Seguridad activa: control de redes

Espiar nuestra red

La monitorización del tráfico. Trabaja a alto nivel: se limita a tomar medidas agregadas, los llamados contadores. Por ejemplo, total de bytes enviados o recibidos en un interfaz, agrupados por puerto de origen o destino. La monitorización es habitual en las empresas porque:

• Resulta fácil de activar en toda la red dado que son los propios equipos los que facilitan esta información sobre sus interfaces.

• Genera relativamente poca información para transmitir y procesar.

• Es suficiente para conocer la disponibilidad de la red o el tipo de tráfico que transita. Por ejemplo, conocer el porcentaje de tráfico HTTP de nuestra red nos puede llevar a instalar un proxy

El análisis del tráfico. Trabaja a bajo nivel: captura todos los paquetes que transitan por una interfaz. Los paquetes solo son leídos, no interceptados: el paquete continúa su camino. El procesamiento de estos paquetes leídos permite generar medidas agregadas, pero sobre todo interesa analizar las conversaciones entre los equipos, comprobando que se ajustan al comportamiento esperado en el protocolo estándar. Aunque esta información es mucho más rica que los simples contadores, la captura es muy costosa de activar en toda la red, porque se dispara la cantidad de información que hay que transmitir y procesar, por este motivo, solo se utiliza en situaciones concretas que no se pueden abordar con el estudio de contadores, como es la detección de ataques.

Además de la monitorización del tráfico y el análisis del mismo, hay un tercer elemento para el control de la red: la sonda. Una sonda es un equipo de la red que está programado para comportarse como un cliente normal de alguno de los servicios que tenemos desplegados. La sonda ejecuta sus operaciones periódicamente, de manera que, si alguna falla, podemos suponer que también le fallará al usuario y debemos corregir el problema.

tcpdump

tcpdump es una herramienta sencilla disponible en Linux que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Captura todo el tráfico, no solo el tráfico TCP, como aparece en su nombre. Los paquetes leídos se muestran en pantalla o se pueden almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada. Se necesitan privilegios para ejecutarla, porque necesitamos poner la tarjeta en modo promiscuo para que acepte todos los paquetes, no solo los destinados a su MAC

La captura con tcpdump se puede hacer en uno de los extremos si la conversación que estamos estudiando ocurre entre una máquina Unix y otra máquina Unix/Windows/etc. Aunque también lo utilizaremos muchas veces para capturar las conversaciones que atraviesan un router Linux.

WireShark

WireShark es la herramienta más extendida en Windows para realizar capturas de tráfico y analizar los resultados. Es una evolución de una herramienta anterior llamada Ethereal. Para la captura de paquetes utiliza la librería pcap, que también aparece en otros sniffer, como tcpdump. La interfaz de usuario es muy potente, así como el número de protocolos que es capaz de analizar.

Port mirroring

Los switch gestionables suelen incorporar esta funcionalidad. Consiste en modificar la configuración del switch para que replique todo el tráfico de un puerto a otro. En el segundo puerto conectaremos el sniffer. El equipo o equipos conectados en el primer puerto funcionan con normalidad, no saben que están siendo espiados.

Generalmente se puede elegir el tipo de tráfico: entrante, saliente o ambos. En algunos modelos podemos hacer que varios puertos vuelquen su tráfico a un mismo puerto, aunque habrá que vigilar las prestaciones del conjunto porque pueden desbordar el ancho de banda de la interfaz o la capacidad de captura del sniffer, lo que ocasionaría la pérdida de paquetes, invalidando el análisis posterior.

IDS/IPS. Snort

Las herramientas de análisis de tráfico son más o menos sencillas de instalar y configurar; pero la complicación viene a la hora de interpretar los resultados. Para sacar el máximo partido a estas herramientas se necesitan muchos conocimientos de base y una amplia experiencia en protocolos de comunicaciones.

Hay un segundo problema: aunque dispongamos de personal tan cualificado, no es humanamente posible revisar una a una todas las conversaciones que ocurren a diario en una red normal. Sobre todo porque la mayoría son interacciones normales, libres de toda sospecha. Los expertos hay que reservarlos para los casos difíciles.

