Seguridad Fisica COMO - La seguridad física del hardware (III)

La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un consultor de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado. En principio tendremos también en cuenta lo comentado para las bocas de red y los conectores, que son también parte del cableado.

Para comprobar la red existen aparatos diseñados para esta tarea, que nos permitirán comprobar los cables para ver si tienen algún tipo de problema. También deberemos comprobar que el cableado cumple las normativas necesarias y que tiene la calidad necesaria, normalmente CAT5 o CAT7. Para el cableado coaxial grueso o fino deberemos usar otro tipo de aparatos para comprobarlos y deberemos comprobar sus características eléctricas y las de los terminadores y dispositivos "T" que conectan las máquinas. Como cada vez son menos comunes no hablaremos mucho de ellos. Para evitar el posible seccionamiento del cableado de red lo mejor es entubarlo o integrarlo en la estructura del edificio. Muchos edificios tienen paneles desmontables dentro de los cuales se puede alojar el cableado de red, pero deberá asegurarse que no son fácilmente desmontables o cualquiera podría abrirlos y seccionar el cable. Para los cables de fibra óptica deberemos estudiar la posibilidad del seccionamiento del cable, las características ópticas de este (para esto necesitamos instrumental al efecto, puede ser necesario contratar a un especialista) y vigilar que este tipo de cables que suelen ser frágiles no estén acodados o doblados excesivamente.

Los dispositivos Tap son un caso similar al que comentábamos para los keycatchers y máquinas conectadas a las bocas de red. Tienen un problema añadido, y es que estos dispositivos permiten leer el tráfico de una red sin tener que emitir ningún tipo de dato en la red, por lo que son en principio indetectables a nivel de seguridad informática. Se suelen usar para instalar dispositivos IDS stealth (Detectores de intrusos no detectables como máquinas de la red) y para hacer sniffing de la red sin ser detectados. Son muy útiles para el administrador de sistemas, pero pueden volverse contra nosotros si un supuesto intruso malintencionado lo instala en nuestra red. Estos dispositivos pueden funcionar incluso sin una dirección IP asignada, y con todo pueden estudiar los datos que pasan por la red a la que están conectados, sobre todo si se conectan al puerto que replica los demás puertos de un concentrador. Para evitar esto solo tenemos dos opciones, una de ellas es limitar de alguna forma las direcciones MAC a las que se envían los datos, ya sea por medio de los concentradores o por medio de la VLAN, la otra es la vigilancia intensiva de que este tipo de dispositivos no se inserten en las bocas de red desocupadas y sobre todo en los concentradores. De todas formas si hemos tomado las medidas aconsejadas más arriba para los concentradores es poco probable que un intruso pueda introducir un Tap y un portátil para obtener datos de nuestra red.

Hablaremos aquí sobre la monitorización física de los equipos y dispositivos de red. Es aconsejable de vez en cuando realizar una inspección física de todo el hardware instalado en la empresa, buscando todos los puntos de fallo y errores que comentamos en este documento y cualquier otro que podamos encontrar o que se nos ocurra. Es una tarea que no lleva demasiado tiempo y que puede suponer la diferencia entre tener una red y un hardware seguros o no tenerlos. Si tenemos personal de vigilancia con la capacidad técnica para realizar esta tarea se les puede encargar a ellos, en caso contrario uno de los administradores o encargados de la seguridad deberá realizar una ronda de vigilancia de los equipos cada cierto tiempo para comprobar que todo está como debe estar. No es necesario la contratación de personal de consultoría para realizar este tipo de estudios o vigilancias rutinarias del hardware, basta con detectar los fallos más evidentes y tener el sistema actualizado y en un estado conocido.

Es aconsejable la implantación de una política de seguridad física del hardware que debe cumplirse, pero tan importante como imponer esta política es la monitorización de que esta política se cumple y que el hardware cumple las medidas de seguridad física que hayamos decidido.

