Feliz 2014

Mañana acaba el año 2013, algunos amigos dicen que por fin acaba este fatídico año, esperando que el siguiente sea mejor, y eso espero, ya que la crisis que ha acaparado el 2013 ha afectado a la mayoría de las empresas y por ende a todo el que me rodea. Sin embargo, antes vamos a hacer un repaso de los sucedido en el 2013 para evaluarlo y así proponer mejoras para el 2014.

Durante este año he tenido la suerte de estar rodeado de gente que me quiere y valora, lo cual es muy gratificante. He aprendido que la parte técnica es importante, pero aún más las relaciones personales, saber escuchar, entender y proponer soluciones que se adapten a los requerimientos y situaciones de cada cliente es lo realmente valioso. Hemos podido ver que las organizaciones “grandes” no son lo que parecen, sino que tienen los mismos problemas que las Pymes, pero multiplicado por 1000, es decir, falta de personal para optimizar y afinar la plataforma TIC, presupuestos muy ajustados para adquirir soluciones profesionales y problemas organizativos e interpersonales. Un ejemplo irónico de una gran organización en caos lo podemos encontrar en el libro La Corporación de Max Barry, extrabajador de Hewlett-Packard.

A nivel formativo he aprobado los tres exámenes que componen la certificación CCNP Routing and Switching, la cual me ha proporcionado conocimientos profundos para administrar redes WAN y redes LAN, además de mostrarme las herramientas y metodologías utilizadas para el troubleshooting. He continuado con el aprendizaje del Inglés en la Escuela Oficial de Idiomas, aprobando el 5º curso y estando actualmente en 6º, además de haber practicado la lengua este verano en Dublín, lo cuál es interesante debido a la gran cantidad de documentos en Inglés que leemos, además de los correos y alguna que otra llamada. Por último, he tenido la oportunidad de asistir a charlas sobre tendencias TIC y eventos como HOMSEC, además de realizar una infinidad de Webinars.

A nivel profesional parece que ha sido el año de los cortafuegos, he instalado parejas de cortafuegos y dado soporte a varias organizaciones, por lo que me ha sido de utilidad los conocimientos adquiridos en la certificación FCNSA. Aunque siempre he intentado trasladar que la seguridad no sólo está en el firewall. También he participado en la instalación y puesta en marcha de Chasis Blades para infraestructura de supercomputación, así como soporte al traslado de un CPD en la región. Por otro lado, he colaborado en el asesoramiento y soporte a la reconfiguración de la RCT de Extremadura, por lo que los conocimientos adquiridos en la certificación CCNP han sido de gran utilidad. Además como cada año, he tenido la oportunidad de realizar auditorías de redes y seguridad a varias organizaciones, y he participado en las labores de mantenimiento de las certificaciones de calidad de servicios y seguridad ISO 20000 e ISO 27001 que dispone Ariadnex.

Como objetivos para el 2014 espero seguir formándome sobre Auditorías de Sistemas de Información, culminando con la obtención de la certificación CISA, continuar perfeccionando el idioma Inglés, y sobre todo participando en proyectos novedosos que me supongan un reto y me permitan seguir creciendo profesionalmente. Tan solo me queda deciros …

Felices Fiestas y Próspero Año Nuevo a todos.

Correlación de eventos

Cada día que pasa tengo más claro que cada vez los antivirus tienen menos eficacia, que instalar un cortafuegos por sí solo sin definir procedimientos y políticas en el Sistema de Gestión es para salir del paso creando una falsa sensación de seguridad, y depositar toda la confianza en empresas punteras de seguridad como RSA no es suficiente para proteger nuestra infraestructura IT. Tan solo hay que ver las últimas filtraciones de Edward Snowden donde se dice que RSA tenía contratos secretos con la NSA para facilitar el acceso a los datos cifrados por los clientes de RSA.

Para tener una visión más verdadera del estado de nuestra infraestructura IT es necesario ayudarse de sistemas de correlación de eventos, pero esto … qué es? Muy sencillo, un evento es cualquier cosa que sucede, la correlación es la interrelación entre los eventos, y el sistema es capaz de generar una respuesta ante un comportamiento anómalo. Por ejemplo, imaginemos que vemos a un chico con un pasamontañas (evento 1), corriendo (evento 2), con una pistola en la mano izquierda (evento 3), con una bolsa de basura negra en la mano derecha (evento 4), a lo lejos un cristal de una joyería roto (evento 5) y una alarma sonando (evento 6), ¿qué habrá pasado? ¿qué hay que hacer? Un sistema de correlación de eventos o SIEM es capaz de procesar millones de eventos de multitud de productos tecnológicos generando alarmas que nos avisen ante comportamientos anómalos.