Para solucionar ambos problemas existen los sistemas IDS/IPS. Los IDS detectan los ataques y los IPS actúan contra ellos. Tenemos dos tipos de IDS/IPS:

NIDS/NIPS. Buscan ataques sobre servicios de comunicaciones. Se basan en el análisis de los paquetes que forman parte de la comunicación entre dos máquinas, comprobando que se ajustan al protocolo estándar.

HIDS/HIPS. Buscan ataques sobre las aplicaciones y el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales y la configuración y el log de cada uno de los servicios.

Los problemas de los IDS son dos:

Rendimiento. El número de reglas es creciente y el volumen de tráfico también, por lo que necesitamos un hardware muy potente para tener funcionando un IDS sobre capturas de tráfico en tiempo real. En determinados momentos, la cola de paquetes pendientes de examinar será tan larga que la interfaz estará a punto de empezar a descartarlos; para evitarlo, el IDS los dejará pasar, a sabiendas de que puede ser un ataque. Pero si nos limitamos a procesar ficheros de captura antiguos, puede que encontremos ataques que ya han ocurrido y sea tarde para reacciona

Falsos positivos. Las reglas no son perfectas y puede que estemos alertando sobre comunicaciones que son perfectamente legales. Conviene probar muy bien una regla antes de meterla en un IPS.

Firewall

Hemos visto que la tarea de los NIPS es dura: revisar todos los paquetes que transitan por la red buscando patrones de ataques conocidos. Los consiguientes problemas de rendimiento impiden que muchas empresas los utilicen. Pero si efectivamente conocemos las características del ataque, otra forma de defensa es tomar medidas en las máquinas que tengamos bajo nuestro control para que reaccionen adecuadamente ante la presencia de estos paquetes sospechosos. Es decir, los paquetes que consigan entrar en nuestra red, engañar al NIPS y llegar a nuestros equipos, o que intentan salir procedentes de una aplicación no autorizada, todavía tienen que superar un control más en cada equipo: el firewall o cortafuegos.

Qué hace

El firewall es un software especializado que se interpone entre las aplicaciones y el software de red para hacer un filtrado de paquetes:

• En el tráfico entrante, la tarjeta de red recibe el paquete y lo identifica, pero antes de entregarlo a la aplicación correspondiente, pasa por el firewall para que decida si prospera o no. En el ejemplo del servidor web, la máquina recibe un paquete destinado al puerto 80, pero antes de entregarlo al proceso que tiene abierto ese puerto, el firewall decide.

• En el tráfico saliente, las aplicaciones elaboran sus paquetes de datos, pero antes de entregarlo al software de red para que lo envíe, pasa por el firewall. Por ejemplo, si sospechamos que una máquina hace spam, podemos bloquear todas las conexiones salientes al puerto 25

La inteligencia del firewall se expresa mediante reglas de configuración. El administrador de la máquina puede individualmente activarlas, desactivarlas, modificarlas o añadir nuevas. Este proceso puede ser automático: algunos programas que instalan un servidor en la máquina son capaces de configurar algunos programas de firewall, sin necesitar la intervención del administrador.

Dónde situarlo

Todas las máquinas de la empresa conectadas a la red necesitan activar un firewall. Incluso aunque no ejecuten ningún servidor: puede que el software de red del sistema operativo tenga una vulnerabilidad. Igual que el malware hay que bloquearlo con el antivirus porque es software no solicitado, el firewall nos ayuda a bloquear paquetes de red no solicitados.

Firewall en Linux. Iptables

Cuando llega un paquete a la tarjeta de red, el sistema operativo decide qué hacer con él. El resultado de esa decisión puede ser:

• Descartarlo. Si el destinatario del paquete no es nuestra máquina o, aunque lo sea, ningún proceso actual lo espera, el paquete termina aquí.

• Aceptarlo, porque es para nosotros y hay un proceso que sabe qué hacer con ese paquete.

• Aceptarlo, aunque no sea para nosotros, porque somos un router y vamos a enviarlo por otra interfaz.

