información de los centros de cómputo y por mantener una continuidad de operaciones: control de acceso, monitoreo por CCTV, guardias, protección contra incendios, perímetros, etc.
Y sin embargo, todo lo anterior no va a impedir que un cracker se introduzca a un servidor por un cable y haga exactamente lo mismo que la seguridad física trata de impedir: el robo de información.
El atacante va a hacer lo suyo con el menor esfuerzo posible, de modo que si para lograr tener ese diseño de Autocad o para conocer las contraseñas de miles de clientes debe de pasar barreras físicas, engañar a biométricos de iris y tener una credencial falsa, entonces simplemente seleccionará un camino más fácil.
Es imprescindible tener seguridad física en los centros de datos y hacer la vida casi imposible a un atacante que desee dañar infraestructura que impida continuidad de operaciones o el robo de datos que avergüence al corporativo y exponga infamación de clientes. Sin embargo el mismo cuidado hay que tener en la seguridad lógica del sitio y poner barreras informáticas cuyo fin sea mantener la seguridad de los datos.
¿Cuáles son algunas de estas medidas que se pueden seguir?
Segmentar las redes de los servidores. O dicho de otra manera, “desaplanar” la red. Tener diferentes subredes es crucial. Esto con el objetivo de hacer una labor de contención y que si se compromete una subred de servidores no signifique que se tiene acceso a todos los servidores del corporativo. Al menos se disminuirá la velocidad del ataque al forzar a encontrar el camino a las otras subredes y esto aumenta la probabilidad de detección. El mismo objetivo persigue un casco de barco con compartimientos: se intenta que el agua sea contenida en uno de los compartimientos.
Endurecimiento de servidores. Esto significa levantar sólo los servicios necesarios para dar el servicio y seguir configuraciones seguras. Un ejemplo serían las guías de la NSA. Y por favor, deshabilitar la conexión de los USB en servidores para evitar malware vía USB.
Conexión restringida a internet. Estamos de acuerdo que desde un servidor no se debería de poder navegar a cuanta página se desee. Esto impide al administrador andar visitando sin saberlo a páginas maliciosas o bien al atacante que ya haya comprometido un servidor andar bajando herramientas adicionales para su ofensiva. Un servidor debe de tener sólo conectividad con las direcciones IP de Internet necesarias y mejor aún, no tener acceso al exterior de no ser necesario.
Antivirus y listas blancas. Resulta obvio tener antivirus habilitado y actualizado en servidores que proteja en tiempo real y haga revisiones de todo el disco un par de veces al mes. Y lo de hoy es tener productos de listas blancas no sólo en estaciones de trabajo sino en servidores. No es una tarea fácil dado que este ambiente cambia constantemente con nuevas instalaciones diferentes y modificación frecuente a las configuraciones. Sin embargo bien vale la pena.
Visibilidad de servidores. ¿Cualquier estación de trabajo de usuario puede “ver” a cualquier servidor por la red? Error. Hoy en día muchas empresas tienen un buen nivel de seguridad en servidores pero uno muy malo en estaciones de trabajo de los usuarios. Siguiendo el principio del menor esfuerzo, es más fácil comprometer esa estación de trabajo del usuario (esa visita a ese sitio malicioso fue su perdición) y luego de ahí saltar al servidor. Los administradores gritarán “Pero el hecho de poder ver un servidor no es riesgoso, aún está protegido con nombre de usuario y contraseña”. Ok, no hay demasiado problema, el atacante puede echar mano de exploits para hacer lo que comúnmente se le llama, “jalar” un shell hacia la máquina del atacante y así se tiene una sesión en el servidor. Es hacer trampa, ya sé. Pero los atacantes no siguen las reglas del juego.
Mantener actualizado el software de servidores. Se dice fácil, pero en verdad es un reto mantener al día tanto el sistema operativo como las aplicaciones que en él viven. Sobre todo si hablamos de decenas o cientos de servidores. Es un reto ya sea porque es un proceso manual o porque al actualizar deja de funcionar este o aquel programa. La actualización se deja de lado por negligencia, por falta de tiempo o simplemente por desconocimiento.
Lo anterior no es ciencia ficción; se hace en centros de datos reales. Si desean quitarse una preocupación de encima, sigan estas recomendaciones 100% prácticas.
Nos estamos tuiteando en @FaustoCepeda.
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.