La seguridad física del hardware es el último punto a estudiar por un consultor de seguridad física. En nuestro método de ir de lo global a lo específico llegamos ahora a la parte más específica del sistema, al propio hardware. Aquí la seguridad física se torna más ardua, puesto que los sistemas informáticos suelen estar cercanos al usuario final o al mismo administrador, por lo que están expuestos a un mayor peligro de mal uso o uso malintencionado. Puesto que aquí no podemos confiar plenamente en el cumplimiento de políticas o normativas de uso de las máquinas y como estas máquinas están más expuestas a intrusos ajenos al personal de la empresa que hayan superado los controles de acceso de niveles superiores debemos configurar estas máquinas y dispositivos de red de forma que sea lo más complicado posible el realizar manipulaciones sobre ellos, tanto a nivel físico como a nivel informático siempre que sea posible.
Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y en algunos casos incluso a los dispositivos de red. Cuando el usuario debe usar el hardware directamente, como usando disqueteras, CDROMs o similares la máquina que alberga estos dispositivos debe estar cercana al usuario. Lo mismo es aplicable para los servidores y dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que tener normalmente acceso físico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las aplicaciones que han de correr los usuarios finales el mantener al menos los servidores y los dispositivos de red lejos del usuario final, en racks, armarios o centros de datos. Los usuarios podrán acceder a sus datos a través de la red local y mantener los datos importantes a salvo, aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo. Los sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones pueden ayudar en esto.
Por tanto la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina donde el usuario va a trabajar. Deberemos instar al personal de administración para que organice el sistema de forma que los usuarios finales trabajen directamente sobre servidores de ficheros y servidores de aplicaciones, manteniendo así los datos a salvo de errores o manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional en hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas en su constitución y más sencillas de administrar.
Sobre los racks y armarios ya hemos hablado bastante. Tengamos en cuenta todo lo que hemos comentado sobre su entorno, su localización y las consideraciones que debemos tomar para su adquisición y montaje. Además de todo esto debemos tener en cuenta que estos armarios y racks deben contener máquinas y dispositivos de red, y que esto implica otro nivel de seguridad física que debemos estudiar. En concreto deberemos estudiar que máquinas se incluyen en que racks y lo mismo para los dispositivos de red. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil. Si mantenemos en un rack los servidores de ficheros, en otro los de aplicaciones y en otro los dispositivos de red tendremos la seguridad de que un supuesto intruso no podrá trucar nuestra red para acceder con los permisos de unas máquinas a otras.
Hay que tener especial cuidado con los racks que contienen dispositivos de red, pues con la actual tendencia a construir VLANs por medio de concentradores que implementan este servicio podemos tener el peligro de que un usuario realice cambios en el cableado de red y tenga acceso a redes a las que no debería tener acceso. Es muy importante también el proteger en los concentradores los puertos donde se pueden conectar sniffers de red, pues proveen a un supuesto intruso de un arma imbatible para obtener datos de nuestra red. Lo mismo es aplicable a las conexiones serie que puedan tener estos dispositivos y que nos permitan la administración remota de los dispositivos, pues la seguridad del control de acceso en estos puertos no suele ser tan fuerte como cuando se accede mediante telnet o interface web.
Las cajas de las computadoras suelen ser un quebradero de cabeza para todo consultor de seguridad física, porque nos vienen impuestas por el hardware que se ha adquirido y es difícil el convencer a una empresa de que las cambie por otras más seguras.
La caja normal de una computadora no provee ningún tipo de seguridad contra un supuesto acceso a su interior por un intruso, todo lo contrario, cada vez se hacen más fáciles de abrir... Hay varias soluciones que se pueden aplicar para mejorar la seguridad de estos sistemas. La primera y más simple sería el sellado de la caja, que al menos nos alertará si algún intruso ha accedido a su interior. Deberá instruirse al personal de mantenimiento para que ponga y quite los sellos cuando tengan que realizar algún tipo de manipulación dentro de la caja. Otra solución es el taladrar y poner un candado o sistema similar en la caja que impida su apertura, aunque esto es difícil, puesto que lo que suele buscar un supuesto intruso son los datos contenidos en el disco duro, y para eso con abrir parcialmente la caja le basta. Se puede sellar con silicona los tornillos de la caja o todo el borde de la tapa para impedir su apertura, pero esto será un problema si tenemos que realizar cualquier tipo de mantenimiento dentro de la caja. Otra opción más radical todavía (pero no inverosímil) es la soldadura de la tapa de la caja con el armazón, esto asegurará la seguridad de la caja, pero si hay que realizar algún tipo de mantenimiento...
Otra opción es la adquisición de cajas más seguras. Varias compañías venden cajas que tienen cerraduras y sistemas de anclaje de la tapa con el armazón que proporcionan una seguridad considerable contra intrusos. Aquí el único punto débil es la cerradura, que deberá ser segura, como ya indicamos anteriormente. También se puede usar cajas de metacrilato fabricadas a medida para nuestros sistemas. Estas cajas se pueden obtener de varios fabricantes con cualquier tipo de características, sobre todo si encargamos la suficiente cantidad, y pueden estar protegidas mediante llaves contra su apertura. El metacrilato es muy resistente si es lo suficientemente grueso y permite dejar aperturas para el uso de CDROMs, disqueteras y similares. Es una opción engorrosa y difícil de mantener, por lo que se optará siempre que se pueda por cajas seguras antes que por sistemas hechos a medida.
Todas estas opciones son parches para el problema principal, que es el mantener datos importantes en una máquina expuesta al usuario final y a posibles intrusos. La opción correcta es mantener estos datos en lugar seguro (un servidor de archivos dentro de un armario o rack) y que el usuario trabaje de forma remota sobre estos datos, con lo que la seguridad física del ordenador del usuario final será poco importante.
La seguridad que proporcionan las passwords de bios es una seguridad absolutamente ficticia. Muchos administradores confían ciegamente en la seguridad de los sistemas asegurados mediante passwords de bios, sobre todo cuando se intenta impedir el arranque desde disquetera o desde CDROM. Esto es un grave error. La seguridad que proporciona el password de bios es mínima si no tenemos una seguridad física suficiente sobre el sistema en cuestión. Si un intruso consigue abrir la caja del ordenador puede simplemente activar el puente de borrado de la bios y nuestro password se borrará, o puede simplemente llevar un bios igual al del ordenador en cuestión y montarlo en el zócalo. Incluso se han dado casos de llegar a desoldar el bios de un ordenador y soldar el nuevo para saltar el password.
Por todas estas técnicas y por muchas otras que existen simplemente no debemos confiar en los password de bios. Si alguien tiene acceso al interior de nuestra máquina podrá hacer lo que quiera con ella. Puede borrar el bios, cambiarlo por otro, instalar una disquetera o un CDROM, una grabadora de CDs, cualquier cosa. La seguridad física de la caja por tanto es fundamental si queremos asegurar que la configuración de la máquina no va a ser cambiada.
No nos cansamos de decirlo. Si tiene datos importantes manténgalos alejados de las máquinas de usuario o de cualquier máquina a la que pueda tener acceso un intruso malintencionado. Es la única forma de mantener sus datos a salvo.