• Aceptarlo, aunque no es para nosotros y tampoco somos un router: pero estamos escuchando todos los paquetes porque somos un sniffer de red.

En el caso de Linux, la utilidad iptables permite introducir reglas en cada una de estas fases:

• Cuando llega el paquete para un proceso nuestro pero todavía no se lo hemos entregado, en iptables hablamos de input.

• Cuando somos un router y estamos a punto de traspasar el paquete de una interfaz a otra, en iptables hablamos de forward.

• Cuando un paquete está listo para salir por una interfaz, en iptables hablamos de output.

Hay un par de etapas más:

• Prerouting. Se ejecuta antes de input. Sirve para obviar el enrutamiento porque sabemos exactamente qué tratamiento dar a esos paquetes. Veremos un ejemplo en el caso práctico de proxy de esta misma unidad.

• Postrouting. Se utiliza para aplicar alguna modificación a los paquetes que están a punto de abandonar la máquina. Veremos un ejemplo, el NAT, en el mismo caso práctico de proxy.

Pero no todas las acciones están disponibles en todas las situaciones. Por esto las reglas se agrupan en tres tablas principales:

• filter. Es la tabla principal. Su misión es aceptar o rechazar paquetes. Es el firewall propiamente dicho.

• nat. Las reglas de esta tabla permiten cambiar la dirección de origen o destino de los paquetes.

• mangle. En esta tabla podemos alterar varios campos de la cabecera IP, como el ToS. Se suele usar para aplicar QoS, marcando los paquetes de determinados servicios para luego priorizarlos.

Firewall en Windows 7

Los sistemas operativos Windows siempre han tenido mala fama en cuanto a seguridad ante malware; sin embargo, la versión XP introdujo un firewall muy robusto y sencillo. Las versiones posteriores han mantenido la robustez, aunque han sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las necesidades del usuario.

Proxy

Un proxy es un servicio de red que hace de intermediario en un determinado protocolo. El proxy más habitual es el proxy HTTP: un navegador en una máquina cliente que quiere descargarse una página web de un servidor no lo hace directamente, sino que le pide a un proxy que lo haga por él. El servidor no se ve afectado porque le da igual quién consulta sus páginas.

• Seguridad para el software del cliente. Puede ocurrir que el software del ordenador cliente esté hecho para una versión antigua del protocolo o tenga vulnerabilidades. Pasando por un proxy actualizado evitamos estos problemas.

• Rendimiento. Si en una LAN varios equipos acceden a la misma página, haciendo que pasen por el proxy podemos conseguir que la conexión al servidor se haga solo la primera vez, y el resto recibe una copia de la página que ha sido almacenada por el proxy.

• Anonimato. En determinados países hay censura a las comunicaciones, por lo que utilizar un proxy del extranjero les permite navegar con libertad.

• Acceso restringido. Si en nuestra LAN no está activado el routing a Internet, sino que solo puede salir un equipo, podemos dar navegación al resto instalando un proxy en ese equipo.

Qué hace

El procesamiento del proxy puede llevar a decidir no generar ningún mensaje. Es decir, cortar la comunicación. Este comportamiento se decide mediante reglas. En estas reglas podemos filtrar determinadas direcciones de origen o destino, algunas directivas del protocolo, incluso contenidos. Como podemos suponer, cuanto más compleja sea la regla, más tardará el proxy en aplicarla a las peticiones que le llegan, lo que puede ralentizar en exceso la comunicación.

Dónde situarlo

Si el volumen de tráfico que pasará por el proxy es reducido y las reglas definidas son sencillas, el servidor proxy necesitará pocos recursos, por lo cual puede estar incluido en una máquina que ya ofrezca otros servicios. Si el volumen es elevado o las reglas que hemos definido son complejas, no podemos permitirnos afectar a otros servicios: necesitaremos una máquina en exclusividad. Aunque habrá que dimensionar adecuadamente el ancho de banda en esas máquinas dedicadas, porque van a recibir mucho tráfico.

Tipos de proxy

• Proxy explícito. Configuramos los navegadores de los usuarios para que utilicen el proxy de la empresa.