A continuación vemos un pequeño ejemplo con tan solo dos eventos, en el primer evento el IDS ha detectado un intento de denegación de servicio sobre OpenLDAP y en el segundo evento el monitor de nmap ha detectado la caída del puerto ldap, ¿salida? Pues que el ataque de DoS ha sido satisfactorio, el SIEM enviará un correo electrónico avisando del incidente, ejecutará un script, abrirá una incidencia, etc.

 

Por otro lado, la potencia que ofrece estos productos al integrarse con los principales IDS/IPS es que puedes tener en una base de datos mundial la reputación de cada IP y dominio según los eventos obtenidos por los sistemas de detección de intrusos, de esta manera cuantas más organizaciones utilicen este tipo de productos más sencillo es saber dónde se encuentra los principales focos de infección en Internet, y una vez detectados, bloquear directamente los intentos de conexión desde IP con muy mala reputación.

ISP In The Middle (IITM)

El ataque de hombre en el medio o Man In The Middle (MITM) lo podemos realizar mediante ataques en la capa dos utilizando la técnica de spoofing, mientras que como administrador de redes LAN podemos asegurar la red intentando mitigar los ataques mediante técnicas de inspección dinámica ARP, IP Source Guard o DHCP Snooping. Sin embargo, para conectarnos a la red de redes (Internet) necesitamos unirnos a la red del proveedor de Internet (ISP), pasando todo nuestro tráfico por los routers del proveedor, es en este punto donde la confianza y los acuerdos de confidencialidad con nuestro proveedor juegan un papel importante, esperando a que nuestro proveedor no se ponga a husmear qué pasa por la red y a compartir/vender nuestro datos privados y confidenciales con quien ellos quieran, de ser así estaríamos hablando de un ataque IITM.

Hace algo más de un mes comenté algunos ataques BGP que aprovechan las debilidades del protocolo de enrutamiento dinámico, ya que estaba inmerso en el servicio de asesoramiento y soporte a la reconfiguración de la Red Científico Tecnológica de Extremadura. Todos sabemos que BGP fue desarrollado hace más de dos décadas pensando en que los “malos” nunca utilizarían Internet y por tanto se desarrolló sin pensar en la seguridad del protocolo. Sin embargo un reciente estudio de Renesys indica que cada vez es más común aprovechar las debilidades de BGP realizando ataques IITM, ya que han detectado redirecciones del tráfico de Internet a través de proveedores de Islandia y Bielorrusia.

 

Parece ser que las redes afectadas pertenecían a instituciones financieras, proveedores de VoIP, además de organizaciones gubernamentales. El proveedor encargado de realizar el “ataque” dice que fue involuntariamente debido a un bug en el software, sin embargo esto no es creíble ya que ante fallos como por ejemplo el de Pakistán dejarían las redes afectadas inaccesibles pero no se re-enrutarían hacia el destino correcto. ¿Cuánto tiempo se tardó en detectar el ataque? ¿cuánto se tardó en mitigar el ataque? ¿cuánto tráfico fue capturado? Aunque parte del tráfico fuese cifrado, sabemos que otra gran parte del tráfico va sin cifrar, así que no sabemos si realmente fue un bug o por el contrario iban buscando algo determinado.

Por último, si alguna vez os animáis a realizar un ataque como este desde vuestro Punto de Presencia de Internet, tened cuidado con la cantidad de tráfico capturado ya que puede llegar a saturar la infraestructura al tener que re-enrutar todo el tráfico de nuevo ;-)

Business Continuity and Disaster Recovery

 

El valor de una organización no es el mobiliario, las instalaciones, ni las oficinas, tampoco importan los sistemas de TI, lo realmente importante es la información y el negocio. Ya se que en ciertos entornos las máquinas tienen un valor enorme, sin embargo ante un desastre se puede volver a comprar máquinas, lo que es realmente complicado de obtener son los resultados de las muestras de los laboratorios, recetas, lista de clientes y proveedores, pedidos, etc y no olvidemos la marca y reputación de la organización, todo esto es irrecuperable sin un adecuado Plan de Continuidad del Negocio (BCP).

