Seguridad Fisica COMO - El entorno físico del hardware (II)

Aunque no sea muy común es interesante estudiar la posibilidad de que el hardware deba ser evacuado del edificio por diversas razones. Es posible que tengamos que mover nuestro sistema a otro edificio por razones corporativas o que debamos hacerlo por razones de fuerza mayor, como desastres naturales, incendios parciales o cualquier otra contingencia imaginable. Para preveer este tipo de evacuación deberemos crear un plan de evacuación del hardware que nos permita llevar los equipos críticos a otro edificio o departamento en un mínimo de tiempo y siguiendo un plan predeterminado que tenga en cuenta la importancia de cada sistema.

Deberemos tener en cuenta al realizar el estudio y el plan de evacuación la importancia de los equipos y sobre todo de los datos que albergan estos equipos, de forma que los equipos y datos más importantes sean evacuados primero, y los menos importantes puedan esperar. Se deberá plantear la necesidad de tener personal preparado para este cometido y la facilidad con que estos datos se pueden mover de un lugar a otro.

Lo principal normalmente en una empresa será evacuar los datos corporativos (datos de la empresa, datos de facturación y contabilidad, del personal que trabaja en la empresa, de los clientes y de los proveedores), que estarán en forma de discos duros, sistemas de almacenamiento NAS o cintas de backups. Para los discos duros se facilita enormemente su evacuación si se dispone de discos duros hotswap (extracción en caliente) que puedan extraerse fácilmente del equipo y tengan una cierta protección física contra golpes o movimientos bruscos. Para los sistemas NAS se intentará que estos tengan también discos hotswap o que sean fácilmente desmontables y transportables. Las cintas de backup suelen ser fáciles de transportar, pero deberá tenerse en cuenta que son sensibles a los campos magnéticos y a las temperaturas extremas.

El plan de evacuación debe continuar con la evacuación de los backups y datos de trabajo de los usuarios para perder el mínimo de horas de trabajo posibles. Se debe tener en cuenta que normalmente es más caro el tiempo de trabajo del personal que trabaja en la empresa que la infraestructura informática de esta, por lo que antes de evacuar otro tipo de equipos deberán evacuarse los datos de trabajo del personal. Después se podrán evacuar todos los demás equipos que sea posible, teniendo en cuenta las consideraciones que la empresa encuentre más importantes, que pueden ser el valor económico de los equipos, la necesidad de disponibilidad inmediata de una infraestructura mínima para continuar con el trabajo o la necesidad de disponer de un sistema mínimo para la prestación de servicios a clientes y proveedores.

Deberá tenerse en cuenta cuando se estudie el entorno de trabajo del personal de la empresa la formación que este personal ha recibido sobre seguridad informática y física de los sistemas sobre los que debe trabajar o que están localizados en su entorno más cercano. Es fundamental que los empleados tengan los conocimientos necesarios para mantener el entorno del hardware físicamente seguro, y para esto deberán crearse normas de acceso y de uso de los dispositivos hardware que el empleado deba manipular, poniendo especial incapié en la seguridad de los datos y de su propio trabajo. Tendremos en cuenta dos tipos de trabajadores para nuestro estudio: los trabajadores con responsabilidad en la administración del hardware y software y los usuarios finales de estos sistemas.

