Seguridad Fisica COMO - La seguridad física del hardware (II)

Hemos hablado ya bastante sobre el alojamiento físico de las máquinas principales que proporcionan los servicios críticos de la empresa, incluidos los servidores de archivos, los servidores de aplicaciones, los sistemas de backup y todas las máquinas que proporcionan seguridad informática a la empresa, como firewalls, detectores de intrusos y similares. Ahora vamos a ir un poco más allá hablando sobre las máquinas que están más cerca del usuario final, como los equipos de escritorio y los concentradores departamentales.

La regla a aplicar en este caso es la misma que hemos aplicado para los demás sistemas. Cuanto menos acceso tenga el usuario final a las máquinas sobre las que tiene que trabajar y que contienen los datos sobre los que trabaja y su propio trabajo, así como los dispositivos de red local como concentradores y similares, mejor para la seguridad física. Idealmente se alojarán todas las máquinas a las que no deba acceder físicamente el usuario final en racks y armarios, o se implantarán sistemas de trabajo remoto sobre servidores de aplicaciones como Citrix y similares. Esta última opción es la ideal, porque permite al usuario trabajar en su estación de trabajo que no debe tener una seguridad física estricta y mantener los datos sobre los que trabaja y su propio trabajo en los servidores principales de la empresa, que estarán correctamente protegidos en el apartado de seguridad física. Este tipo de sistemas permite además mantener hardware menos potente en los escritorios de los usuarios y mejora la administración y la gestión de datos y backups para los administradores. Estos sistemas actúan básicamente como los antiguos terminales X o terminales de texto, y son cada vez más usados en todo tipo de empresas, sobre todo en bancos o sistemas financieros donde la seguridad de los datos que se maneja es crítica y el usuario final debe tener el mínimo de acceso a los datos que maneja. Es muy común hoy en día el uso de aplicaciones que corren sobre navegadores web y que usan servidores de aplicaciones y bases de datos para acceder a los datos necesarios para realizar el trabajo. Cualquiera de estas soluciones es buena y debe ser aconsejada siempre que sea económicamente y administrativamente posible.

Para los dispositivos de red lo mejor es alojar estos dispositivos como ya hemos comentado en armarios o racks. Deberemos estudiar el cableado de forma que no exista la posibilidad de que este sea seccionado o desconectado. Por lo demás no tendremos mayores consideraciones con los dispositivos de red, únicamente si estos deben obligatoriamente estar alojados cerca del usuario final (personal que debe realizar pruebas con la red o realizar cambios en el cableado) protegeremos los dispositivos contra manipulaciones remotas limitando el acceso por medio de claves suficientemente seguras. También es posible en algunos dispositivos el activar o desactivar parte de su funcionalidad para limitar el acceso que el usuario final tiene a estos dispositivos.

El control de calidad de las máquinas y los dispositivos de red debe estar basado en dos premisas. La primera es la adquisición de equipos certificados y donde el fabricante nos asegure que se han realizado las pruebas de estress suficientes sobre ellos para garantizar su calidad. La segunda es la monitorización de estos equipos y la estimación de la vida útil y el tiempo medio de fallos en los mismos.

La adquisición de los servidores, los equipos de usuario final y los dispositivos de red dentro de una empresa debe estar regida en primer lugar por la calidad de estos. A medio y largo plazo lo barato sale caro cuando estamos hablando de hardware. Para ordenadores elegiremos máquinas de fabricantes que entreguen equipos completos preconfigurados y probados en la cadena de montaje, esto es fundamental, porque los equipos montados adhoc usando piezas de varios fabricantes es más posible que fallen por la interacción entre los distintos componentes que no ha sido probada por la variedad de hardware existente. Estos equipos son más caros que un equipo montado (usualmente llamados clónicos) pero nos aseguran una certificación de que el hardware que contienen trabaja correctamente en conjunto y han sido sometidos a una serie de pruebas de funcionamiento para comprobarlo. Es importante estudiar el hardware que se va adquirir cuidadosamente, incluyendo la posibilidad de adquirir equipos con una cierta seguridad física implementada, como dobles fuentes de alimentación, controladoras RAID o cajas con una cierta seguridad física. Es aconsejable realizar una inversión un poco mayor al adquirir este hardware porque a medio y largo plazo esta inversión se verá recompensada en un mayor tiempo entre fallos y una mayor fiabilidad de los equipos.