Habiendo comentado ya el problema que existe con la poca seguridad que proporciona el bios de los ordenadores el equipamiento hardware que implementemos en la máquina no va a proporcionarnos más seguridad. No vale que no instalemos disquetera ni CDROM ni grabadora de CDs, y que deshabilitemos en el bios la detección de estos. Si alguien tiene acceso físico al interior de la caja del ordenador siempre podrá cambiar el bios y luego instalar su propia disquetera, CDROM o grabadora de CDs, por no hablar del acceso directo al disco duro, que puede sacar, clonar con herramientas como Norton Ghost y luego volver a dejar en su sitio sin que nadie se de cuenta de que se ha replicado la información de la máquina.
Por lo tanto la ausencia de hardware en las máquinas no proporciona una seguridad mayor a las máquinas. Puede proporcionarla contra el intruso sin el tiempo suficiente para realizar cambios en el bios, pero si el intruso tiene suficiente tiempo podrá instalar su propio hardware y hacer lo que desee con nuestra máquina.
Hemos tratado ya el acceso al interior de las cajas de los ordenadores, que es un tema complicado. Más complicado aun es el acceso a los equipos de red, sistemas servidores de archivos, sistemas NAS, sistemas servidores de aplicaciones y similares. Estos equipos normalmente no son modificables, y suelen venir con cajas muy poco resistentes y poco preparadas para aguantar el maltrato al que un supuesto intruso podría someterlas. En la mayoría de los casos estos sistemas son de fácil apertura, pues suelen ser ampliables y se busca siempre una fácil ampliación, lo que es bueno para el personal de mantenimiento y administración, pero malo para nosotros como consultores de seguridad física.
La repercusión sobre la seguridad de la apertura de un NAS (Servidor de Almacenamiento) puede ser desastrosa. Todos los datos de trabajo de la empresa pueden quedar a disposición de un intruso. Muchos de estos sistemas tienen discos duros estándar, que pueden ser replicados con un portátil mediante Norton Ghost o similares y devueltos al sistema NAS sin que nadie detecte lo que ha ocurrido. Esta es la pesadilla de un administrador de seguridad, todos sus datos replicados sin haber dejado ninguna pista. Lo mismo es aplicable para otro tipo de servidores, y algo similar ocurre con los dispositivos de red, que pueden ser alterados una vez abiertos para cambiar la configuración, borrar las claves de acceso y muchas manipulaciones similares.
Insistimos. Lo único que nos salvará de este tipo de ataques de fuerza bruta (nunca mejor dicho) es el mantener este tipo de máquinas críticas protegidas en racks cerrados, en armarios bajo llave o en centros de datos con control de acceso. No hay más magia que esta, no busque soluciones esotéricas a problemas ya solucionados.
Al igual que insistimos en mantener los datos en lugar seguro lejos del usuario final o de un supuesto intruso no podemos dejar de insistir en la necesidad de redundancia o alta disponibilidad en los sistemas críticos y en las máquinas que proporcionen almacenamiento. Es fundamental poder acceder a los datos siempre que sea necesario, y la única forma de asegurar con un porcentaje aceptable de seguridad que nuestros datos estarán disponibles es proveer algún tipo de redundancia para estos datos.
Lo más aconsejable para este tipo de sistemas es la instalación de sistemas de alta disponibilidad, donde varias máquinas proporcionan la misma funcionalidad y se sincronizan permaneciendo siempre todas en el mismo estado. Si la máquina que está proporcionando el servicio falla otra de las máquinas del clúster ocupa su lugar y el sistema puede seguir funcionando. Normalmente el sistema avisa a los administradores de este tipo de eventos para que solucione el fallo en la primera máquina. Con un cluster de dos o tres máquinas proporcionando la misma funcionalidad podemos obtener tasas de fiabilidad muy altas, sobre todo cuando hablamos de integridad de datos. La replicación de los datos de un servidor de archivos principal en otros servidores de archivos secundarios (preferentemente alojados en otro edificio) es otra opción recomendable para proporcionar seguridad física en los sistemas de almacenamiento o en servidores de aplicaciones. La diferencia con los sistemas de alta disponibilidad es que estos sistemas no se sustituyen unos a otros automáticamente, solo mantienen una copia de los datos a buen recaudo en otro servidor por si es necesario acceder a ellas. Si puede instale un sistema de alta disponibilidad. Pero si su presupuesto no se lo permite programe copias de seguridad en servidores localizados lejos del servidor principal a través de la red para no perder nunca datos.
Siempre existe la posibilidad de que un intruso se apodere de uno de los sistemas y obtenga los datos de esa máquina, por lo que la seguridad física e informática de este tipo de máquinas es crítica.
Los sistemas de backup son una necesidad inexcusable hoy en día en cualquier empresa que maneje una cantidad de datos medianamente grande. Teniendo esto en cuenta y suponiendo que disponemos de un sistema de backup fiable debemos tener en cuenta otra serie de consideraciones.
La primera es la seguridad física de los backups, de la que ya hemos hablado, y para la que optábamos como mejor solución la que aconsejaba mantener los backups lejos de los sistemas que contienen los datos de los que hemos hecho backup.
La segunda es la seguridad física de las máquinas de backup, para las que deberemos tener las mismas medidas que para los servidores de archivos: Mantener más de una máquina de backups, sistema centralizado de backups alojado en un rack o armario seguro, monitorización de las máquinas de backup, etc.
Una cuestión a tener en cuenta con los sistemas de backup es la seguridad física de los medios donde se realizan los backups. Las cintas de backup pueden ser afectadas por los campos magnéticos fuertes, los discos ZIP también, los discos duros fallan y soportan mal los golpes y los movimientos bruscos y los CDs tienen una vida corta y son más bien delicados. Deberán tomarse las medidas necesarias para proteger físicamente los medios donde se realizan los backups, teniendo en cuenta las consideraciones propias para cada medio. Tradicionalmente los medios más seguros para hacer backups han sido las cintas de backup y cintas DAT, pero esto siempre puede cambiar.
De nada sirve hacer backups si cuando los necesitamos no funcionan. Debemos comprobar que los backups que hemos realizado pueden ser restaurados correctamente, o estaremos confiando en un sistema que no podemos asegurar que funciona correctamente.
Los sistemas UPS son imprescindibles en la seguridad física de un sistema informático. La mayoría de los sistemas operativos responden mal a las caídas repentinas y puede producirse perdida de datos importantes si no se usan sistemas de archivos con Journaling como Ext3, Reiserfs, XFS, JFS o similares.
Es complicado decir que es más conveniente, si mantener un gran UPS que alimente un grupo de máquinas, por ejemplo un rack o un armario con muchos dispositivos o si tener varios UPS que proporcionen alimentación a menos máquinas. El UPS puede convertirse en un punto del fallo del sistema, pues si falla todo el sistema se vendrá abajo. Los grandes UPS suelen ser más seguros, proporcionan mayor autonomía y protección, pero en el hipotético caso de que fallen nos dejan con todo el sistema caído. Los UPS más pequeños no tienen tantas características pero cumplen bien su cometido. El presupuesto también será un punto a tener en cuenta para la elección de una u otra opción, pues un gran UPS es bastante más caro que varios UPS pequeños.
Es importante ubicar los UPS dentro de los racks o armarios, donde no puedan ser desactivados por un supuesto intruso o por un fallo de un usuario o administrador.