• Proxy transparente. En algún punto de la red un router filtrará ese tipo de tráfico y lo enviará al proxy, sin que el usuario tenga que hacer nada. Si estamos utilizando un router Linux, la solución óptima es instalarlo ahí, porque ahorramos sacar el tráfico hasta otra máquina.

Spam

En las empresas, el correo electrónico es tan importante o más que el teléfono. Los empleados necesitan estar en contacto con otros empleados de la misma empresa, con los proveedores y con los clientes. Como responsables de la infraestructura informática, debemos garantizar que los mensajes se envían y reciben con normalidad, pero también que no hacemos perder el tiempo a nuestros usuarios entregando correos no deseados (spam). Estos correos, como mínimo, llevan publicidad, pero también son una fuente de infección de virus y troyanos que pueden venir en un fichero adjunto o que aprovechan una vulnerabilidad del programa de correo.

Qué hace

• La cabecera del mensaje, buscando si el servidor de correo origen está en alguna lista negra de spammers reconocidos, si la fecha de envío utiliza un formato incorrecto, etc.

• El contenido del mensaje, buscando palabras poco relacionadas con la actividad de la empresa, mensajes cuya versión de texto plano es muy diferente de la versión HTML, etc.

• La propia experiencia del programa, según el tipo de mensajes que maneja el servidor de correo de nuestra empresa en concreto.

Cuando se detecta un correo spam, tenemos varias opciones:

• Bloquearlo aquí e impedir que llegue hasta el usuario; así le ahorramos molestias y evitamos potenciales infecciones. No se suele usar porque nunca tendremos la certeza de que no hemos eliminado algún correo importante.

• Dejarlo pasar, pero avisando al usuario de que es un correo sospechoso. Es la opción por defecto. El aviso al usuario consiste en añadir texto en el título del correo, esto le servirá al usuario para crear sus propios filtros en su programa de correo.

• Dejarlo pasar, pero convirtiendo el texto del correo en un fichero adjunto, para que sea más difícil engañar al usuario y solo lo abra si está seguro de que el correo le interesa.

SpamAssasin: configuración y monitorización

El software SpamAssasin es uno de los más extendidos por su eficacia y la amplia variedad de filtros que puede llegar a aplicar para determinar si un correo es spam. Los filtros se especifican mediante reglas. Si un mensaje cumple una regla, se le asigna una puntuación. Cuando un mensaje supera un determinado umbral, se considera que es spam.

Seguridad activa: Acceso a redes

Redes cableadas

También hay que protegerse de los ataques que vengan por la red. Una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fiables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Las consecuencias de este fallo serán, como mínimo, que el servicio queda interrumpido; pero en algunos casos el atacante puede tomar el control de la máquina.

Las primeras redes LAN cableadas eran muy inseguras, porque todos los ordenadores estaban conectados al mismo cable, de manera que cualquiera podía poner su tarjeta de red en modo promiscuo y escuchar todas las conversaciones, no solo aquellas en las que participaba. Actualmente, este miedo prácticamente ha desaparecido, porque utilizamos la arquitectura en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de red y por ahí envían sus paquetes; el switch los recibe y decide por qué puerto va a enviarlos para que lleguen al destino. Además de mejorar la seguridad, estamos mejorando el rendimiento, porque no malgastamos recursos en enviar paquetes a equipos que no les interesan.

Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades:

• Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo.

• Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración.

• Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí. Debemos aislarlas para evitar problemas de rendimiento y seguridad.

• Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing.

VLAN

Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad, porque esas máquinas solo hablan entre ellas y nadie extraño las escucha. Al mismo tiempo, si ocurre un problema en una VLAN, las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos porque, al fin y al cabo, comparten el switch.

Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc.

Para interconectar VLAN generalmente utilizaremos un router.

Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino

Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router.

Autenticación en el puerto. MAC y 802.1X

Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfi co normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos.

Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista definida en el propio switch, o, dado que las MAC son fácilmente falsificables, el que sea autentifi cado mediante RADIUS en el estándar 802.1X.

Redes inalámbricas

Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero están plenamente justificados en redes inalámbricas o WLAN, porque de nuevo el medio de transmisión es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe.