Las máquinas servidoras que se han de montar en rack suelen venir con certificación de su funcionamiento, así que sólo deberemos preocuparnos de las características de estas y de elegir un fabricante que distribuya los equipos preconfigurados y probados en la cadena de montaje. En estas máquinas debemos realizar toda la inversión económica que nos sea posible, porque estos equipos son críticos para el funcionamiento del sistema y una mayor inversión en estas máquinas redundará en mayor tiempo entre fallos y por tanto en un mejor aprovechamiento del trabajo. Un servidor que se viene abajo puede dejar a un grupo de usuarios sin posibilidad de trabajar, lo que supone una cantidad considerable de dinero perdido para la empresa, así que lo que invirtamos en el hardware de los servidores lo recuperaremos a medio y largo plazo en forma de menores tiempos de paro del sistema y en una menor inversión en mantenimiento. Es importante que estas máquinas tengan todos los sistemas de redundancia y seguridad que nos podamos permitir, incluyendo si lo encontramos más conveniente la instalación de sistemas de clusters de alta disponibilidad que proporcionen los servicios aunque algunas de las máquinas caiga. Debemos tener en cuenta que el hardware falla, es algo que ocurrirá tarde o temprano, y por tanto toda la redundancia que tengamos en los dispositivos críticos será dinero bien invertido.

Los dispositivos de red deben ser elegidos entre los principales fabricantes de estos dispositivos. Es posible encontrar dispositivos más baratos de pequeños fabricantes o de fabricantes de dispositivos de gama baja, pero a medio y largo plazo la inversión que realicemos redundará en un menor tiempo de fallos y un mantenimiento menor. Elegir los dispositivos entre los grandes fabricantes nos asegurará que estos dispositivos han sido probados tanto en la fábrica como en miles de instalaciones reales hasta la saciedad, y nos permitirá solucionar los problemas que podamos tener con ellos fácilmente, pues existe una comunidad muy amplia de usuarios que pueden ayudarnos a través de las news o las listas de correo y permitirá al personal de mantenimiento mantener los equipos más fácilmente. Es aconsejable incorporar cuantos más equipos del mismo fabricante podamos mejor, pues el mantenimiento será mas sencillo y las facilidades de soporte y asistencia técnica estarán a cargo de una única empresa, a la que podremos acudir cuando tengamos algún problema. En cambio si tenemos dispositivos de muchos fabricantes mezclados en nuestra red tendremos que recurrir a varias empresas para su mantenimiento y servicio técnico, lo que supone más tiempo de administración y por lo tanto más dinero gastado.

En general podemos concluir que la calidad de las máquinas y dispositivos de red son directamente proporcionales a su precio. No podemos llevarnos a engaño, podemos encontrar gangas de dispositivos muy fiables por precios asequibles, pero si tenemos un sistema crítico sobre el que debemos realizar consultoría de seguridad aconsejaremos la instalación de los mejores equipos que podamos permitirnos, con la mayor redundancia, las mejores certificaciones y el mejor servicio técnico posibles. Siempre suele ser posible encontrar un punto medio entre el presupuesto que se quiere dedicar a instalar hardware y la calidad del hardware que vamos a aconsejar, es trabajo del consultor el distribuir estos recursos de forma que los dispositivos más críticos sean los de mayor calidad, compensando con una calidad algo menor en los dispositivos menos críticos. Para elegir que dispositivos corresponden a cada grupo deberemos estudiar el sistema en su conjunto, el uso que se va a realizar de él, los puntos de fallo y la repercusión que un supuesto fallo en el hardware tendrá en la productividad de la empresa, que es al final lo que debemos proteger.

Otro aspecto donde el consultor debe ser inflexible es en la monitorización del hardware, sobre todo de los servidores y de los dispositivos de red. Se recomendará la adquisición de software de monitorización de redes y de hardware que permita esta monitorización. Para el hardware el sistema más común de monitorización es el SNMP, que permite mediante software como Netview de HP la monitorización del estado del hardware, de como está funcionando y de los parámetros que puedan afectar al tiempo medio entre fallos de este hardware. La monitorización del hardware es un punto que se suele olvidar en la seguridad física y que es fundamental, porque nos permite predecir fallos antes de que estos se produzcan o detectarlos inmediatamente cuando estos se producen, porque no podemos engañarnos, tarde o temprano cualquier hardware fallará, y es fundamental que estemos preparados para este fallo. Para el caso de que el fallo se produzca lo único eficaz es contar con una política creada para la sustitución o mantenimiento del hardware de la forma más rápida y eficaz, política que debemos crear antes de que se produzca el fallo, puesto que cuando el fallo se produce el descontrol que se produce puede llevarnos a un mayor tiempo de caída del sistema si no tenemos muy claro los pasos a seguir para sustituir o mantener un determinado sistema hardware.