Para los administradores deberemos crear unas normas de acceso y uso de los dispositivos servidores y de red donde se expliquen claramente los pasos que se deberán seguir para acceder al hardware y realizar modificaciones sobre este. Para este personal es esencial el conocimiento de las implicaciones en la seguridad física de los sistemas que su trabajo diario pueda tener y las medidas de precaución que deberán tomar para implementar esta seguridad. Se debe crear junto con el personal de administración las normas a seguir para acceder y modificar el hardware y el software. Esto es importante pues nuestras ideas sobre las medidas que han de tomarse para asegurar físicamente los sistemas pueden chocar frontalmente con las prácticas necesarias en la administración normal del sistema. Los administradores deben por tanto implicarse en crear las normas de seguridad física, haciendo notar las normas que puedan entorpecer su trabajo y la mejor forma de realizar las prácticas de administración sin afectar a la seguridad física del sistema. Una vez creadas las normas y aprobadas por el personal de administración deberá responsabilizarse ya sea a una persona o el conjunto del equipo de administración de la seguridad del sistema, implicando así a todo el personal de administración en las prácticas de seguridad de la red. Las normas una vez aprobadas deberán ser prácticamente inamovibles, y cualquier caso excepcional que tenga implicaciones sobre la seguridad física de los sistemas deberá ser observado con lupa y aceptado por una persona con capacidad de decisión ejecutiva y con los conocimientos técnicos necesarios para aprobar o denegar una determinada práctica puntual. Es muy aconsejable que todo acceso o modificación sobre el hardware quede reflejado de alguna forma para que pueda ser comprobado posteriormente en el supuesto de fallos o problemas de funcionamiento del sistema.

Para los usuarios finales de los sistemas se debe crear una normativa de uso de la red y del hardware, donde se indicará de forma clara y fácil de entender y cumplir las normas que se deben seguir para el uso de los dispositivos hardware y de la red corporativa. Respecto a la red corporativa haremos notar que las normas se referirán a el acceso físico a las bocas de red, a los concentradores y al cableado de red, no a el uso informático que se realice de la red, para lo que deberá elaborarse otra normativa por parte del personal de administración y que no tendrá relación con la seguridad física. Puede ser conveniente la impartición de un seminario donde se explique a los usuarios las normas que deben seguir para evitar la manipulación del hardware y el acceso a este.

Es complicado el implicar totalmente a los usuarios finales en la seguridad tanto física como informática de las máquinas y la red, en determinados casos por falta de información o capacidad técnica y en otros por errores o intentos de manipulación para llevar a cabo prácticas en principio prohibidas o desaconsejadas en la normativa de la red pero que el usuario puede encontrar atractivas. Debemos ser conscientes de que el peso de la responsabilidad de mantener la seguridad física de los sistemas informáticos del usuario final debe recaer sobre el equipo de administración y sobre nosotros como consultores. Todo error o manipulación que un usuario final realice sobre el hardware o la red es responsabilidad nuestra, pues debemos preveer todos los casos posibles que se puedan dar y que puedan afectar a la seguridad del sistema. En caso de tener una normativa que los empleados deben cumplir, estando estos debidamente informados, y sobre todo si se tiene la certeza de que determinada manipulación del hardware o de la red ha sido hecha a sabiendas de las implicaciones en la seguridad deberemos en su caso avisar al infractor y si la conducta se repite deberemos comunicar la infracción a la persona que tenga capacidad ejecutiva para imponer sanciones sobre el usuario.

Una mala planificación del espacio destinado a contener nuestro hardware o nuestros dispositivos de red puede llevarnos a prácticas contrarias a la consecución de una buena seguridad física. Por ejemplo si no hemos planificado suficiente espacio en uno de nuestros armarios o racks para montar un dispositivo de red podemos vernos obligados a montar este dispositivo fuera del armario con lo que cualquiera podrá acceder a las conexiones y puertos del dispositivo.

Es aconsejable sobredimensionar los armarios y racks de montaje de equipos en el momento de su compra preveyendo futuras ampliaciones que impliquen la instalación de nuevos equipos o dispositivos de red, esto solo puede hacerse normalmente en el momento de la compra, obligándonos en otro caso a adquirir otro armario o rack si nos quedamos sin espacio. Es un punto a tener en cuenta cuando se planifica una nueva red o cuando se va a ampliar una red existente.

Si observamos que existen dispositivos de red, servidores NAS o servidores de aplicaciones fuera de los racks protegidos con llave o de los armarios ignífugos se aconsejará siempre la compra de nuevos armarios para contener estos dispositivos.

Uno de los aspectos que se suelen descuidar cuando se adquieren o montan racks o armarios ignífugos es la ubicación de los UPS. Los UPS deberán ir dentro de los armarios, por ser un punto de fallo de todo el sistema y por tanto un sistema a proteger con especial cuidado.