Igual que aconsejamos la redundancia a nivel de máquinas para todo el sistema en general debemos aconsejar también la redundancia a nivel interno de hardware. Hoy existen ordenadores que incorporan dos fuentes de alimentación, varios discos duros montados en RAID, e incluso dos placas base. Los dispositivos de red también incorporan redundancia en una forma similar. Todo este tipo de funcionalidad es muy beneficiosa para la seguridad física del sistema en general, pues permite que parte del hardware falle sin que el sistema caiga. Debemos tener en cuenta que este tipo de sistemas son caros, y que a veces los sistemas de alta disponibilidad construidos con varias máquinas pueden ser igual de eficientes y más económicos que los sistemas redundantes a nivel de hardware.
El caso del RAID es diferente. Hoy por hoy cualquier servidor corporativo debería incorporar algún tipo de RAID, ya sea RAID 0, RAID 1 o RAID 5, sobre hardware o sobre software. Con el precio continuamente decreciente de los discos duros podemos permitirnos un sistema de RAID basado en software sobre un sistema IDE por un precio realmente bajo, y esto nos proporcionará redundancia en el hardware sin aumentar excesivamente el presupuesto.
La redundancia a nivel de red, incluida la conectividad a redes públicas como Internet o a redes corporativas privadas entre empresas debe ser hoy en día una de las mayores preocupaciones de un consultor de seguridad física. La mayoría de los tiempos muertos que se producen en el trabajo diario en la mayoría de las empresas se deben a fallos en la red o en la conectividad a Internet. Esto es especialmente crítico cuando hablamos de terminales de usuario final que permiten el trabajo remoto sobre servidores empresariales, como es el caso de los nuevos terminales implantados en bancos, sistemas de pago o facturación e incluso aplicaciones remotas tipo Citrix y similares.
Deberemos estudiar en primer lugar la conexión global a las redes públicas como Internet o en su caso si esta existe la conexión privada que entre distintos edificios o departamentos de la empresa existan. Para garantizar la conexión a Internet o una conexión privada sobre redes públicas no hay mejor consejo que la utilización de diferentes medios de conexión a la red mediante diferentes proveedores. El número de conexiones redundantes y el número de proveedores que deberemos contratar dependen enormemente del tiempo que podamos permitirnos tener la red sin conexión. Para asegurar una conexión normal en una empresa suele bastar la contratación de dos lineas independientes con dos proveedores diferentes, mediante ADSL/DSL, cable o lineas dedicadas. Deberemos estudiar al contratar el servicio la seguridad que nos ofrece la compañía en cuestión sobre la disponibilidad del servicio. En las lineas ADSL normales el contrato que se suscribe suele especificar que la compañía puede mantener sus lineas caídas durante un cierto espacio de tiempo sin que por ello tenga que indemnizar al usuario final por ello. Deberemos huir de este tipo de contratos, buscando contratos que aunque sean más caros nos aseguren una cierta disponibilidad de la conexión, o al menos que incluya indemnizaciones por cortes de conexión, lo que redundará en una mayor implicación del proveedor de conexión en asegurar la conectividad.
Es importante comprobar que las redes físicas sobre las que contratamos los proveedores sean diferentes, pues es bastante común que los proveedores de conectividad a Internet usen el mismo cableado de una compañía, sea esta pública o privada. En este caso tendremos un punto de fallo importante a tener en cuenta, pues si hay un problema en el cableado las dos lineas contratadas quedaran inutilizadas. En casos muy críticos puede ser incluso necesario la contratación de lineas privadas o enlaces propios de la empresa, como conexiones entre edificios mediante microondas. Los enlaces de microondas son una forma segura de comunicación entre edificios corporativos y son cada vez más usadas por las empresas, aunque debemos tener en cuenta que son caras, que necesitamos tener visibilidad entre las sedes que queremos comunicar y que necesitaremos gran cantidad de permisos para obtener la licencia de emisión. Una vez funcionando los enlaces de microondas pueden ser controlados por la misma empresa o por una empresa contratada y son fiables y resistentes a condiciones climáticas adversas o situaciones similares.
La idea general para proporcionar la conectividad a redes públicas o privadas dentro del edificio es mantener más de una opción de conectividad, de forma que si una falla tengamos otra u otras disponibles para mantener las conexiones. Siempre es posible mantener lineas privadas que suelen ser caras y complementar estas con lineas públicas como el ADSL/DSL/Cable para soportar el tráfico que pueda producirse si la linea principal cae. Existen sistemas de enrutadores que pueden utilizar todas las conexiones que tengamos disponibles al mismo tiempo, proporcionando un gran ancho de banda, pero que pueden seguir funcionando si alguna de las conexiones cae.
Para las redes departamentales y locales deberemos buscar también una cierta redundancia en la conexión con la red troncal de la empresa y por tanto con los enrutadores que proporcionan la conectividad con el exterior. Puede ser interesante mantener varias conexiones con varios concentradores en cada planta con la red troncal que permitan el fallo de uno de estos y mantengan las conexiones.
Es importante que la red local pueda funcionar siempre que sea posible independientemente de la conexión a la red troncal. Es difícil encontrar el punto medio donde los sistemas estén centralizados y comunicados por la red troncal y a la vez mantener una serie de servicios indispensables en la red local que puedan funcionar al menos durante espacios cortos de tiempo sin conexión con la red troncal. Esto tiene como hemos visto más arriba implicaciones en la seguridad física, pues cuanto más cerca del usuario final se encuentren los servidores de archivos o de aplicaciones más posibilidades existen de que estos sean manipulados o de que puedan fallar.
El sistema ideal por tanto permitiría el funcionamiento de las redes departamentales durante un periodo de tiempo razonable que permita fallos en la conectividad con la red troncal y con las redes exteriores y que a la vez tenga una seguridad física e informática importante. Puede ser necesario aconsejar la instalación de sistemas de almacenamiento de datos y servidores de aplicaciones que puedan funcionar en modo autónomo dentro de los departamentos y que luego repliquen esta información siempre que la red esté disponible con los servidores principales de la empresa. Lo mismo es aplicable a los sistemas de backups, que pueden realizarse a pequeña escala dentro de los departamentos y luego realizarse globalmente dentro de la empresa usando la red troncal. Los sistemas de archivos que pueden funcionar en modo desconectado, como Coda, Intermezzo o similares son muy útiles en estos casos, pues permitirán trabajar cuando la red está desconectada y replicarán automáticamente los datos cuando exista conexión con los servidores principales.
Hemos hablado ya bastante sobre el alojamiento físico de las máquinas principales que proporcionan los servicios críticos de la empresa, incluidos los servidores de archivos, los servidores de aplicaciones, los sistemas de backup y todas las máquinas que proporcionan seguridad informática a la empresa, como firewalls, detectores de intrusos y similares. Ahora vamos a ir un poco más allá hablando sobre las máquinas que están más cerca del usuario final, como los equipos de escritorio y los concentradores departamentales.