Tan importante como el aseguramiento del hardware es su monitorización, es algo en lo que ya hemos insistido. Existen varios sistemas de monitorización del hardware, algunos de ellos estándar como el SNMP o el SMART y otros específicos del hardware que tengamos instalado. Buscaremos siempre sistemas de monitorización que puedan funcionar a través de la red y sobre una única consola que nos permita tener todo el hardware controlado, existe software de este tipo que nos permitirá ir añadiendo las características del hardware que vayamos instalando.

Sobre el SNMP debemos decir que es el sistema estándar de monitorización de hardware. Casi cualquier máquina o dispositivo de red medianamente complicado proveerá de servicios SNMP para permitir la monitorización de todos sus parámetros. Además de los parámetros estándar que el protocolo prevee para todos los sistemas cada fabricante puede incorporar una serie de extensiones a este sistema y proporcionar los datos necesarios para que el sistema gestor SNMP pueda monitorizar estos sistemas. Incluso pueden proveer las llamadas traps, que son avisos que el hardware manda al sistema de monitorización para avisar de algún cambio en el hardware o error en el sistema, pasando así de un sistema principalmente pasivo como es el SNMP a un sistema activo que permite recibir avisos cuando es necesario.

Deberemos elegir hardware que soporte SNMP y que incorpore el máximo número de extensiones que permitan monitorizar el hardware en todos los parámetros posibles. En el caso de los dispositivos de red estos suelen contar con una lista incontable de parámetros a monitorizar, a veces tantos que pueden marear un poco al administrador poco avezado en estas lides. Un buen software de gestión de red resolverá el problema de tratar con montones de dispositivos de red con montones de parámetros a monitorizar, y un sistema de estos bien instalado y funcionando correctamente es una herramienta impagable para el administrador de sistemas. Entre los parámetros que se pueden monitorizar de estos dispositivos se encuentran todos los parámetros software como tráfico en los interfaces, estadísticas de tráfico, tipos de tráfico y cientos de parámetros más; luego tenemos los parámetros hardware, como velocidad de giro de los ventiladores, temperatura de la caja y de los dispositivos internos, tasas de fallo debidas al cableado o al mismo hardware y muchos parámetros más.

En los ordenadores es menos común encontrar SNMP, pero existen varios fabricantes que proporcionan agentes SNMP que permiten la monitorización de todos los parámetros del sistema. En cualquier caso siempre podemos optar por agentes software SNMP libres como los incluidos en los sistemas de software libre como Linux o FreeBSD, estos sistemas proporcionan monitorización de parámetros como el tráfico en los interfaces, estadísticas de uso del sistema y muchos más, además de ser programables y permitir la monitorización de prácticamente cualquier parámetro ya sea sobre el hardware o del funcionamiento del software del sistema. Es interesante contar con SNMP en las máquinas, sobre todo en los servidores y en las máquinas más críticas, pues estos nos permitirá el tener un sistema estandarizado para todo el conjunto del hardware y nos ahorrará tiempo de administración.

Respecto al software gestor de red que usa los datos SNMP para ofrecernos una vista completa de nuestro hardware debemos decir que suele ser caro y difícil de usar, pero que una vez instalado y controlado su funcionamiento su funcionalidad es impagable, pues permite monitorizar todos los parámetros de redes inmensas y a la vez nos permite reconfigurar dispositivos o realizar cambios en la misma estructura de la red. Un sistema de este tipo es OpenView de HP, que provee todas estas funcionalidades. Como software libre citaremos a OpenNMS que intenta ser una alternativa libre a los sistemas de gestión de red comerciales y que tiene a día de hoy una funcionalidad ya muy importante.

Otro tipo de sistemas de monitorización son los basados en tomar muestras, como por ejemplo Nagios, Big Brother y similares. Este tipo de sistemas puede usar también SNMP para monitorizar dispositivos de red y luego pruebas de otro tipo para monitorizar máquinas y servicios, comprobando la salud de estos y ofreciéndonos un vistazo rápido de nuestra red, de nuestros servidores y de los servicios que estamos proveyendo a nuestros usuarios o clientes. Es muy aconsejable la instalación de un sistema de este tipo, porque además de permitirnos estudiar nuestro sistema para ver fallos o máquinas caídas nos envía avisos mediante correo electrónico o pagers si alguno de estos sistemas o servicios falla.

