Productos de seguridad con problemas de seguridad

En la entrada “No es lo que parece” intenté hacer ver que las grandes empresas suelen tener los mismos problemas que las pequeñas, pero multiplicado por 1000, es decir, problemas de coordinación, credibilidad, recursos, seguridad … y esto es debido porque al final ambos tipos de empresas están dirigidas por personas, y todos tenemos nuestros aciertos y nuestros fallos, nuestros días buenos y nuestros días malos.

En esta entrada quiero reflejar problemas de seguridad encontrados en productos de seguridad ampliamente implantados por todo el continente, donde podemos ver una vez más que los grandes también se equivocan y también tienen sus fallos, por supuesto debilitando su confianza y por ende su marca.

¿Quién iba a pensar que un antivirus iba a borrar archivos de sistema? Esto es lo que ha pasado con el conocido software Malwarebytes que lanzó la semana pasada una actualización que eliminó archivos de sistema por error, borró archivos .dll y .exe sin permiso, provocando que el 80% de los servidores que tenían instalado este software dejaran de funcionar.

Mas casos de fabricantes dedicados a la seguridad con problemas de seguridad:

• CheckPoint Unified Threat Management: Varios productos de este prestigioso fabricante tenían vulnerabilidades XSS y CSRF en la interfaz web de gestión, estas vulnerabilidades ya han sido subsanadas por el fabricante en nuevas actualizaciones de firmware.
  
  
• Dell SonicWall: La herramienta Scrutinizer para la elaboración de informes y análisis del tráfico presentó a principios de año problemas de seguridad donde era vulnerable a ataques de SQL Injection y hijacking de sesión para los usuarios admin y manager.
  
  
• Palo Alto: Al fabricante de firewall Palo Alto se le detectó en las pasadas navidades un problema de seguridad donde un atacante puede saltarse el cortafuegos mediante la técnica de Cache Poisoning.
  
  
• NetSweeper: Este fabricante de filtros de contenido tenía vulnerabilidades XSS, CSRF y SQLi en la web de gestión de su producto.

Tenemos que confiar en antivirus que pueden borrar los archivos de nuestros sistemas y en productos de seguridad con graves problemas de seguridad que permiten a atacantes gestionar nuestros dispositivos, lo próximo ¿qué será? ¿analizadores de vulnerabilidades con vulnerabilidades? Todas las medidas que pongamos son pocas, pero por favor, ¡NO SE LO PONGAMOS MÁS FÁCIL A LOS DELINCUENTES!

Metodología de redes (FCAPS)

En la certificación CCNP no sólo estoy aprendiendo qué tecnología es necesaria para construir redes escalables, cómo mejorar los flujos de tráfico de datos o a implementar redes seguras, redundantes y de alto rendimiento, sino que también se hace hincapié en las metodologías existentes de mantenimiento de redes.

Pensar que una red se administra sola es algo común por personas ajenas a las redes y al mundo de las telecomunicaciones, a veces se cree que la única carga de trabajo de los administradores de redes se lleva a cabo en la fase de implantación, olvidando la operativa y mantenimiento diario. Un administrador de red no sólo tiene que resolver problemas, también tiene que monitorizar la red para adelantarse a los problemas, debe ser pro-activo, capaz de entender el comportamiento de la red evitando la no disponibilidad y maximizando los recursos disponibles adaptándose a los cambios del negocio.

Así que es imprescindible conocer metodologías y procedimientos que nos ayuden a identificar y evaluar las herramientas, aplicaciones y recursos necesarios que nos ayude a mantener la red eficientemente. Existen varias metodologías como ITIL, FCAPS, TMN o PPDIOO, pero en esta entrada profundizaremos en la metodología FCAPS que definió la ISO en los años 80, la cual está compuesta por los siguientes cinco procesos:

Fault Management: La Gestión de Fallos consiste en detectar, aislar y resolver los problemas de red, es el proceso donde los problemas son descubiertos y corregidos. Es obligatorio ser pro-activos para minimizar los tiempos medios de reparación (MTTR) y maximizar los tiempos medios entre fallo (MTBF), para ello se utilizan mecanismos de notificación como SNMP que permiten medir y controlar el estado actual de la infraestructura de red.

Configuration Management: Se basa en la obtención y almacenamiento de la configuración de los sistemas y de la red, realizando un correcto versionado y simplificando la gestión de cambios. Además incluye las tareas de instalación y configuración hardware, como también la gestión de firmware e inventariado.

Accounting Management: Este proceso mide la distribución de los recursos, es decir, trata de conocer los recursos utilizados por usuarios y/o servicio para ayudar a reducir el coste operacional, de esta manera se sabe el beneficio y el coste en un determinado momento del día, ayudando a planificar los mantenimientos o cortes de la red.

Performance Management: La Gestión del Rendimiento consiste en monitorizar la red para conocer su estado de salud, esto nos ayudará a conocer la red para saber si es posible añadir nuevos servicios y adelantarnos a los futuros problemas de red, asegurando la disponibilidad del servicio y niveles óptimos de red.