Para el consultor de seguridad física los portátiles no suelen ser un gran problema, al menos no mayor que cualquier otra máquina del sistema, pero para la seguridad informática los portátiles son un verdadero quebradero de cabeza.

Comenzamos con la seguridad física. Debemos tener en cuenta la portabilidad de estos dispositivos, lo que los hace susceptibles de ser robados con facilidad, sobre todo cuando se encuentran fuera de la empresa. Debe crearse una política de uso y responsabilidad para las personas que utilizan ordenadores portátiles de la empresa y sobre todo para las personas que tienen que llevarse estos dispositivos fuera de la empresa. Lo más importante, aparte del valor económico de los portátiles, son los datos que pueden contener, datos que en muchos casos pueden ser importantes e incluso vitales para la empresa. Por eso debe responsabilizarse seriamente a los usuarios de los portátiles que sacan de la empresa, manteniendo un control de entradasalida de estos dispositivos y de la integridad física de los mismos. En caso de robo el usuario debe comunicar con absoluta inmediatez a la empresa el evento que se ha producido, para que esta pueda minimizar los riesgos que implica el robo de los datos que ese portátil pueda contener. Como regla general los portátiles que deban abandonar la empresa no deberían contener ningún tipo de dato importante o comprometido para la empresa, en caso de que el usuario necesite acceso a estos datos pongamos desde su domicilio particular puede ser más conveniente la instalación de una linea ADSL/DSL/Cable y que conecten de forma segura a los servidores de la empresa y trabajen de forma remota. Si el usuario debe de usar estos dispositivos en otras empresas o en trabajos de campo deberán protegerse de todas las formas posibles los datos críticos que puedan contener, encriptándolos con sistemas seguros y permitiendo sólo el acceso al trabajador por medio de claves intransferibles de las que este deberá ser responsable.

Como el equipo está en manos del usuario y además alejado de la empresa y por tanto de los administradores y encargados de seguridad el hardware tiene muchas posibilidades de ser manipulado. El usuario puede conectar todo tipo de dispositivos a él, puede sacar el disco duro y replicarlo o cambiarlo por otro, puede modificar el hardware por medio de tarjetas PCMCIA (PCCARD) y mil cosas más. La única solución es la responsabilización de forma seria del usuario de la integridad física de la máquina, teniendo una política muy clara de lo que el usuario puede hacer o no hacer con el ordenador.

Otro punto a tener en cuenta y que no es el tema de este documento es la seguridad informática. Aquí los administradores de sistemas tienen un verdadero problema, puesto que los portátiles que salen de la empresa suelen volver a ella repletos de virus, software no deseado, errores cometidos por el usuario o simplemente con programas y datos borrados. Para protegerse de este tipo de eventos hay dos soluciones, una de ellas es el adquirir software antivirus, firewalls personales, software de control de acceso al portátil que impida la instalación de software y medidas similares; la otra opción es el control a la salida del portátil de su contenido por medio de un backup, que se volverá a comprobar cuando el portátil vuelva a la empresa para comprobar la integridad de los datos. Estos métodos proporcionarán una mínima seguridad, aunque siempre estaremos expuestos a todo tipo de manipulaciones del software.

Aunque este tipo de dispositivos son poco usados hoy en día por su fácil detección debemos hacer un estudio al menos básico de que no existan ningún tipo de aparatos de este tipo ni en las máquinas de usuario ni en la red.

Los keycatchers son dongles que se interponen entre el teclado y el ordenador para captar las pulsaciones del usuario, grabando los datos que se introducen, buscando sobre todo la adquisición de claves que el usuario pueda teclear. Son dispositivos aparatosos y fáciles de detectar, aunque también son fáciles de instalar y volver a quitar. Un dispositivo de estos simplemente instalado diez minutos en la máquina de trabajo del personal de un banco puede proporcionar al hacker las claves para acceder al sistema interno de la empresa, números de tarjetas de crédito, números de cuenta y otro tipo de datos secretos. Esto es desastroso para la empresa, así que deberá estudiarse las conexiones entre teclado y ordenador para detectar estos dispositivos, aunque como hemos dicho cada vez son menos comunes y poco útiles para un supuesto intruso.