Se aconseja siempre la instalación de dispositivos de control de la temperatura y de la humedad del entorno. El factor más crítico en los datacenters y en los racks y armarios ignífugos suele ser la temperatura, siendo la humedad un factor secundario sólo a tener en cuenta en climas muy determinados donde la humedad pueda afectar a los equipos.

Para prevenir una excesiva temperatura en los centros de datos y en los racks y armarios lo fundamental es tener una correcta ventilación y en el caso de habitaciones que alberguen una gran cantidad de máquinas la instalación de aparatos de aire acondicionado. A mayor temperatura menor tiempo entre fallos para todos los dispositivos electrónicos, incluidos los ordenadores, los dispositivos de red y cualquier sistema que genere por si mismo calor. Es fundamental que los ordenadores que montemos tengan una ventilación interior suficiente, incluyendo ventiladores para los discos duros y una fuente de alimentación correctamente ventilada. También son convenientes las cajas que incorporan uno o varios ventiladores para refrigerar las máquinas.

En el caso de los racks por su mayor masificación y por ser los dispositivos más pequeños y con una mayor integración de componentes la ventilación se convierte en un punto importante a tener en cuenta. Existen racks y armarios ventilados que permiten tener las máquinas en un punto de funcionamiento óptimo.

Es importante que además de tomar las medidas necesarias para tener la temperatura dentro de unos límites aceptables tengamos un sistema de monitorización de la temperatura. Este sistema puede ser un simple termómetro electrónico en la sala de computación o en los racks y armarios o un sistema de adquisición de datos conectado a un termómetro que pueda mandar datos de la temperatura a un ordenador que nos permita realizar la monitorización. Un ejemplo de un sistema de este tipo son los diversos aparatos que existen para su integración con el software Nagios y que nos permiten mediante plugins de Nagios la monitorización de la temperatura de cualquier sistema, avisándonos cuando supera los límites preestablecidos.

Debe configurarse también correctamente la bios de los ordenadores para que monitoricen correctamente la temperatura interna y avisen si esta supera los límites marcados. Lo mismo para la velocidad de giro de los ventiladores, que redunda al fin y al cabo en la temperatura que el hardware adquirirá.

Los ordenadores y dispositivos de escritorio (Impresoras, faxes, pequeños concentradores, concentradores usb, etc) son uno de los puntos más difíciles de controlar por el consultor de seguridad física, pues dependen totalmente del uso o mal uso que el usuario final pueda realizar de ellos o sobre ellos. La única solución en este caso es la implantación de una política clara y comprensible para el usuario final de uso de los dispositivos que están a su cargo. Es importante responsabilizar de alguna forma al usuario final del hardware que está a su cargo, sin que esto suponga una carga añadida a su trabajo normal. Encontrar el punto justo entre la facilidad y flexibilidad en el uso de los dispositivos a cargo del usuario final y la seguridad física de estos dispositivos no siempre es fácil de encontrar, pero está es la tarea del consultor de seguridad física.

Para los ordenadores y dispositivos de red daremos más adelante algunos consejos de como mejorar la seguridad física de estos dispositivos, impidiendo su manipulación por parte del usuario final siempre que sea posible. Cuando el usuario final tenga que tener acceso directo al hardware (disqueteras, CDROMS, impresoras, etc) lo más conveniente es la creación de una política de uso del hardware, donde el usuario pueda saber exactamente lo que puede o no puede hacer.

Hemos hablado ya profusamente sobre el entorno donde deben encontrarse los servidores y dispositivos de red. Añadiremos que la seguridad física que implementemos para estos dispositivos debe ser directamente proporcional a la importancia de estos, y es tarea del consultor informarse de la importancia que cada dispositivo tiene dentro del conjunto. No es lo mismo un concentrador de un departamento que el router principal que proporciona la conexión a Internet. Tampoco es lo mismo un servidor de backups que un servidor de ficheros. El primero puede dejarnos sin backups y sin cierta seguridad, pero el segundo dejará la red y por tanto las máquinas de los usuarios finales paralizadas, perdiendo gran cantidad de tiempo de trabajo hasta que repongamos el servicio.