Aunque se pueden hacer redes inalámbricas entre equipos, lo más habitual son las redes de tipo infraestructura: un equipo llamado access point hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo de nuevo al aire o sacarlo por el cable que le lleva al resto de la red. Salir por el cable es la configuración más habitual en las empresas, donde la WLAN se considera una extensión de la red cableada.

• Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica, mientras que para conectar la toma de red de la mesa con el switch podemos utilizar cable de varias decenas de metros.

• Proteger el access point lógicamente (usuario/contraseña).

• Controlar qué clientes pueden conectarse a él (autenticación).

• Podemos separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada.

• Sobre todo, hay que encriptar la transmisión entre el ordenador y el AP. Así, aunque alguien capture nuestras comunicaciones, no podrá sacar nada en claro.

Asociación y transmisión

Para que un ordenador pueda trabajar en una red cableada normal, basta con enchufar un cable Ethernet entre la tarjeta de red del equipo y la toma de red en la pared, por ejemplo. En wifi se establecen dos fases: asociación y transmisión. Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación, pero sobre todo el AP puede solicitar algún tipo de autenticación para decidir si debe dejarle asociarse o no. Generalmente es una clave alfanumérica que se registra en la configuración del AP y que el usuario debe introducir para poder trabajar con él.

La autenticación es más habitual en redes inalámbricas que en redes cableadas porque, para poder llegar a conectar un cable, primero tenemos que entrar en la empresa, y se supone que no dejan pasar a cualquiera; en cambio, podemos captar la señal inalámbrica desde un coche aparcado junto a la fachada, sentados en un bar en la planta baja, etc. Aunque la empresa intente evitarlo limitando la potencia de emisión de sus AP, es imposible que no salga nada.

Las AP admiten varios tipos de autenticación:

• Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP.

• Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar.

• Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente durante la asociación.

• Autenticación por MAC: el AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.

Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP. Si queremos evitar que un tercero capture los paquetes intercambiados e intente conocer lo que transmitimos, el cliente y el AP deberán activar el cifrado de cada paquete. El tipo de cifrado se negocia durante la asociación.

• Autenticación abierta y sin cifrado: se utiliza en lugares públicos (bibliotecas, cafeterías, etc.). La intención es no molestar al usuario introduciendo claves; además, si las ponemos, habría que dar a conocer la clave mediante un cartel en el interior del establecimiento, por lo que la tendrían todos, usuarios y atacantes. En estos casos, el sistema operativo nos avisa de que vamos a conectarnos a una red sin seguridad.

• Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi.

• Autenticación compartida y transmisión cifrada: es una mala combinación, porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP.

• Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA, como veremos en el siguiente apartado de esta unidad

Cifrado: WEP, WPA, WPA2

La necesidad de encriptar las comunicaciones inalámbricas apareció desde el primer momento. Había que dar a los usuarios la confianza de que su información viajaba segura. El primer estándar se llamó WEP, intentando compensar las dos realidades:

• En redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí.

• En redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada.

Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. Capturando cierto número de tramas, en poco tiempo cualquiera podía obtener la clave WEP.

Las autoridades de estandarización empezaron a trabajar en un nuevo estándar. Se llamó WPA e introduce muchas mejoras:

• Nuevos algoritmos más seguros, tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques.

• Rotación automática de claves. Cada cierto tiempo el AP y el cliente negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente.

• Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos; en el ámbito empresarial no tiene sentido, porque si una persona abandona la empresa, habría que cambiar la clave y comunicarlo de nuevo a todos los empleados. Para resolverlo, WPA empresarial introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado.

WPA empresarial: RADIUS

Como acabamos de destacar, para las necesidades de seguridad de una empresa no es suficiente con la solución de clave única compartida por todos. Además de la salida de empleados, ya sabemos que es una buena práctica cambiar las claves regularmente, se puede extraviar el portátil o el móvil de un empleado y quien lo encuentre puede sacar las claves almacenadas en el dispositivo, etc.

• Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos.

• Los AP de la empresa tienen conexión con ese ordenador.

• Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas.

• El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor.

• Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP acepta la asociación o no.