Hay muchos otros sistemas de captación de datos. Desde dispositivos que se intercalan en el cable de red y graban los datos en bruto que luego se pueden decodificar y estudiar (estamos hablando de hacking casi a nivel militar, no se asusten) hasta simplemente un intruso conectando un portátil a un puerto de un switch que replique todo el tráfico y un sniffer para obtener los datos y passwords que circulen a través de la red. Este tipo de dispositivos pueden ocultarse en la empresa y permanecer inadvertidos mandando datos al hacker que los ha instalado durante cierto tiempo, por lo que deberán ser una preocupación. Otro tipo de dispositivos temibles son los que captan datos de redes wireless, que pueden decodificar el sistema de encriptación WEP y hacer sniffing de la red obteniendo datos y passwords. A nivel militar existen dispositivos de captación de datos mucho más sofisticados, que pueden incluso captar las comunicaciones de un cable sin tener conexión física con este, simplemente con el campo magnético que genera y cosas así, pero no son dispositivos de los que debamos preocuparnos a no ser que seamos una agencia gubernamental o la sede de una multinacional.

Los concentradores y las bocas de red suponen un peligro inmediato de seguridad física, pues cualquier intruso con un portátil o un aparato de mano con una tarjeta compactflash de red puede conectar a cualquiera de ellas y probablemente obtendrá una dirección IP y conexión a la red interna de la empresa. Debemos estudiar por tanto las bocas de red que no estén ocupadas (y las que estén ocupadas y puedan ser desconectadas y usadas) y los concentradores que tengan conexiones libres. Para el caso de los concentradores el mantra es el mismo de siempre, deben estar en armarios o racks cerrados donde solo los administradores de red tengan acceso a ellos. Para las bocas de red es más complicado. Si tenemos una red fija y no tenemos perspectivas de tener que instalar nuevas máquinas a menudo lo más aconsejable es desconectar todas las bocas de red que no estén siendo usadas para que nadie pueda conectar a ellas. Si tenemos que instalar una nueva máquina o necesitamos otra boca de red vamos al rack y conectamos el cable que da conectividad a la boca de red en cuestión. Tener todas las bocas de red conectadas es tener accesos libres a la red repartidos por toda la empresa que cualquiera puede usar, incluido un supuesto intruso.

Para las bocas de red que están siendo usadas por los usuarios deberemos monitorizar e identificar de alguna forma las máquinas que deben estar en cada red, o asignarlas las direcciones IPs y la conectividad por medio de las direcciones MAC de las tarjetas, esto nos avisará o prevendrá el que un supuesto intruso desconecte una máquina y conecte un portátil o un dispositivo de mano y acceda a la red. Es trabajoso mantener en el servidor DHCP o en los concentradores todas las direcciones MAC de las tarjetas de red en las maquinas de usuario, pero esto nos asegurará que sólo las máquinas que nosotros deseamos tendrán acceso a nuestra red.

En todo el manual hemos explicado que para asegurar el hardware no hay nada más eficaz que la redundancia de sistemas. Una de las formas más comunes hoy en día de redundancia de sistemas son los clusters de máquinas de alta disponibilidad. Estos sistemas se componen de dos o más máquinas que cumplen exactamente la misma función y que comparten los datos sobre los que trabajan por medio de un bus compartido SCSI o un canal de fibra conectados a un sistema de almacenamiento que permite el acceso compartido por varias máquinas. La idea es que uno de los sistemas cumple la función encomendada al sistema, sea como servidor de aplicaciones, de bases de datos, servidor web o cualquier otro cometido. Si este sistema falla el otro detecta el fallo por medio de un enlace mantenido por medio de una red y/o un enlace nullmodem por puerto serie denominado heartbeat, al detectar el fallo el segundo sistema toma la dirección IP del primero y lo sustituye en la tarea que este estuviera realizando. Es un sistema ideal para asegurar la disponibilidad de un servicio determinado, y suele ser más barato mantener un cluster de dos máquinas que tener una máquina con todos sus subsistemas redundantes.

Los sistemas de alta disponibilidad son cada vez más populares, en parte por su gran fiabilidad y relativamente bajo costo y también por la disponibilidad de software libre que permite el montaje de estos sistemas por un precio asequible a la mayoría de empresas. Estos sistemas deben complementarse siempre con la redundancia que podamos permitirnos a nivel de cada máquina, como UPSs, dobles fuentes de alimentación o discos montados en RAID.

Aunque los sistemas de alta disponibilidad no son la panacea para la seguridad física (nada lo es) podemos asegurar que son uno de los métodos más eficaces para proveer de una redundancia en el hardware de forma eficaz y relativamente económica. Además son fáciles de montar y administrar e incluso existen empresas dedicadas al montaje de software preconfigurado para funcionar en sistemas de alta disponibilidad, como firewalls, bases de datos o sistemas similares.