Debemos por tanto proteger estos dispositivos según su importancia real. Para los dispositivos críticos lo ideal es mantenerlos alejados del personal o de posibles intrusos en salas con una correcta seguridad y control de acceso, así como con temperatura y otras condiciones óptimas y siempre que sea posible monitorizadas. Para los dispositivos menos críticos puede ser más interesante el mantenerlos más cerca del usuario final en armarios cerrados o en racks bajo llave teniendo en cuenta lo que antes hemos indicado para este tipo de sistemas.

Debemos tener en cuenta como consultores en seguridad física el cableado eléctrico en dos vertientes principales, las dos relacionadas pero independientes.

La primera de ellas es el cableado que proporciona energía a nuestros sistemas computacionales y dispositivos de red (e incluso otro tipo de dispositivos como impresoras láser o faxes) y que deben de cumplir como mínimo las normas aplicables a este tipo de cableado según el país donde nos encontremos, normalmente el reglamento de baja tensión. Esto implica que los cables no se encuentren cerca de conducciones de agua o gas y otra serie de apartados que se pueden consultar en los reglamentos de baja tensión de cada país. Esto por supuesto es el mínimo admisible. A partir de aquí debemos buscar los posibles fallos que hipotéticamente pudieran producirse dentro del cableado. Por ejemplo hay que estudiar que los enchufes y clavijas donde se conectan los dispositivos cumplen con las normativas aplicables y que no existe peligro de que pueda saltar una chispa entre terminales. Otro punto a estudiar es el diámetro y la calidad del cableado, para lo cual nos puede asesorar un electricista, calculando la potencia máxima que va a consumir un determinado sistema alimentado por un cableado y calculando a partir de ahí la sección y calidad del cable que debe instalarse. Debe sobredimensionarse siempre este factor por las posibles sobretensiones de la red y para prevenir sobrecargas en el cableado si añadimos más dispositivos al sistema. En cualquier caso hay que hacer notar que el cableado no suele ser problemático y suele estar bien calculado y muy sobredimensionado para la potencia que ha de transportar.

La segunda de las vertientes son las conducciones ajenas a nuestros sistemas computacionales y que puedan afectar negativamente al funcionamiento de estos. Todo el cableado eléctrico, sobre todo el que transporta una gran cantidad de energía eléctrica (soporta mucha potencia) produce trastornos electromagnéticos en su entorno. Los ordenadores y dispositivos de red, e incluso el cableado de red son bastante sensibles a este tipo de alteraciones electromagnéticas, por lo que intentaremos que el cableado ajeno a nuestros sistemas que deba transportar una gran potencia esté lejos de nuestro cableado eléctrico, de red y de los ordenadores y dispositivos de red. Un correcto aislamiento de este cableado puede mitigar este problema en gran medida. En caso de duda siempre podemos consultar a personal especializado que puede realizar mediciones de campo sobre los cables e indicarnos si pueden producir algún tipo de alteración sobre nuestros sistemas.

Poco más que añadir sobre el cableado de telefonía. Deberemos observar que el cableado tiene la calidad y esta homologado según la normativa del país donde nos encontremos. Deberemos tener también en cuenta lo dicho en el apartado anterior y mantenerlo lejos del cableado eléctrico que transporte mucha potencia. Por lo demás el cableado de telefonía no suele dar ningún tipo de problemas, más que los puramente físicos como seccionamientos del cable, conectores mal montados o defectuosos y cosas así.

Como con el cableado de red deberemos proteger de alguna forma el cableado de telefonía, para preveer la posible actuación de un intruso malintencionado que pueda seccionar el cable y dejarnos sin comunicaciones. Es fundamental poder comprobar el cableado mediante aparatos fabricados a tal efecto de forma sencilla, para detectar roturas o seccionamientos del cable si tenemos el cable protegido por algún tipo de entubado o integrado en la estructura del edificio.