Por último comentaremos los sistemas SMART, que son un sistema implementado en casi todos los discos duros modernos que nos ofrecen una cantidad ingente de datos sobre el funcionamiento de estos y sobre su vida útil. Los discos duros son los sistemas que probablemente más fallan en un ordenador, por contener partes mecánicas que están constantemente en movimiento. El sistema SMART está implementado en el hardware y puede ser leído por medio de software al efecto, informándonos de todos los parámetros de funcionamiento del disco duro y de parámetros como el tiempo estimado entre fallos o el tiempo estimado de vida del disco. Es aconsejable utilizar las utilidades al efecto para aprovechar la funcionalidad SMART de los discos duros, y poder así preveer fallos antes de que estos se produzcan. El poder saber que un disco duro va a fallar muy probablemente en un espacio corto de tiempo puede ser vital para replicarlo y sustituirlo por otro nuevo, evitando una gran cantidad de problemas de administración y posible perdida de datos.

El control remoto del hardware podemos verlo desde dos puntos de vista. El punto de vista hardware puro, donde estaríamos hablando de los sistemas SNMP que hemos comentado en el punto anterior o el punto de vista del software, que abarca una gran cantidad de servicios como TELNET, SSH, FTP/SCP/SFTP, Webmin y similares, etc.

En el caso de la seguridad física solo nos interesa la posibilidad de que alguien controle de forma remota nuestro hardware. Esto es cada vez menos común y no debe ser una gran preocupación para el consultor. Uno de los puntos a tener en cuenta es si existen modems conectados a las máquinas que puedan ser accedidos desde el exterior, y por supuesto la conectividad de red desde el exterior, pero estos son puntos más adecuados para el tratamiento por parte del personal de seguridad informática que por el personal de seguridad física.

Nuestra mayor preocupación será por tanto la ocultación dentro de la empresa por un intruso malintencionado de dispositivos como portátiles, pequeños ordenadores tipo Capuccino o similares conectados a nuestra red interna y que puedan servir a un atacante exterior para controlar nuestra red y por tanto nuestro hardware, aunque esta posibilidad es pequeña y casi poco plausible. Los sistemas de seguridad informática deberían detectar este tipo de dispositivos fácilmente y trazarlos hasta ser eliminados.

Se puede hablar también de control remoto del hardware cuando hablamos de virus, troyanos, gusanos o rootkits instalados dentro de la empresa, ya sea a través de la red pública o por usuarios mal formados o malintencionados. Estos sistemas proporcionan a un supuesto atacante exterior control sobre nuestro software y hardware, pero deberían ser fácilmente detectables por el personal de seguridad informática.

Aquí tenemos un punto verdaderamente importante dentro de la seguridad física. Hay que ser muy claros en este punto: Nadie que no sea parte del personal de administración de la red y del hardware debe tener acceso a los datos técnicos de la red y del hardware. Si alguien necesita acceso puntual a algún dato se investigará si realmente necesita ese acceso y se concederá el acceso en base a cada petición y con todas las reservas posibles.

Conocer los datos técnicos de la red y del hardware de un sistema proporciona a un supuesto atacante dos facilidades muy apreciadas por estos: La primera es la facilidad que el conocimiento del hardware y la estructura de la red proporciona para realizar ataques informáticos de todo tipo. La segunda es la posibilidad de usar estos datos para usarlos en ataques de Hacking Social, que son tan peligrosos como los ataques informáticos.

Para protegernos de este tipo de ataques debemos mantener la estructura de la red y del hardware (incluido marcas, software instalado, direcciones IP, MACs, etc) secretas o al menos bajo un control de acceso estricto. Uno de los primeros pasos que realiza siempre un hacker antes de atacar un sistema es estudiar la estructura de la red y de las máquinas que la componen. Si ya tiene estos datos tiene la mitad del trabajo hecho, y nosotros la mitad del sistema hackeado... Deberemos por tanto mantener los datos técnicos en armarios a tal efecto, y deberá pedirse permiso al personal de administración de red para acceder a ellos, proporcionando únicamente los datos imprescindibles y apuntando siempre quien ha solicitado los datos y para que. Un buen control de estos datos redundará en una mayor seguridad de todo el sistema. Por parte de los encargados de la seguridad informática deberán considerar cualquier intento de análisis remoto de la estructura de la red o de las máquinas como un intento de intrusión (no hablamos aquí de un simple escaneo de puertos, por supuesto, sino de ataques más sofisticados de recopilación de datos) y por tanto deberán comunicarlo a quien consideren necesario.