Security Management: Mediante la Gestión de la Seguridad se protege la confidencialidad de los usuarios y del negocio, se protege la red de usuarios no autorizados y se aseguran los datos mediante la autenticación y el cifrado, además de utilizar técnicas de prevención y detección de intrusos.

Ya que no solo debemos conocer los procesos de la metodología FCAPS a continuación os presento una imagen donde podemos ver las herramientas disponibles que permiten llevar a cabo cada uno de los procesos:

 

Por tanto la administración diaria de una red no sólo se basa en conocer los protocolos o mecanismos a emplear, sino que también hay que tener una visión conjunta de las metodologías y procedimientos a seguir, que permitan sacarle el máximo provecho a los recursos disponibles minimizando los costes y maximizando los beneficios.

Protocolos de enrutamiento dinámico

Siguiendo mi andadura hacia la certificación CCNP esta entrada la quiero dedicar a repasar los protocolos de enrutamiento dinámico, ¿qué protocolos existen? ¿cuándo debemos utilizarlos? ¿qué debilidades nos podemos encontrar?

Principalmente hay que diferenciar dos tipos de protocolos, los IGP y los EGP:

• IGP: Los utilizamos para intercambiar redes pertenecientes al mismo sistema autónomo.
• EGP: Se utilizan para intercambiar redes pertenecientes a distintos sistemas autónomos.

Como protocolo de enrutamiento IGP, nos podemos encontrar los protocolos de vector distancia como RIP, RIPv2, RIPng e IGRP que se basan en el número de saltos que hay que dar para llegar a la red de destino; los protocolos de estado de enlace como OSPFv2, OSPFv3 e IS-IS que se basan en el estado de los enlaces entre los router; y el protocolo híbrido EIGRP que es una mezcla entre los protocolos de vector distancia y los protocolos de estado de enlace, es de destacar que este último es un protocolo propietario inventado por Cisco y que actualmente está en fase de borrador por el IETF para su estandarización.

Dentro de los protocolos EGP, principalmente nos podemos encontrar el protocolo BGP que es ampliamente utilizado por todos los proveedores de servicios ISP para el intercambio de rutas entre distintos sistemas autónomos. Aunque permite la autenticación de vecinos, BGP ha sido vulnerado varias veces, lo que supone que un atacante mal intencionado podría “apagar” Internet en unas horas como sucedió cuando Egipto se desconectó de Internet. BGP es un protocolo que se desarrolló con la intención de confiar en los vecinos, pero esta intención ya no es válida para una red de redes (Internet) ampliamente utilizada por todos los países, así que está en desarrollo Secure BGP (S-BGP) basada en el intercambio de certificados como método de autenticación y cifrado.

Existe multitud de webs interesantes que podemos utilizar para aprender y obtener información sobre a qué sistema autónomo pertenecemos, qué subredes pertenecen a cada sistema autónomo o por qué sistemas autónomos pasa el tráfico que generamos al consultar una determinada web. Podemos utilizar routeviews para consultar la tabla BGP de los principales router de Internet, bgpinspect para conocer las subredes y saltos hacia redes de destino o también RIPEstat que nos facilita gran cantidad de información. En cambio, si lo que queremos es aprender cómo funcionan los protocolos de enrutamiento tenemos simulaciones visuales en la web de LearningOcean.

Muchas personas pueden pensar que como BGP es el protocolo utilizado entre los ISP en Internet, sería interesante implementarlo en la red de una organización, y esto es un gran error ya que los protocolos EGP son muy lentos en la propagación de actualizaciones por lo que cualquier protocolo IGP es mucho más rápido y liviano para los router.

En definitiva, la red de las organizaciones cada vez son mas amplias, cada vez hay más sedes que interconectar y sin un conocimiento de protocolos de enrutamiento probablemente no sepamos si es recomendable utilizar un IGP, una VPN sobre GRE o cualquier otro protocolo, que siempre dependerá de los servicios que circulen por la red.

DDoS Attacks

Una variedad del ataque de Denegación de Servicio (DoS) es el ataque de Denegación de Servicio Distribuido (DDoS). Aunque hoy en día aún es posible realizar ataques de DoS aprovechando vulnerabilidades en las aplicaciones y protocolos de red, cada vez vemos más noticias de ataques de DDoS contra grandes empresas o servicios del gobierno. Básicamente un ataque DDoS consiste en saturar todos los recursos disponibles de la víctima para que ésta no pueda continuar prestando los servicios con normalidad, y por tanto no sea capaz de producir/servir toda la demanda de recursos solicitados.

Una de las últimas noticias de ataque de DDoS fue contra la empresa Spamhaus, este ataque fue catalogado por la prensa como el mayor ataque de DDoS de la historia, ya que se vio afectado varios de los servicios principales de Internet, es decir, los principales servidores DNS de Internet y las comunicaciones por fibra que unen unos países con otros, debido a que se alcanzó un throughput de 300 Gbps contra los servicios de Spamhaus, o eso es lo que dice la empresa (CloudFlare) contratada por Spamhaus para defenderse del ataque de DDoS.