El cableado de redes es más sensible a las perturbaciones electromagnéticas que el cableado de telefonía, por transportar datos a una mayor frecuencia. Asumimos que estamos hablando de cable tipo ethernet del comúnmente instalado hoy en día. Un caso diferente sería el antiguo cableado coaxial, que se recomienda sustituir por el nuevo cableado ethernet o el cableado de fibra óptica, que no sufre perturbaciones electromagnéticas y que tiene como único punto débil a estudiar su fragilidad, que no permite determinadas instalaciones, así como la mayor complejidad de sus conectores.

En el caso del cableado ethernet normal a 10M o 100M que se suele instalar en las redes departamentales o locales deberemos estudiar el cableado, observando que esté protegido mediante entubado o integrado en la estructura del edificio, además de observar que no se encuentre cercano a conducciones de electricidad de alta potencia que puedan crear interferencias electromagnéticas sobre el cableado de red. Se deberán tomar las medidas precisas para evitar el supuesto seccionamiento del cable por parte de un intruso malintencionado y un método de comprobación mediante dispositivos de comprobación de redes que nos permita encontrar posibles fallos en el cableado.

Es importante que todo el cableado y los conectores estén homologados, cumplan con la normativa aplicable y sean de la máxima calidad, a día de hoy CAT5 o CAT7.

Cuando tenemos un sistema informático distribuido dentro del edificio debemos tener en cuenta que el factor más importante que debemos estudiar es la conectividad entre los distintos nodos, lo que implicará un estudio de la red pública (dentro del edificio) o privada que usen para comunicarse, así como los dispositivos de red que usen para su comunicación. Es importante también asegurar la conectividad de los sistemas finales que han de usar los servicios proporcionados por el sistema distribuido, pues si no tenemos conectividad no nos servirá de gran cosa tener el sistema distribuido funcionando. Sobre la conectividad no añadiremos nada más pues es un caso de estudio de una red normal, del cableado de esta y de los dispositivos de red que la componen.

Deberemos realizar un estudio de la seguridad física de cada nodo y de como puede afectar la caída de uno de estos nodos al sistema distribuido, observando si la caída de un nodo provoca la caída del sistema, y entonces buscaremos algún tipo de alta disponibilidad o redundancia en los nodos, o si el sistema puede funcionar con algunos nodos caídos, con lo que el mismo sistema distribuido estará proporcionando la redundancia.

La seguridad física de los armarios y racks es básicamente la de sus cerraduras y llaves, pues aunque podemos estudiar la fortaleza física del armario es poco probable que un supuesto atacante se ponga a reventar un armario o rack para acceder a su interior. Sobre todo cuando tiene otros métodos para hacerlo...

Las llaves y cerraduras dan una falsa seguridad al administrador de sistemas. La gran mayoría de los armarios y racks que se comercializan tienen cerraduras y llaves muy simples que pueden ser abiertas por cualquiera con un poco de habilidad y el material y los conocimientos necesarios. Solo debe estudiar las varias Lock Picking Guides que existen en Internet y que enseñan como abrir todo tipo de cerraduras, incluso las que tienen varios cilindros. El consultor de seguridad física deberá siempre aconsejar el uso de llaves de varios cilindros, similares a las que se encuentran en las puertas blindadas, que son prácticamente imposibles de abrir mediante técnicas de Lock Picking. Todo lo demás es engañarse, porque la persona que quiera acceder a nuestro armario seguramente tendrá los conocimientos y la habilidad para abrirlo si tenemos cerraduras de un cilindro o dos.

No hay nada mejor para darse cuenta de las implicaciones en seguridad física e informática de las técnicas de Lock Picking que bajarse de internet el documento The MIT Lock Picking Guide o cualquiera de los documentos de Lock Picking que existen en Internet. Aunque al principio la técnica puede ser complicada y difícil de implementar en una cerradura real puede estar seguro que si un intruso ha decidido aplicar estas técnicas sobre su armario o rack tendrá la práctica y los conocimientos necesarios para tener éxito en su empresa.

La única solución es el adquirir armarios y racks con cerraduras seguras, que tengan al menos tres cilindros o que tengan cerraduras similares a las de las puertas blindadas. Solo esto nos asegurará que ningún intruso podrá acceder a nuestros dispositivos.