La regla a aplicar en este caso es la misma que hemos aplicado para los demás sistemas. Cuanto menos acceso tenga el usuario final a las máquinas sobre las que tiene que trabajar y que contienen los datos sobre los que trabaja y su propio trabajo, así como los dispositivos de red local como concentradores y similares, mejor para la seguridad física. Idealmente se alojarán todas las máquinas a las que no deba acceder físicamente el usuario final en racks y armarios, o se implantarán sistemas de trabajo remoto sobre servidores de aplicaciones como Citrix y similares. Esta última opción es la ideal, porque permite al usuario trabajar en su estación de trabajo que no debe tener una seguridad física estricta y mantener los datos sobre los que trabaja y su propio trabajo en los servidores principales de la empresa, que estarán correctamente protegidos en el apartado de seguridad física. Este tipo de sistemas permite además mantener hardware menos potente en los escritorios de los usuarios y mejora la administración y la gestión de datos y backups para los administradores. Estos sistemas actúan básicamente como los antiguos terminales X o terminales de texto, y son cada vez más usados en todo tipo de empresas, sobre todo en bancos o sistemas financieros donde la seguridad de los datos que se maneja es crítica y el usuario final debe tener el mínimo de acceso a los datos que maneja. Es muy común hoy en día el uso de aplicaciones que corren sobre navegadores web y que usan servidores de aplicaciones y bases de datos para acceder a los datos necesarios para realizar el trabajo. Cualquiera de estas soluciones es buena y debe ser aconsejada siempre que sea económicamente y administrativamente posible.
Para los dispositivos de red lo mejor es alojar estos dispositivos como ya hemos comentado en armarios o racks. Deberemos estudiar el cableado de forma que no exista la posibilidad de que este sea seccionado o desconectado. Por lo demás no tendremos mayores consideraciones con los dispositivos de red, únicamente si estos deben obligatoriamente estar alojados cerca del usuario final (personal que debe realizar pruebas con la red o realizar cambios en el cableado) protegeremos los dispositivos contra manipulaciones remotas limitando el acceso por medio de claves suficientemente seguras. También es posible en algunos dispositivos el activar o desactivar parte de su funcionalidad para limitar el acceso que el usuario final tiene a estos dispositivos.
El control de calidad de las máquinas y los dispositivos de red debe estar basado en dos premisas. La primera es la adquisición de equipos certificados y donde el fabricante nos asegure que se han realizado las pruebas de estress suficientes sobre ellos para garantizar su calidad. La segunda es la monitorización de estos equipos y la estimación de la vida útil y el tiempo medio de fallos en los mismos.
La adquisición de los servidores, los equipos de usuario final y los dispositivos de red dentro de una empresa debe estar regida en primer lugar por la calidad de estos. A medio y largo plazo lo barato sale caro cuando estamos hablando de hardware. Para ordenadores elegiremos máquinas de fabricantes que entreguen equipos completos preconfigurados y probados en la cadena de montaje, esto es fundamental, porque los equipos montados adhoc usando piezas de varios fabricantes es más posible que fallen por la interacción entre los distintos componentes que no ha sido probada por la variedad de hardware existente. Estos equipos son más caros que un equipo montado (usualmente llamados clónicos) pero nos aseguran una certificación de que el hardware que contienen trabaja correctamente en conjunto y han sido sometidos a una serie de pruebas de funcionamiento para comprobarlo. Es importante estudiar el hardware que se va adquirir cuidadosamente, incluyendo la posibilidad de adquirir equipos con una cierta seguridad física implementada, como dobles fuentes de alimentación, controladoras RAID o cajas con una cierta seguridad física. Es aconsejable realizar una inversión un poco mayor al adquirir este hardware porque a medio y largo plazo esta inversión se verá recompensada en un mayor tiempo entre fallos y una mayor fiabilidad de los equipos.
Las máquinas servidoras que se han de montar en rack suelen venir con certificación de su funcionamiento, así que sólo deberemos preocuparnos de las características de estas y de elegir un fabricante que distribuya los equipos preconfigurados y probados en la cadena de montaje. En estas máquinas debemos realizar toda la inversión económica que nos sea posible, porque estos equipos son críticos para el funcionamiento del sistema y una mayor inversión en estas máquinas redundará en mayor tiempo entre fallos y por tanto en un mejor aprovechamiento del trabajo. Un servidor que se viene abajo puede dejar a un grupo de usuarios sin posibilidad de trabajar, lo que supone una cantidad considerable de dinero perdido para la empresa, así que lo que invirtamos en el hardware de los servidores lo recuperaremos a medio y largo plazo en forma de menores tiempos de paro del sistema y en una menor inversión en mantenimiento. Es importante que estas máquinas tengan todos los sistemas de redundancia y seguridad que nos podamos permitir, incluyendo si lo encontramos más conveniente la instalación de sistemas de clusters de alta disponibilidad que proporcionen los servicios aunque algunas de las máquinas caiga. Debemos tener en cuenta que el hardware falla, es algo que ocurrirá tarde o temprano, y por tanto toda la redundancia que tengamos en los dispositivos críticos será dinero bien invertido.
Los dispositivos de red deben ser elegidos entre los principales fabricantes de estos dispositivos. Es posible encontrar dispositivos más baratos de pequeños fabricantes o de fabricantes de dispositivos de gama baja, pero a medio y largo plazo la inversión que realicemos redundará en un menor tiempo de fallos y un mantenimiento menor. Elegir los dispositivos entre los grandes fabricantes nos asegurará que estos dispositivos han sido probados tanto en la fábrica como en miles de instalaciones reales hasta la saciedad, y nos permitirá solucionar los problemas que podamos tener con ellos fácilmente, pues existe una comunidad muy amplia de usuarios que pueden ayudarnos a través de las news o las listas de correo y permitirá al personal de mantenimiento mantener los equipos más fácilmente. Es aconsejable incorporar cuantos más equipos del mismo fabricante podamos mejor, pues el mantenimiento será mas sencillo y las facilidades de soporte y asistencia técnica estarán a cargo de una única empresa, a la que podremos acudir cuando tengamos algún problema. En cambio si tenemos dispositivos de muchos fabricantes mezclados en nuestra red tendremos que recurrir a varias empresas para su mantenimiento y servicio técnico, lo que supone más tiempo de administración y por lo tanto más dinero gastado.
En general podemos concluir que la calidad de las máquinas y dispositivos de red son directamente proporcionales a su precio. No podemos llevarnos a engaño, podemos encontrar gangas de dispositivos muy fiables por precios asequibles, pero si tenemos un sistema crítico sobre el que debemos realizar consultoría de seguridad aconsejaremos la instalación de los mejores equipos que podamos permitirnos, con la mayor redundancia, las mejores certificaciones y el mejor servicio técnico posibles. Siempre suele ser posible encontrar un punto medio entre el presupuesto que se quiere dedicar a instalar hardware y la calidad del hardware que vamos a aconsejar, es trabajo del consultor el distribuir estos recursos de forma que los dispositivos más críticos sean los de mayor calidad, compensando con una calidad algo menor en los dispositivos menos críticos. Para elegir que dispositivos corresponden a cada grupo deberemos estudiar el sistema en su conjunto, el uso que se va a realizar de él, los puntos de fallo y la repercusión que un supuesto fallo en el hardware tendrá en la productividad de la empresa, que es al final lo que debemos proteger.
Otro aspecto donde el consultor debe ser inflexible es en la monitorización del hardware, sobre todo de los servidores y de los dispositivos de red. Se recomendará la adquisición de software de monitorización de redes y de hardware que permita esta monitorización. Para el hardware el sistema más común de monitorización es el SNMP, que permite mediante software como Netview de HP la monitorización del estado del hardware, de como está funcionando y de los parámetros que puedan afectar al tiempo medio entre fallos de este hardware. La monitorización del hardware es un punto que se suele olvidar en la seguridad física y que es fundamental, porque nos permite predecir fallos antes de que estos se produzcan o detectarlos inmediatamente cuando estos se producen, porque no podemos engañarnos, tarde o temprano cualquier hardware fallará, y es fundamental que estemos preparados para este fallo. Para el caso de que el fallo se produzca lo único eficaz es contar con una política creada para la sustitución o mantenimiento del hardware de la forma más rápida y eficaz, política que debemos crear antes de que se produzca el fallo, puesto que cuando el fallo se produce el descontrol que se produce puede llevarnos a un mayor tiempo de caída del sistema si no tenemos muy claro los pasos a seguir para sustituir o mantener un determinado sistema hardware.