No debemos confundir Continuidad del Negocio con Recuperación ante Desastres. Éste último es un subconjunto del BCP que trata de recuperar los sistemas de información intentando que el tiempo de no disponibilidad sea el mínimo posible, ya sea restableciendo los sistemas en el mismo CPD o en uno de respaldo. Por otro lado, el objetivo del BCP es preparar a la organización para seguir obteniendo ingresos a pesar de cualquier desastre, incidente o acción como puede ser cambios en el mercado. El BCP puede ser utilizado para mejorar la posición de la organización en el mercado demostrando su fortaleza frente a competidores, sobrevivir a un incremento exponencial del negocio, es decir controlar la entrada masiva de pedidos, en definitiva estar siempre disponible para las necesidades de los clientes.

A continuación comentaré brevemente cada una de las fases del BCP:

1. Elaborar el programa de Continuidad del Negocio: ¿Cuál es el objetivo del BCP? ¿Para qué se hace? Además hay que definir los roles y a un líder que ante un problema ponga la situación bajo control, que siempre mantenga la calma y que intente que los clientes no se vean afectados por la situación.
2. Proceso de Descubrimiento: Se trata de conocer los procesos de negocio de la organización, realizar un análisis de impacto (BIA) y un análisis de riesgos. Es decir, definir los procesos y servicios críticos de la organización, además de su criticidad. También es necesario realizar un inventario de los activos relacionados con los servicios.
   
   
3. Plan de Desarrollo: Analizar si es necesario redundar las comunicaciones, discos, servidores, CPD, oficinas, etc. Definir el RTO y RPO. Definir la política de copias de seguridad. Evaluar tipos de seguros que asuman las pérdidas ante un incidente. Definir los sistemas de incidentes y los medios de comunicación. Definir el equipo de emergencia y respuesta ante incidentes (CSIRT/CERT). Redactar procedimientos y redactar el plan de manera clara para que cuando haya algún incidente no aparezcan dudas.
   
   
4. Implementación del BCP: Además de implementar el BCP hay que preparar al personal para que sepa realizar correctamente sus funciones.
   
   
5. Mantenimiento e Integración: Realizar pruebas y revisar el plan, por lo menos anualmente. Las pruebas no se realizan para ver quién es el inútil que no sabe seguir el procedimiento sino para mejorar en cada iteración.

Hasta la empresa más grande que nos podamos imaginar está expuesta al riesgo de sufrir un desastre. El estándar ISO 22301 les ayuda a planificar, implantar y mantener el BCP, ya que ellos saben que la prioridad principal son los clientes y la comunicación con todos ellos, sin clientes no hay ingresos y sin ingresos la continuidad del negocio sería difícil o imposible. Por tanto, es importante que mantengamos a nuestros clientes contentos y satisfechos con los servicios que les prestamos.

Protección de Activos (III)

Continuando con la serie de Protección de Activos, donde quiero hacer ver que para proteger los activos de una organización es interesante apoyarse en una metodología de protección por capas, comenzando con la Capa Administrativa, siguiendo con la Capa Física y terminando con la Capa Técnica. A continuación veremos algunas tareas técnicas que podemos llevar a cabo para proteger los activos de nuestra organización:

Capa de protección Técnica

• El control de acceso a la red (NAC), sistemas y aplicaciones suele ser una de las principales preocupaciones, para ello se recomienda utilizar el protocolo 802.1X que hace uso del protocolo AAA para la autenticación, autorización y contabilidad de los usuarios, para ello se emplea servicios como Radius. Además se puede hacer uso de mecanismos de Single Sign On (SSO) que junto con Kerberos permite que el usuario tan solo tenga que introducir la contraseña una vez para acceder a todos los recursos de la organización. Es importante no proporcionar más permisos a los usuarios de los estrictamente necesarios para su labor diaria.