Abandonando el mundo virtual y bajando al mundo real podemos hacer el símil con el ataque DDoS contra la localidad de Barbaño de la semana pasada, donde varias presas aliviaron agua en el río Guadiana provocando que se llegase a la capacidad máxima de éste y por tanto se desbordase, inundando carreteras y aumentando el nivel de alerta de los pueblos colindantes. Me pregunto si existen técnicas y procedimientos para haber evitado esta situación, como hizo Spamhaus trasladando todo el tráfico (agua) a otro nodo (presa) con mayor capacidad.

Como vemos entender el concepto de DDoS no es complicado cuando ponemos ejemplos que se puedan ver y tocar, e incluso está al alcance de cualquiera, no es necesario tener conocimientos de informática o telecomunicaciones para realizar un ataque de DDoS. Por ejemplo, ¿cómo realizaríamos un ataque de DDoS sobre el servicio de telefonía de una empresa? Tan sencillo como que un grupo de personas estén continuamente llamando al teléfono de la empresa víctima, así cualquier llamada legítima no entraría o tendría dificultades en ser contestada.

Existen multitud de herramientas de DDoS, tanto para ataque como para defensa, por ejemplo tenemos la famosa herramienta LOIC tan utilizada por el grupo Anonymous para realizar sus ataques de DDoS o incluso podemos encontrar varios servicios por Internet que realizan el ataque por nosotros, como por ejemplo este o este. En cambio, para defendernos también existe multitud de software y appliance como por ejemplo los de Fortinet, Cisco o F5.

En definitiva, cada vez vemos más casos de ataques de DDoS, ya sea por la facilidad de realizarlo o por la gran cantidad de recursos y equipos disponibles actualmente. En cualquier caso debemos estar preparados, atentos y protegidos, ya que mitigar este tipo de ataques es prácticamente inevitable.

Día Mundial de la Copia de Seguridad

Cada vez tenemos más información en digital, en pocos años estamos pasando de anotar todo con papel y lápiz a utilizar sistemas informáticos. Actualmente la mayoría de las empresas, desde Pymes a grandes multinacionales, tienen más información en formato electrónico que en clásicos ficheros de papel, ya que nos permite almacenar más información en menos espacio, además de poder automatizar tareas y búsquedas rápidamente. El gran crecimiento de uso de datos en digital hace que cada día veamos la necesidad de realizar copias de seguridad con mayor frecuencia, rapidez y calidad, por ello ayer 31 de Marzo se celebró el Día Mundial de la Copia de Seguridad.

Todos tenemos miedo de perder nuestros valiosos datos personales, desde fotografías a cualquier documento que hayamos elaborado o archivado. Las organizaciones también tienen miedo de perder todo aquello que tengan en formato electrónico como facturas, pedidos, datos de clientes o documentación de proyectos por poner algunos ejemplos. En definitiva, la documentación digital en muchas organizaciones es la columna vertebral y sin ella es muy difícil continuar los procesos de negocio, o ¿creéis que ante una catástrofe una organización sin copias de seguridad y sin Plan de Continuidad puede seguir dando servicio a sus clientes? Si con plan de continuidad es complicado, sin plan lo veo imposible.

Cuando perdemos información, ya sea por un error humano, por un ciberataque o una catástrofe natural, lo primero que hacemos es buscar al responsable de los datos y pedir explicaciones, y luego cruzamos los dedos para que la última copia de seguridad esté actualizada y no haya problemas en su restauración. Así que es importante reflejar en los Planes de Continuidad cuándo se realizarán pruebas de restauración de las copias de seguridad para comprobar que los backups realizados se están haciendo adecuadamente, desgraciadamente esta no es una tarea usual en muchas empresas ya que tan sólo se fían de un icono en la herramienta de copia de seguridad que indica que la última copia se ha realizado correctamente, ¡¡y puede que haya copiado 0 bytes!!

Existen multitud de medios de almacenamiento donde guardar las copias de seguridad, con mayor o menor capacidad, más lentos o más rápidos, de diferentes tecnologías y por supuesto su precio depende de todo lo anterior. Podemos hacer copias de seguridad sobre cintas magnéticas LTO, CD-ROM, DVD, discos extraíbles, copias remotas en “la nube”, etc.

Existen varios métodos de copias de seguridad, podemos hacer copias completas (full), incrementales o diferenciales. Aplicar estrategias de rotación como FIFO (First In, First Out), GFS (Grandfather-father-son) o la Torre de Hanoi.

Dependiendo de la organización, de sus requerimientos y riesgos, se debería utilizar un medio de almacenamiento u otro, una estrategia de rotación u otra, y por consiguiente una herramienta de backup u otra, que además permita la de-duplicación, compresión y/o cifrado de los datos, ya que no es lo mismo almacenar datos de facturación que datos de carácter personal, obligando la LOPD a almacenar estos últimos de manera cifrada y en una ubicación diferente al lugar de origen.

Para finalizar, animaros a todos a revisar nuestra política de copia de seguridad, y a repasar y hacer cumplir el Plan de Continuidad de Negocio.