Para el consultor de seguridad física los portátiles no suelen ser un gran problema, al menos no mayor que cualquier otra máquina del sistema, pero para la seguridad informática los portátiles son un verdadero quebradero de cabeza.
Comenzamos con la seguridad física. Debemos tener en cuenta la portabilidad de estos dispositivos, lo que los hace susceptibles de ser robados con facilidad, sobre todo cuando se encuentran fuera de la empresa. Debe crearse una política de uso y responsabilidad para las personas que utilizan ordenadores portátiles de la empresa y sobre todo para las personas que tienen que llevarse estos dispositivos fuera de la empresa. Lo más importante, aparte del valor económico de los portátiles, son los datos que pueden contener, datos que en muchos casos pueden ser importantes e incluso vitales para la empresa. Por eso debe responsabilizarse seriamente a los usuarios de los portátiles que sacan de la empresa, manteniendo un control de entradasalida de estos dispositivos y de la integridad física de los mismos. En caso de robo el usuario debe comunicar con absoluta inmediatez a la empresa el evento que se ha producido, para que esta pueda minimizar los riesgos que implica el robo de los datos que ese portátil pueda contener. Como regla general los portátiles que deban abandonar la empresa no deberían contener ningún tipo de dato importante o comprometido para la empresa, en caso de que el usuario necesite acceso a estos datos pongamos desde su domicilio particular puede ser más conveniente la instalación de una linea ADSL/DSL/Cable y que conecten de forma segura a los servidores de la empresa y trabajen de forma remota. Si el usuario debe de usar estos dispositivos en otras empresas o en trabajos de campo deberán protegerse de todas las formas posibles los datos críticos que puedan contener, encriptándolos con sistemas seguros y permitiendo sólo el acceso al trabajador por medio de claves intransferibles de las que este deberá ser responsable.
Como el equipo está en manos del usuario y además alejado de la empresa y por tanto de los administradores y encargados de seguridad el hardware tiene muchas posibilidades de ser manipulado. El usuario puede conectar todo tipo de dispositivos a él, puede sacar el disco duro y replicarlo o cambiarlo por otro, puede modificar el hardware por medio de tarjetas PCMCIA (PCCARD) y mil cosas más. La única solución es la responsabilización de forma seria del usuario de la integridad física de la máquina, teniendo una política muy clara de lo que el usuario puede hacer o no hacer con el ordenador.
Otro punto a tener en cuenta y que no es el tema de este documento es la seguridad informática. Aquí los administradores de sistemas tienen un verdadero problema, puesto que los portátiles que salen de la empresa suelen volver a ella repletos de virus, software no deseado, errores cometidos por el usuario o simplemente con programas y datos borrados. Para protegerse de este tipo de eventos hay dos soluciones, una de ellas es el adquirir software antivirus, firewalls personales, software de control de acceso al portátil que impida la instalación de software y medidas similares; la otra opción es el control a la salida del portátil de su contenido por medio de un backup, que se volverá a comprobar cuando el portátil vuelva a la empresa para comprobar la integridad de los datos. Estos métodos proporcionarán una mínima seguridad, aunque siempre estaremos expuestos a todo tipo de manipulaciones del software.
Aunque este tipo de dispositivos son poco usados hoy en día por su fácil detección debemos hacer un estudio al menos básico de que no existan ningún tipo de aparatos de este tipo ni en las máquinas de usuario ni en la red.
Los keycatchers son dongles que se interponen entre el teclado y el ordenador para captar las pulsaciones del usuario, grabando los datos que se introducen, buscando sobre todo la adquisición de claves que el usuario pueda teclear. Son dispositivos aparatosos y fáciles de detectar, aunque también son fáciles de instalar y volver a quitar. Un dispositivo de estos simplemente instalado diez minutos en la máquina de trabajo del personal de un banco puede proporcionar al hacker las claves para acceder al sistema interno de la empresa, números de tarjetas de crédito, números de cuenta y otro tipo de datos secretos. Esto es desastroso para la empresa, así que deberá estudiarse las conexiones entre teclado y ordenador para detectar estos dispositivos, aunque como hemos dicho cada vez son menos comunes y poco útiles para un supuesto intruso.
Hay muchos otros sistemas de captación de datos. Desde dispositivos que se intercalan en el cable de red y graban los datos en bruto que luego se pueden decodificar y estudiar (estamos hablando de hacking casi a nivel militar, no se asusten) hasta simplemente un intruso conectando un portátil a un puerto de un switch que replique todo el tráfico y un sniffer para obtener los datos y passwords que circulen a través de la red. Este tipo de dispositivos pueden ocultarse en la empresa y permanecer inadvertidos mandando datos al hacker que los ha instalado durante cierto tiempo, por lo que deberán ser una preocupación. Otro tipo de dispositivos temibles son los que captan datos de redes wireless, que pueden decodificar el sistema de encriptación WEP y hacer sniffing de la red obteniendo datos y passwords. A nivel militar existen dispositivos de captación de datos mucho más sofisticados, que pueden incluso captar las comunicaciones de un cable sin tener conexión física con este, simplemente con el campo magnético que genera y cosas así, pero no son dispositivos de los que debamos preocuparnos a no ser que seamos una agencia gubernamental o la sede de una multinacional.
Los concentradores y las bocas de red suponen un peligro inmediato de seguridad física, pues cualquier intruso con un portátil o un aparato de mano con una tarjeta compactflash de red puede conectar a cualquiera de ellas y probablemente obtendrá una dirección IP y conexión a la red interna de la empresa. Debemos estudiar por tanto las bocas de red que no estén ocupadas (y las que estén ocupadas y puedan ser desconectadas y usadas) y los concentradores que tengan conexiones libres. Para el caso de los concentradores el mantra es el mismo de siempre, deben estar en armarios o racks cerrados donde solo los administradores de red tengan acceso a ellos. Para las bocas de red es más complicado. Si tenemos una red fija y no tenemos perspectivas de tener que instalar nuevas máquinas a menudo lo más aconsejable es desconectar todas las bocas de red que no estén siendo usadas para que nadie pueda conectar a ellas. Si tenemos que instalar una nueva máquina o necesitamos otra boca de red vamos al rack y conectamos el cable que da conectividad a la boca de red en cuestión. Tener todas las bocas de red conectadas es tener accesos libres a la red repartidos por toda la empresa que cualquiera puede usar, incluido un supuesto intruso.
Para las bocas de red que están siendo usadas por los usuarios deberemos monitorizar e identificar de alguna forma las máquinas que deben estar en cada red, o asignarlas las direcciones IPs y la conectividad por medio de las direcciones MAC de las tarjetas, esto nos avisará o prevendrá el que un supuesto intruso desconecte una máquina y conecte un portátil o un dispositivo de mano y acceda a la red. Es trabajoso mantener en el servidor DHCP o en los concentradores todas las direcciones MAC de las tarjetas de red en las maquinas de usuario, pero esto nos asegurará que sólo las máquinas que nosotros deseamos tendrán acceso a nuestra red.