La rotación de claves que introdujo WPA fue un paso importante para disuadir a los hackers de intentar obtener la clave mediante el análisis de la captura de tramas de tráfico de equipos ya conectados al AP.

• Probando contraseñas una tras otra. Las contraseñas serían todas las combinaciones posibles de letras y números, o una selección mediante un diccionario. Por desgracia, los AP no suelen tener un control del número de intentos fallidos, como sí ocurre en otros sistemas de autenticación que hemos visto en este libro.

• Si consiguieran capturar las tramas de inicio de conexión de un cliente, podrían aplicar un ataque de diccionario sobre la información de esas tramas. Si no queremos esperar a que aparezca un cliente nuevo, podemos forzar la desconexión de alguno.

VPN

Las empresas tienen redes LAN y WLAN para sus oficinas, pero también suelen necesitar que los empleados puedan entrar a esa misma red desde cualquier otro lugar de Internet, por cualquier motivo. Algo como establecer una VLAN entre el ordenador del empleado y la LAN de la empresa, utilizando Internet como transporte. Estamos hablando de montar una VPN.

El objetivo fi nal de la VPN es que el empleado no note si está en la empresa o fuera de ella. En ambos casos recibe una confi guración IP privada, por lo que no necesita cambiar nada en la configuración de sus aplicaciones.

El responsable de conseguir esta transparencia es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN. La gestión consiste en:

• Autentificar al cliente VPN. No podemos dejar que entre cualquiera, por lo que se utiliza el típico usuario/contraseña, tarjetas inteligentes, etc.

• Establecer un túnel a través de Internet. El driver de la VPN en el cliente le ofrece una dirección privada de la LAN de la empresa, pero cualquier paquete que intente salir por esa tarjeta es encapsulado dentro de otro paquete. Este segundo paquete viaja por Internet desde la IP pública del empleado hasta la IP pública del servidor VPN en la empresa. Una vez allí, se extrae el paquete y se inyecta en la LAN. Para que alguien de la LAN envíe un paquete a la 10.0.1.45 el proceso es similar.

• Proteger el túnel. Como estamos atravesando Internet, hay que encriptar las comunicaciones. Los paquetes encapsulados irán cifrados.

• Liberar el túnel. El cliente o el servidor pueden interrumpir la conexión cuando lo consideren necesario.

Servicios de red. Nmap y netstat

Empezamos esta unidad hablando de los riesgos de conectar un equipo a una red. Habrá una parte del software instalado en ese equipo que quiere conectar con unos equipos y que espera conexiones de esos equipos u otros. Pero pueden llegar conexiones de un cliente atacante, o nos podemos estar conectando erróneamente a un servidor atacante.

El software de los servicios de red es especialmente delicado. Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes.

Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer mediante un par de herramientas sencillas: Nmap y netstat.

La herramienta Nmap, disponible para sistemas Linux y Windows, se ha convertido en la navaja suiza de los hackers de red. Además del escaneo de puertos para determinar los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor que está escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los esperados, la herramienta reconoce el puerto como abierto y consigue identificar el servicio.

Seguridad activa: sistema operativo y aplicaciones

Carrera de obstáculos

Por muchas medidas de control de acceso que pongamos, un hacker puede sentarse delante de un equipo de nuestra empresa. O directamente robar un portátil a uno de nuestros directivos. Vamos a intentar ponérselo difícil para que su «trabajo» sea una carrera de obstáculos y, seguramente, ante alguna barrera, desista.

La caja del ordenador

Lo primero es evitar que pueda abrir la caja del ordenador para llevarse el disco duro y «destriparlo» tranquilamente en casa. La mayoría de las cajas de los ordenadores de sobremesa llevan un par de anclajes donde colocar un candado normal. También está la opción de cambiar un tornillo normal por un tornillo con llave.

Para los portátiles tenemos el famoso candado Kensington, que tiene una cabeza que se introduce por una ranura especial de la caja del portátil. La cabeza continúa en un cable de acero para que lo enrollemos en alguna parte fija. La cabeza puede utilizar una llave o una combinación de números.