Otro peligro son los ataques de hacking social. Un intruso que ha obtenido datos técnicos muy concretos sobre la red de la empresa y sobre el hardware y los ordenadores de la empresa puede hacerse pasar por una persona del servicio técnico de cualquiera de las marcas con las que trabajamos o por personal de otro departamento, proporcionando estos datos a una persona del personal de administración o al usuario final puede convencerlo para que le proporcione otros datos, como claves de acceso o datos que puedan llevarle a conseguir un acceso remoto a nuestros sistemas. El hacking social debe ser considerado como una de las mayores amenazas para la seguridad de los sistemas hoy en día y el mejor arma que tiene un hacker social son los datos, sobre todo si se trata de datos técnicos que se suponen secretos o únicamente conocidos por el personal de la empresa.

No nos extenderemos excesivamente en este punto. Si su empresa necesita que los usuarios no se lleven datos de su empresa no los mantenga en la máquina del usuario. Así de simple. El consejo que un consultor en seguridad puede darle no es otro más que el que mantenga los datos en los servidores y que los usuarios trabajen sobre los datos de forma remota. Todos los demás sistemas son útiles pero no eficaces. Usted puede quitar de las máquinas de usuario las grabadoras de CDs, las disqueteras, incluso puede inventar un método para que no usen dongles USB o similares, pero puede estar seguro que un usuario decidido a sacar los datos de su máquina, ya sea por desconocimiento, para facilitar su trabajo o por simple malicia conseguirá hacerlo. Por eso lo mejor que puede hacer es no fiarse de ninguno de estos sistemas, simplemente mantenga los datos alejados del usuario final y así evitará que este pueda replicarlos.

Los dongles USB son como un dolor de muelas para los administradores de sistemas y los encargados de las seguridad del sistema. Para empezar tenemos lo que puede venir en ellos: virus, software pirateado, todo tipo de software o datos poco recomendables para un lugar de trabajo, juegos, etc. Luego tenemos todo lo que se puede llevar en ellos: datos de la empresa, software cuya licencia ha sido adquirido por la empresa, software bajado de internet, etc.

Si lo que más nos preocupa (tenemos antivirus, firewall, control de software, etc) es que el usuario pueda replicar datos y sacarlos de al empresa solo podemos hacer dos cosas, la primera y la que siempre recomendamos es mantener los datos lejos del usuario, la segunda es inhabilitar los puertos USB y los sistemas serie o paralelo, ya sea mediante métodos software o hardware.

Los puertos serie y paralelo no suponen un gran peligro, puesto que los dispositivos de almacenamiento que normalmente se conectan a ellos suelen necesitar en el sistema operativo Windows de drivers especiales, que podemos controlar que no se puedan instalar de diversas formas, sobre todo mediante software de control de instalación de software. Los dispositivos USB son un problema mayor, como ahora veremos.

Si estamos hablando de Software Libre como Linux o FreeBSD no hay mucho problema. El soporte USB de almacenamiento viene como módulos del kernel que pueden quitarse del sistema con lo que no se podrá usar dongles USB ni dispositivos de almacenamiento USB. Lo mismo para los dispositivos serie y paralelo. Este sistema es muy simple y es ideal para evitar este tipo de comportamientos.

Pero si hablamos de Windows el caso es diferente. Aquí es más complicado quitar los drivers de almacenamiento externo USB, sobre todo en Windows XP que incorpora de serie drivers para todo este tipo de dispositivos. Si es posible se quitarán del sistema los drivers para este tipo de dispositivos o se inhabilitará mediante software la instalación de nuevo hardware en el sistema (lo cual es un problema si tenemos impresoras o ratones y teclados USB que deben autodetectarse).