• Ya he comentado varias veces que la seguridad no está solo en el cortafuegos, disponer de un cortafuegos crea una falsa sensación de seguridad si los usuarios pueden instalar un módem USB en los equipos o si no se configura y monitoriza correctamente las políticas de firewalling. Con los cortafuegos UTM podemos controlar hasta la capa 7 del modelo OSI, o incluso hasta la mágica capa 8 que nos permite aplicar políticas por usuarios. Si además necesitamos cumplir el ENS deberemos implantar dos barreras de cortafuegos de distinto fabricante.

• Cada vez somos más conscientes de la necesidad del antivirus, sin embargo establecer una doble barrera de distinto fabricante del analizador de virus es una buena práctica, la primera barrera en el el sistema UTM y la segunda en los equipos finales.

• Las redes cada vez están más “abiertas” debido a que mediante conexiones remotas podemos acceder a los recursos internos de la organización. Para ello podemos establecer VPN “site to site” o “dialup to site”, en cualquier caso es recomendable utilizar protocolos seguros como IPSec o SSL. Además, se aconseja utilizar autenticación de doble factor mediante token mobile o token USB.

• Ante la necesidad de implantar redes inalámbricas podemos utilizar el estándar 802.11i configurando WPA2-Enterprise con autenticación Radius.

• Los Sistemas de Prevención y Detección de Intrusos (IPS e IDS respectivamente) son herramientas que nos protegerán y alertarán de ataques. Si además implantamos Host-IDS y Wireless-IDS estaremos mucho mejor protegidos. Existen IDS basados en firmas, comportamiento o ambos.

• Para transportar datos fuera de la organización y realizar comunicaciones seguras utilizando Internet es imprescindible utilizar algoritmos de cifrado. La mayoría de las veces utilizamos criptografía simétrica o de clave privada, sin embargo es una buena práctica utilizar criptografía asimétrica o de clave pública (PKI). Por otro lado existe la criptografía de curva elíptica, aunque no es recomendable, y la criptografía cuántica, aunque aún no existen productos comerciales para este último mecanismo de cifrado robusto.

• Para todo tipo de comunicaciones se sugiere utilizar protocolos seguros como HTTPS, POP3S, IMAPS, SMTPS, SSH, SNMPv3, etc.

• Las contraseñas son únicas, personales e intransferibles por ello es útil utilizar herramientas para almacenar y proteger las credenciales de manera cifrada. Además hay que cambiarlas cada cierto tiempo, exactamente lo que indique la política de seguridad, por lo que se hace aún más necesario utilizar herramientas para almacenarlas, de esta manera no las olvidaremos. Si no utilizamos la misma contraseña para todo, no caeremos en el grave error en el que si el atacante adivina la contraseña podrá acceder a todos los recursos. También se recomienda realizar copia de seguridad del archivo de contraseñas, ya que ante la necesidad de restaurar un sistema necesitaremos las credenciales que tenía el equipo cuando se hizo la copia de seguridad.

• Es recomendable disponer de sistemas de correlación de eventos (SIEM), analizadores de vulnerabilidades, analizadores de puertos, sistemas de monitorización de la red y sistemas de monitorización de la disponibilidad de los servicios.

• La mayoría de los sistemas tienen la posibilidad de habilitar los módulos de auditoría para dejar evidencia de los eventos y accesos al sistema, muy aconsejable habilitarlo para futuros análisis forenses.

• Para que los sistemas estén disponible el mayor tiempo posible es necesario redundar las comunicaciones, configurar cluster de servicios y aplicaciones, implantar mecanismos RAID para la redundancia de discos e incluso evaluar la necesidad de tener instalaciones (CPD y oficinas) redundantes. Todo ello será estudiado en los planes de continuidad del negocio y recuperación ante desastres.

• La telefonía suele ser un servicio crítico y cada vez se utiliza más VoIP mediante centralitas PBX, lo que conlleva que el servicio adquiere todas las amenazas y problemas de cualquier activo de la red de datos, por tanto no olvidemos también asegurar este activo tan importante.

• A nadie nos gusta que un tercero nos diga que no lo estamos haciendo todo lo bien posible, sin embargo es una manera de evaluarnos y mejorar, para ello se recomienda realizar test de penetración (caja blanca y caja negra), además de auditorías externas.

Como vemos, me ha quedado una entrada demasiado larga, debido a la gran cantidad de protocolos, estándares y técnicas disponibles para proteger técnicamente nuestros activos, así que manos a la obra que hay mucho por hacer.