Los candados son poco efectivos, pero por lo menos obligamos al ladrón a traer alguna herramienta más y le hacemos perder un tiempo precioso. Incluso si lo abre, la mayoría de las cajas de ordenador profesionales llevan un detector que graba en la memoria de la BIOS la fecha y hora en que se ha producido la apertura. Al día siguiente, cuando el empleado encienda el ordenador, aparecerá un mensaje en pantalla avisándole.

La BIOS del ordenador

Para evitar que un hacker haga una copia del disco duro en un dispositivo externo. Hay que entrar en la BIOS para modificar el orden de arranque. Por defecto suele estar puesto primero el CD/DVD y después el disco duro local HDD. Debemos cambiarlo para que el primero y único sea el HDD

     

Esta tarea se suele hacer cuando llega un nuevo equipo a la empresa. Tampoco hay que olvidar cambiar las contraseñas del administrador, porque si no ponemos ninguna o dejamos los valores por defecto, el hacker puede entrar a la BIOS y modificar el orden de arranque.

En algunas empresas incluso activan una contraseña de uso del ordenador. Es decir, al arrancar la BIOS siempre pide una contraseña, no solo cuando queremos acceder a su configuración.

Si hemos olvidado las contraseñas de la BIOS, la solución típica es retirar la pila que mantiene esos valores en memoria. En las placas base modernas directamente hay un jumper que, si está cerrado cuando el ordenador arranca, borra esos valores. Por ambos motivos hay que seguir evitando el acceso al interior de la caja del ordenador.

El boot manager

Ya hemos conseguido que el hacker no se pueda llevar nada y solo arranque la máquina desde nuestro disco local. En este disco puede ocurrir que tengamos instalados varios sistemas operativos, de manera que, al arrancar, un programa llamado boot manager nos permite elegir uno de ellos. Ahora hay que establecer quién accede a cada opción.

Cifrado de particiones

Con las barreras que hemos puesto hasta ahora, el hacker no se puede llevar nada; solo puede arrancar desde el disco local y solo puede elegir alguna de las entradas del boot manager. Pero si alguna de estas medidas falla, todavía podemos evitar que acceda a nuestros datos: vamos a cifrar el contenido, de manera que sea ilegible.

Autenticación en el sistema operativo

Hemos conseguido que nuestro hacker no pueda evitar que la máquina arranque con un sistema operativo instalado por nosotros. Comparado con lo que hemos visto hasta ahora, los sistemas operativos permiten incluir mucho más software de autenticación y más complejo. Veremos múltiples mecanismos para asegurarnos de que nuestro sistema solo lo usa quien está autorizado para ello.

Usuario/password

Es el mecanismo más típico. Aplicando la estrategia «algo que sabes», la pantalla inicial del sistema espera que la persona introduzca el nombre de un usuario y la contraseña asociada a ese usuario. Mientras lo teclea, el nombre del usuario es visible pero la contraseña no, para evitar que la vea alguien que se encuentre a nuestra espalda.

Si nos equivocamos, bien porque el usuario no existe, bien porque la contraseña no es la correcta, el sistema nos impide la entrada y nos deja intentarlo de nuevo. En algunos sistemas nos ofrece una pista sobre la contraseña, y la mayoría tiene un límite de intentos. Alcanzado ese límite, el sistema se puede bloquear durante un tiempo o defi nitivamente. Con este límite evitamos ataques de fuerza bruta que prueben una a una todas las combinaciones de letras, números y caracteres especiales.

Para poner las cosas más difíciles a los hackers, una buena medida es cambiar el nombre por defecto de los usuarios con más privilegios sobre el sistema. Así no solo tendrán que aplicar la fuerza bruta sobre la contraseña, sino también sobre el nombre del usuario. Por ejemplo, en los primeros sistemas Unix se trabajaba desde el usuario root con todos los privilegios; en la actualidad, aunque el usuario root sigue existiendo, el sistema no permite usarlo para entrar al sistema; en cambio, los privilegios se administran mediante el mecanismo sudo, como veremos más adelante.

Aun así, siempre conviene utilizar contraseñas no triviales: palabras que no aparezcan en el diccionario de ninguna lengua, combinar letras mayúsculas con minúsculas, números, signos de puntuación, etc. Y cambiar la contraseña regularmente, porque no sabemos cuánto tiempo llevan intentando atacarla.