La solución más radical (y no por ello la más recomendable) es quitar el cableado de los puertos USB frontales que conectan a la placa base y ya puestos a cacharrear podemos incluso sellar o desoldar los puertos USB integrados en la placa base. Si no queremos realizar semejante chapuza podemos intentar desactivar estos puertos mediante switches o puentes en la placa base, pero esto no es siempre posible. Si queremos aislar de verdad el sistema siempre podemos comprar cajas de metacrilato cerradas que solo permiten la ventilación del sistema y no el acceso a este, pero estamos hablando ya de soluciones realmente radicales para un simple dongle USB...

Si me pregunta como consultor de seguridad física que puede hacer para mejorar su sistema de red mediante radiofrecuencia, sea este Wireless o Bluetooth mi primera respuesta sera: ¡Quítelo ya!

Puede ser un poco radical, pero tener un sistema que permite el acceso a los datos en bruto a cualquiera desde el exterior de la empresa y para el cual día a día aparecen más y más bugs y formas de saltarse la encriptación y la seguridad lo mejor es no usarlo. Si realmente necesita usarlo entonces mi consejo es que utilice las últimas tarjetas y puntos de acceso con la última tecnología disponible, tanto en Wireless como en Bluetooth, pues en ambos sistemas se han encontrado errores que permiten al menos el hacer sniffing de las redes desde el exterior de las empresas. De ahí el Warchalking del que hablábamos antes. Si ya tiene un sistema instalado y este es vulnerable asegúrese de que todas las conexiones que realice a través de la red inalámbrica sean seguras, usando SSH, SSL y similares, sino su sistema podrá ser comprometido.

Con los últimos sistemas lanzados y el nuevo WEP la seguridad ha mejorado, pero hace nada han salido varios bugs que permiten engañar a los sistemas Bluetooth y pueden estar seguros de que aparecerán otros bugs y formas de saltarse la seguridad de estos sistemas. Son sistemas demasiado golosos para los hackers como para que estos no estudien mil y una formas de romperlos. Es muy cómodo ponerse con un coche y un portátil al lado de una empresa y conectarse a la red de esta y realizar cualquier cosa como usar su ancho de banda para realizar ataques de denegación de servicio o Dios sabe qué. Mi consejo: Evítelas si puede.

Para los dispositivos de mano solo debemos decir que deben tomarse exactamente las mismas medidas que para los portátiles, aunque teniendo en cuenta que normalmente no contienen datos tan críticos para la empresa como los portátiles, aunque son mucho más fáciles de robar. Es bastante común este caso, el robo de un dispositivo de mano con todos los datos de un empleado, que luego pueden ser usados para realizar hacking social, pues suelen contener números de teléfono internos de la empresa, datos sobre la empresa y en los casos mas aterradores incluso passwords de acceso a los sistemas.

Lo mejor que se puede hacer es aconsejar a los empleados el no mantener nunca datos importantes en este tipo de dispositivos, sobre todo passwords de acceso, y el aconsejar también que si uno de estos dispositivos es robado o perdido se realice un informe para el empresa donde se indique al personal de seguridad que datos susceptibles de ser usados para hacking social o informático pudiera contener el dispositivo.

El caso es el siguiente: Contratamos a un consultor externo o a personal de mantenimiento para realizar una serie de acciones sobre nuestro hardware. ¿Como nos aseguramos que únicamente va a realizar las manipulaciones para las que le hemos contratado y no otras? Es sencillo, lo único que debemos hacer es tener un formulario que el personal externo deberá firmar y donde se especificará la fecha de la manipulación, la manipulación exacta que se le permite hacer y si es necesario también lo que no se le permite hacer. De esta forma aseguramos que la persona que trabaje sobre nuestros sistemas no va a realizar más manipulación que la contratada.

Siempre es conveniente que una persona del personal de administración esté presente cuando se realice cualquier mantenimiento o consultoría sobre sistemas críticos de la empresa, pues así podrá vigilar que las acciones realizadas son las correctas e incluso podrá asesorar al consultor o personal de mantenimiento si este tiene algún tipo de duda sobre el sistema.