En todo el manual hemos explicado que para asegurar el hardware no hay nada más eficaz que la redundancia de sistemas. Una de las formas más comunes hoy en día de redundancia de sistemas son los clusters de máquinas de alta disponibilidad. Estos sistemas se componen de dos o más máquinas que cumplen exactamente la misma función y que comparten los datos sobre los que trabajan por medio de un bus compartido SCSI o un canal de fibra conectados a un sistema de almacenamiento que permite el acceso compartido por varias máquinas. La idea es que uno de los sistemas cumple la función encomendada al sistema, sea como servidor de aplicaciones, de bases de datos, servidor web o cualquier otro cometido. Si este sistema falla el otro detecta el fallo por medio de un enlace mantenido por medio de una red y/o un enlace nullmodem por puerto serie denominado heartbeat, al detectar el fallo el segundo sistema toma la dirección IP del primero y lo sustituye en la tarea que este estuviera realizando. Es un sistema ideal para asegurar la disponibilidad de un servicio determinado, y suele ser más barato mantener un cluster de dos máquinas que tener una máquina con todos sus subsistemas redundantes.
Los sistemas de alta disponibilidad son cada vez más populares, en parte por su gran fiabilidad y relativamente bajo costo y también por la disponibilidad de software libre que permite el montaje de estos sistemas por un precio asequible a la mayoría de empresas. Estos sistemas deben complementarse siempre con la redundancia que podamos permitirnos a nivel de cada máquina, como UPSs, dobles fuentes de alimentación o discos montados en RAID.
Aunque los sistemas de alta disponibilidad no son la panacea para la seguridad física (nada lo es) podemos asegurar que son uno de los métodos más eficaces para proveer de una redundancia en el hardware de forma eficaz y relativamente económica. Además son fáciles de montar y administrar e incluso existen empresas dedicadas al montaje de software preconfigurado para funcionar en sistemas de alta disponibilidad, como firewalls, bases de datos o sistemas similares.
La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un consultor de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado. En principio tendremos también en cuenta lo comentado para las bocas de red y los conectores, que son también parte del cableado.
Para comprobar la red existen aparatos diseñados para esta tarea, que nos permitirán comprobar los cables para ver si tienen algún tipo de problema. También deberemos comprobar que el cableado cumple las normativas necesarias y que tiene la calidad necesaria, normalmente CAT5 o CAT7. Para el cableado coaxial grueso o fino deberemos usar otro tipo de aparatos para comprobarlos y deberemos comprobar sus características eléctricas y las de los terminadores y dispositivos "T" que conectan las máquinas. Como cada vez son menos comunes no hablaremos mucho de ellos. Para evitar el posible seccionamiento del cableado de red lo mejor es entubarlo o integrarlo en la estructura del edificio. Muchos edificios tienen paneles desmontables dentro de los cuales se puede alojar el cableado de red, pero deberá asegurarse que no son fácilmente desmontables o cualquiera podría abrirlos y seccionar el cable. Para los cables de fibra óptica deberemos estudiar la posibilidad del seccionamiento del cable, las características ópticas de este (para esto necesitamos instrumental al efecto, puede ser necesario contratar a un especialista) y vigilar que este tipo de cables que suelen ser frágiles no estén acodados o doblados excesivamente.
Los dispositivos Tap son un caso similar al que comentábamos para los keycatchers y máquinas conectadas a las bocas de red. Tienen un problema añadido, y es que estos dispositivos permiten leer el tráfico de una red sin tener que emitir ningún tipo de dato en la red, por lo que son en principio indetectables a nivel de seguridad informática. Se suelen usar para instalar dispositivos IDS stealth (Detectores de intrusos no detectables como máquinas de la red) y para hacer sniffing de la red sin ser detectados. Son muy útiles para el administrador de sistemas, pero pueden volverse contra nosotros si un supuesto intruso malintencionado lo instala en nuestra red. Estos dispositivos pueden funcionar incluso sin una dirección IP asignada, y con todo pueden estudiar los datos que pasan por la red a la que están conectados, sobre todo si se conectan al puerto que replica los demás puertos de un concentrador. Para evitar esto solo tenemos dos opciones, una de ellas es limitar de alguna forma las direcciones MAC a las que se envían los datos, ya sea por medio de los concentradores o por medio de la VLAN, la otra es la vigilancia intensiva de que este tipo de dispositivos no se inserten en las bocas de red desocupadas y sobre todo en los concentradores. De todas formas si hemos tomado las medidas aconsejadas más arriba para los concentradores es poco probable que un intruso pueda introducir un Tap y un portátil para obtener datos de nuestra red.
Hablaremos aquí sobre la monitorización física de los equipos y dispositivos de red. Es aconsejable de vez en cuando realizar una inspección física de todo el hardware instalado en la empresa, buscando todos los puntos de fallo y errores que comentamos en este documento y cualquier otro que podamos encontrar o que se nos ocurra. Es una tarea que no lleva demasiado tiempo y que puede suponer la diferencia entre tener una red y un hardware seguros o no tenerlos. Si tenemos personal de vigilancia con la capacidad técnica para realizar esta tarea se les puede encargar a ellos, en caso contrario uno de los administradores o encargados de la seguridad deberá realizar una ronda de vigilancia de los equipos cada cierto tiempo para comprobar que todo está como debe estar. No es necesario la contratación de personal de consultoría para realizar este tipo de estudios o vigilancias rutinarias del hardware, basta con detectar los fallos más evidentes y tener el sistema actualizado y en un estado conocido.
Es aconsejable la implantación de una política de seguridad física del hardware que debe cumplirse, pero tan importante como imponer esta política es la monitorización de que esta política se cumple y que el hardware cumple las medidas de seguridad física que hayamos decidido.
Tan importante como el aseguramiento del hardware es su monitorización, es algo en lo que ya hemos insistido. Existen varios sistemas de monitorización del hardware, algunos de ellos estándar como el SNMP o el SMART y otros específicos del hardware que tengamos instalado. Buscaremos siempre sistemas de monitorización que puedan funcionar a través de la red y sobre una única consola que nos permita tener todo el hardware controlado, existe software de este tipo que nos permitirá ir añadiendo las características del hardware que vayamos instalando.
Sobre el SNMP debemos decir que es el sistema estándar de monitorización de hardware. Casi cualquier máquina o dispositivo de red medianamente complicado proveerá de servicios SNMP para permitir la monitorización de todos sus parámetros. Además de los parámetros estándar que el protocolo prevee para todos los sistemas cada fabricante puede incorporar una serie de extensiones a este sistema y proporcionar los datos necesarios para que el sistema gestor SNMP pueda monitorizar estos sistemas. Incluso pueden proveer las llamadas traps, que son avisos que el hardware manda al sistema de monitorización para avisar de algún cambio en el hardware o error en el sistema, pasando así de un sistema principalmente pasivo como es el SNMP a un sistema activo que permite recibir avisos cuando es necesario.