Las cámaras de seguridad son un elemento imprescindible si tenemos a nuestro cargo sistemas realmente críticos o sistemas especialmente atractivos para los supuestos intrusos o hackers. Esto incluye todos los sistemas que alberguen datos económicos, números de tarjetas de crédito, datos de clientes o proveedores, datos personales de nuestros clientes, etc. Si tenemos centros de datos que almacenan datos de este tipo o cualquier tipo de datos críticos para el funcionamiento de la empresa o secretos deberemos tener personal de vigilancia contratado. Este personal deberá contar con cámaras de seguridad que les permita monitorizar el edificio ante la posibilidad de intrusos o de actuaciones sospechosas del personal. Lo ideal es tener personal de vigilancia presencial en el centro de datos para el control de acceso y luego personal de vigilancia encargado de la monitorización de las cámaras de vigilancia.

Debemos tener en cuenta las cuestiones relativas a la privacidad de nuestro personal cuando instalemos o aconsejemos instalar cámaras de vigilancia. Normalmente deberemos poner en conocimiento de los empleados la existencia de estas cámaras, su localización y su función de vigilancia.

Uno de los errores en seguridad física más comunes que se suelen observar en entornos reales es la visibilidad desde el exterior de los monitores y teclados de los usuarios que están trabajando dentro del edificio. Esto es un fallo de seguridad física muy importante, pues un intruso malintencionado puede observar desde una ventana o desde el exterior del edificio como el personal teclea sus passwords personales o datos secretos o críticos para la empresa. Este es un caso muy común en las oficinas de los bancos, que suelen estar situadas en las primeras plantas de los edificios y tienen normalmente grandes fachadas de cristal que permiten la visibilidad al interior por parte de cualquier intruso.

La solución es muy sencilla. Basta con elegir la localización de los monitores y teclados fuera del alcance de un supuesto observador exterior. No se aconseja en principio la instalación de cortinillas o sistemas similares si no es imprescindible, porque casi siempre con una recolocación de los escritorios de los empleados o de sus sistemas informáticos basta para proporcionar una seguridad física suficiente en este caso.

¿A quien puede importarle nuestra basura? Le preguntará seguramente el jefe de administradores cuando le indique que quiere estudiar la colocación de los contenedores de basura de la empresa y los métodos de destrucción de documentación. A cualquier intruso, deberá responderle usted. Y esto es tan cierto como que se producen continuamente fallos de seguridad en las empresas por medio de hacking social que tienen como origen una mala gestión de los desechos y la basura.

Pensemos solo por un momento lo que puede obtener un posible intruso del contenedor de basura de una empresa: Documentación secreta sin destruir, números y claves de empleado, números de la seguridad social, planos de la empresa o de la red, datos técnicos de la red y de los sistemas informáticos de la empresa, datos sobre los empleados y la estructura administrativa de la empresa, números de teléfono internos, datos sobre la jerarquía administrativa de la empresa, y así hasta el infinito. Datos, datos, datos. Un posible intruso puede usar todos estos datos para realizar todo tipo de hacking social sobre sus empleados y departamentos, usándolos para identificarse mediante llamadas a teléfonos internos y solicitar datos que normalmente no se darían si no fuera porque el interlocutor nos está dando datos que no debería saber si no trabajara en la empresa. Este tipo de ataques de hacking social son cada vez más comunes y deben ser una preocupación principal para un consultor de seguridad física.

Hay que ser tajantes con este tema. Todos los documentos internos de la empresa deben de ser destruidos mediante máquinas que existen para esta tarea. Debe elegirse máquinas que destruyan totalmente los documentos, nada de tiras gruesas de papel que pueden volver a unirse con suficiente paciencia, cuanto más destruidos queden los documentos mejor. La incineración de los documentos es por supuesto la opción ideal. Además debe de crearse una política de destrucción de documentación que todos los empleados deberán cumplir, responsabilizándose cada uno de los datos y documentación que desechen.