Deberemos elegir hardware que soporte SNMP y que incorpore el máximo número de extensiones que permitan monitorizar el hardware en todos los parámetros posibles. En el caso de los dispositivos de red estos suelen contar con una lista incontable de parámetros a monitorizar, a veces tantos que pueden marear un poco al administrador poco avezado en estas lides. Un buen software de gestión de red resolverá el problema de tratar con montones de dispositivos de red con montones de parámetros a monitorizar, y un sistema de estos bien instalado y funcionando correctamente es una herramienta impagable para el administrador de sistemas. Entre los parámetros que se pueden monitorizar de estos dispositivos se encuentran todos los parámetros software como tráfico en los interfaces, estadísticas de tráfico, tipos de tráfico y cientos de parámetros más; luego tenemos los parámetros hardware, como velocidad de giro de los ventiladores, temperatura de la caja y de los dispositivos internos, tasas de fallo debidas al cableado o al mismo hardware y muchos parámetros más.
En los ordenadores es menos común encontrar SNMP, pero existen varios fabricantes que proporcionan agentes SNMP que permiten la monitorización de todos los parámetros del sistema. En cualquier caso siempre podemos optar por agentes software SNMP libres como los incluidos en los sistemas de software libre como Linux o FreeBSD, estos sistemas proporcionan monitorización de parámetros como el tráfico en los interfaces, estadísticas de uso del sistema y muchos más, además de ser programables y permitir la monitorización de prácticamente cualquier parámetro ya sea sobre el hardware o del funcionamiento del software del sistema. Es interesante contar con SNMP en las máquinas, sobre todo en los servidores y en las máquinas más críticas, pues estos nos permitirá el tener un sistema estandarizado para todo el conjunto del hardware y nos ahorrará tiempo de administración.
Respecto al software gestor de red que usa los datos SNMP para ofrecernos una vista completa de nuestro hardware debemos decir que suele ser caro y difícil de usar, pero que una vez instalado y controlado su funcionamiento su funcionalidad es impagable, pues permite monitorizar todos los parámetros de redes inmensas y a la vez nos permite reconfigurar dispositivos o realizar cambios en la misma estructura de la red. Un sistema de este tipo es OpenView de HP, que provee todas estas funcionalidades. Como software libre citaremos a OpenNMS que intenta ser una alternativa libre a los sistemas de gestión de red comerciales y que tiene a día de hoy una funcionalidad ya muy importante.
Otro tipo de sistemas de monitorización son los basados en tomar muestras, como por ejemplo Nagios, Big Brother y similares. Este tipo de sistemas puede usar también SNMP para monitorizar dispositivos de red y luego pruebas de otro tipo para monitorizar máquinas y servicios, comprobando la salud de estos y ofreciéndonos un vistazo rápido de nuestra red, de nuestros servidores y de los servicios que estamos proveyendo a nuestros usuarios o clientes. Es muy aconsejable la instalación de un sistema de este tipo, porque además de permitirnos estudiar nuestro sistema para ver fallos o máquinas caídas nos envía avisos mediante correo electrónico o pagers si alguno de estos sistemas o servicios falla.
Por último comentaremos los sistemas SMART, que son un sistema implementado en casi todos los discos duros modernos que nos ofrecen una cantidad ingente de datos sobre el funcionamiento de estos y sobre su vida útil. Los discos duros son los sistemas que probablemente más fallan en un ordenador, por contener partes mecánicas que están constantemente en movimiento. El sistema SMART está implementado en el hardware y puede ser leído por medio de software al efecto, informándonos de todos los parámetros de funcionamiento del disco duro y de parámetros como el tiempo estimado entre fallos o el tiempo estimado de vida del disco. Es aconsejable utilizar las utilidades al efecto para aprovechar la funcionalidad SMART de los discos duros, y poder así preveer fallos antes de que estos se produzcan. El poder saber que un disco duro va a fallar muy probablemente en un espacio corto de tiempo puede ser vital para replicarlo y sustituirlo por otro nuevo, evitando una gran cantidad de problemas de administración y posible perdida de datos.
El control remoto del hardware podemos verlo desde dos puntos de vista. El punto de vista hardware puro, donde estaríamos hablando de los sistemas SNMP que hemos comentado en el punto anterior o el punto de vista del software, que abarca una gran cantidad de servicios como TELNET, SSH, FTP/SCP/SFTP, Webmin y similares, etc.
En el caso de la seguridad física solo nos interesa la posibilidad de que alguien controle de forma remota nuestro hardware. Esto es cada vez menos común y no debe ser una gran preocupación para el consultor. Uno de los puntos a tener en cuenta es si existen modems conectados a las máquinas que puedan ser accedidos desde el exterior, y por supuesto la conectividad de red desde el exterior, pero estos son puntos más adecuados para el tratamiento por parte del personal de seguridad informática que por el personal de seguridad física.
Nuestra mayor preocupación será por tanto la ocultación dentro de la empresa por un intruso malintencionado de dispositivos como portátiles, pequeños ordenadores tipo Capuccino o similares conectados a nuestra red interna y que puedan servir a un atacante exterior para controlar nuestra red y por tanto nuestro hardware, aunque esta posibilidad es pequeña y casi poco plausible. Los sistemas de seguridad informática deberían detectar este tipo de dispositivos fácilmente y trazarlos hasta ser eliminados.
Se puede hablar también de control remoto del hardware cuando hablamos de virus, troyanos, gusanos o rootkits instalados dentro de la empresa, ya sea a través de la red pública o por usuarios mal formados o malintencionados. Estos sistemas proporcionan a un supuesto atacante exterior control sobre nuestro software y hardware, pero deberían ser fácilmente detectables por el personal de seguridad informática.
Aquí tenemos un punto verdaderamente importante dentro de la seguridad física. Hay que ser muy claros en este punto: Nadie que no sea parte del personal de administración de la red y del hardware debe tener acceso a los datos técnicos de la red y del hardware. Si alguien necesita acceso puntual a algún dato se investigará si realmente necesita ese acceso y se concederá el acceso en base a cada petición y con todas las reservas posibles.
Conocer los datos técnicos de la red y del hardware de un sistema proporciona a un supuesto atacante dos facilidades muy apreciadas por estos: La primera es la facilidad que el conocimiento del hardware y la estructura de la red proporciona para realizar ataques informáticos de todo tipo. La segunda es la posibilidad de usar estos datos para usarlos en ataques de Hacking Social, que son tan peligrosos como los ataques informáticos.
Para protegernos de este tipo de ataques debemos mantener la estructura de la red y del hardware (incluido marcas, software instalado, direcciones IP, MACs, etc) secretas o al menos bajo un control de acceso estricto. Uno de los primeros pasos que realiza siempre un hacker antes de atacar un sistema es estudiar la estructura de la red y de las máquinas que la componen. Si ya tiene estos datos tiene la mitad del trabajo hecho, y nosotros la mitad del sistema hackeado... Deberemos por tanto mantener los datos técnicos en armarios a tal efecto, y deberá pedirse permiso al personal de administración de red para acceder a ellos, proporcionando únicamente los datos imprescindibles y apuntando siempre quien ha solicitado los datos y para que. Un buen control de estos datos redundará en una mayor seguridad de todo el sistema. Por parte de los encargados de la seguridad informática deberán considerar cualquier intento de análisis remoto de la estructura de la red o de las máquinas como un intento de intrusión (no hablamos aquí de un simple escaneo de puertos, por supuesto, sino de ataques más sofisticados de recopilación de datos) y por tanto deberán comunicarlo a quien consideren necesario.
Otro peligro son los ataques de hacking social. Un intruso que ha obtenido datos técnicos muy concretos sobre la red de la empresa y sobre el hardware y los ordenadores de la empresa puede hacerse pasar por una persona del servicio técnico de cualquiera de las marcas con las que trabajamos o por personal de otro departamento, proporcionando estos datos a una persona del personal de administración o al usuario final puede convencerlo para que le proporcione otros datos, como claves de acceso o datos que puedan llevarle a conseguir un acceso remoto a nuestros sistemas. El hacking social debe ser considerado como una de las mayores amenazas para la seguridad de los sistemas hoy en día y el mejor arma que tiene un hacker social son los datos, sobre todo si se trata de datos técnicos que se suponen secretos o únicamente conocidos por el personal de la empresa.
No nos extenderemos excesivamente en este punto. Si su empresa necesita que los usuarios no se lleven datos de su empresa no los mantenga en la máquina del usuario. Así de simple. El consejo que un consultor en seguridad puede darle no es otro más que el que mantenga los datos en los servidores y que los usuarios trabajen sobre los datos de forma remota. Todos los demás sistemas son útiles pero no eficaces. Usted puede quitar de las máquinas de usuario las grabadoras de CDs, las disqueteras, incluso puede inventar un método para que no usen dongles USB o similares, pero puede estar seguro que un usuario decidido a sacar los datos de su máquina, ya sea por desconocimiento, para facilitar su trabajo o por simple malicia conseguirá hacerlo. Por eso lo mejor que puede hacer es no fiarse de ninguno de estos sistemas, simplemente mantenga los datos alejados del usuario final y así evitará que este pueda replicarlos.
Los dongles USB son como un dolor de muelas para los administradores de sistemas y los encargados de las seguridad del sistema. Para empezar tenemos lo que puede venir en ellos: virus, software pirateado, todo tipo de software o datos poco recomendables para un lugar de trabajo, juegos, etc. Luego tenemos todo lo que se puede llevar en ellos: datos de la empresa, software cuya licencia ha sido adquirido por la empresa, software bajado de internet, etc.
Si lo que más nos preocupa (tenemos antivirus, firewall, control de software, etc) es que el usuario pueda replicar datos y sacarlos de al empresa solo podemos hacer dos cosas, la primera y la que siempre recomendamos es mantener los datos lejos del usuario, la segunda es inhabilitar los puertos USB y los sistemas serie o paralelo, ya sea mediante métodos software o hardware.
Los puertos serie y paralelo no suponen un gran peligro, puesto que los dispositivos de almacenamiento que normalmente se conectan a ellos suelen necesitar en el sistema operativo Windows de drivers especiales, que podemos controlar que no se puedan instalar de diversas formas, sobre todo mediante software de control de instalación de software. Los dispositivos USB son un problema mayor, como ahora veremos.
Si estamos hablando de Software Libre como Linux o FreeBSD no hay mucho problema. El soporte USB de almacenamiento viene como módulos del kernel que pueden quitarse del sistema con lo que no se podrá usar dongles USB ni dispositivos de almacenamiento USB. Lo mismo para los dispositivos serie y paralelo. Este sistema es muy simple y es ideal para evitar este tipo de comportamientos.
Pero si hablamos de Windows el caso es diferente. Aquí es más complicado quitar los drivers de almacenamiento externo USB, sobre todo en Windows XP que incorpora de serie drivers para todo este tipo de dispositivos. Si es posible se quitarán del sistema los drivers para este tipo de dispositivos o se inhabilitará mediante software la instalación de nuevo hardware en el sistema (lo cual es un problema si tenemos impresoras o ratones y teclados USB que deben autodetectarse).
La solución más radical (y no por ello la más recomendable) es quitar el cableado de los puertos USB frontales que conectan a la placa base y ya puestos a cacharrear podemos incluso sellar o desoldar los puertos USB integrados en la placa base. Si no queremos realizar semejante chapuza podemos intentar desactivar estos puertos mediante switches o puentes en la placa base, pero esto no es siempre posible. Si queremos aislar de verdad el sistema siempre podemos comprar cajas de metacrilato cerradas que solo permiten la ventilación del sistema y no el acceso a este, pero estamos hablando ya de soluciones realmente radicales para un simple dongle USB...
Si me pregunta como consultor de seguridad física que puede hacer para mejorar su sistema de red mediante radiofrecuencia, sea este Wireless o Bluetooth mi primera respuesta sera: ¡Quítelo ya!
Puede ser un poco radical, pero tener un sistema que permite el acceso a los datos en bruto a cualquiera desde el exterior de la empresa y para el cual día a día aparecen más y más bugs y formas de saltarse la encriptación y la seguridad lo mejor es no usarlo. Si realmente necesita usarlo entonces mi consejo es que utilice las últimas tarjetas y puntos de acceso con la última tecnología disponible, tanto en Wireless como en Bluetooth, pues en ambos sistemas se han encontrado errores que permiten al menos el hacer sniffing de las redes desde el exterior de las empresas. De ahí el Warchalking del que hablábamos antes. Si ya tiene un sistema instalado y este es vulnerable asegúrese de que todas las conexiones que realice a través de la red inalámbrica sean seguras, usando SSH, SSL y similares, sino su sistema podrá ser comprometido.
Con los últimos sistemas lanzados y el nuevo WEP la seguridad ha mejorado, pero hace nada han salido varios bugs que permiten engañar a los sistemas Bluetooth y pueden estar seguros de que aparecerán otros bugs y formas de saltarse la seguridad de estos sistemas. Son sistemas demasiado golosos para los hackers como para que estos no estudien mil y una formas de romperlos. Es muy cómodo ponerse con un coche y un portátil al lado de una empresa y conectarse a la red de esta y realizar cualquier cosa como usar su ancho de banda para realizar ataques de denegación de servicio o Dios sabe qué. Mi consejo: Evítelas si puede.
Para los dispositivos de mano solo debemos decir que deben tomarse exactamente las mismas medidas que para los portátiles, aunque teniendo en cuenta que normalmente no contienen datos tan críticos para la empresa como los portátiles, aunque son mucho más fáciles de robar. Es bastante común este caso, el robo de un dispositivo de mano con todos los datos de un empleado, que luego pueden ser usados para realizar hacking social, pues suelen contener números de teléfono internos de la empresa, datos sobre la empresa y en los casos mas aterradores incluso passwords de acceso a los sistemas.
Lo mejor que se puede hacer es aconsejar a los empleados el no mantener nunca datos importantes en este tipo de dispositivos, sobre todo passwords de acceso, y el aconsejar también que si uno de estos dispositivos es robado o perdido se realice un informe para el empresa donde se indique al personal de seguridad que datos susceptibles de ser usados para hacking social o informático pudiera contener el dispositivo.
El caso es el siguiente: Contratamos a un consultor externo o a personal de mantenimiento para realizar una serie de acciones sobre nuestro hardware. ¿Como nos aseguramos que únicamente va a realizar las manipulaciones para las que le hemos contratado y no otras? Es sencillo, lo único que debemos hacer es tener un formulario que el personal externo deberá firmar y donde se especificará la fecha de la manipulación, la manipulación exacta que se le permite hacer y si es necesario también lo que no se le permite hacer. De esta forma aseguramos que la persona que trabaje sobre nuestros sistemas no va a realizar más manipulación que la contratada.
Siempre es conveniente que una persona del personal de administración esté presente cuando se realice cualquier mantenimiento o consultoría sobre sistemas críticos de la empresa, pues así podrá vigilar que las acciones realizadas son las correctas e incluso podrá asesorar al consultor o personal de mantenimiento si este tiene algún tipo de duda sobre el sistema.