Tarjetas

En algunas ocasiones, el mecanismo de usuario y contraseña no es suficiente: es inseguro o simplemente molesto. Para estos casos aplicaremos la estrategia «algo que tienes» y repartiremos tarjetas entre los usuarios. Por ejemplo, los cajeros automáticos de los bancos aplican una seguridad doble: la tarjeta más un número PIN.

Las tarjetas son de dos tipos: sencillas (magnéticas, RFID) o complejas (chip). Las magnéticas van desapareciendo porque las RFID son igual de baratas y no sufren borrados accidentales

Las tarjetas con chip son más seguras pero más caras, por lo que se utilizan en ocasiones especiales. Hay dos tipos:

• Las que son simplemente un dispositivo de almacenamiento: contienen nuestras claves para que las lea el dispositivo donde introducimos la tarjeta

• Las que constituyen un dispositivo de procesamiento: contienen nuestras claves, pero nunca salen de la tarjeta. El chip se limita a cifrar con ellas algún desafío que lanza el dispositivo por donde introducimos la tarjeta.

Biometría

La seguridad del mecanismo usuario/contraseña es suficiente para la mayoría de las aplicaciones. La tarjeta es cómoda. Pero cualquiera podría sentarse en nuestro ordenador, insertar nuestra tarjeta, introducir nuestro usuario y contraseña y acceder al sistema como si fuéramos nosotros mismos. Si la información que manejamos es importante, aplicaremos la estrategia «algo que eres», para complementar el mecanismo usuario/contraseña con un control más: la biometría.

La biometría consiste en identificar alguna característica física del sujeto: la huella dactilar, el ojo, la voz. La persona o personas autorizadas deben grabar primero su característica física. Por ejemplo, en la huella se graban dedos de las dos manos, por si se sufre un accidente en una de ellas. Después, cada vez que quieran utilizar el ordenador, deberán situar el dedo encima del sensor.

Como hemos dicho antes, el control biométrico no es sustitutivo del usuario/contraseña, sino complementario: conviene tener los dos para aumentar la seguridad. Aunque en algunas ocasiones sí se utiliza individualmente para ahorrar la molestia de estar pulsando teclas: por ejemplo, para acceder a alguna zona vip de la empresa.

Elevación de privilegios

Ya estamos autenticados en el sistema operativo y podemos trabajar con él, pero siempre limitados a los privilegios asociados al usuario con el que nos hemos presentado. En las empresas, la mayoría de los empleados utilizan usuarios que no tienen permiso para realizar tareas de administración de la máquina; así se reduce el daño que puedan causar, ya sea por error o porque se ha colado un virus. Pero hay determinadas situaciones para las que sí necesitamos ser administradores. Una solución es salir del usuario actual y entrar como administrador, pero es más sencillo solicitar, de manera puntual, una elevación de privilegios.

 Consiste en pedirle al sistema ejecutar un determinado programa con permisos de administrador. Se aplica solo a ese programa y solo a esa ejecución: no afecta a las aplicaciones abiertas antes o después, ni siquiera cuando abramos ese mismo programa más adelante. En cuanto al usuario, dependiendo de la configuración del sistema, simplemente aparecerá una ventana de confirmación o nos pedirá una nueva autenticación.

Cuotas

Hasta ahora hemos protegido nuestros sistemas evitando el acceso de personas no autorizadas; ahora vamos a protegerlos de las personas que sí están autorizadas. Porque nuestros usuarios, con intención o no, también pueden dañar el sistema. Por ejemplo, pueden descargar muchos archivos pesados, de manera que llenan el disco y el sistema empieza a fallar porque siempre necesita escribir en algunos ficheros; también pueden lanzar procesos muy pesados, que ralentizan
la CPU y no permiten trabajar a los demás usuarios.

• Si son muy bajas: Tendremos a los usuarios quejándose todos los días porque no les dejamos trabajar. Hay que tener especial cuidado con los usuarios que se crean porque son necesarios para arrancar una aplicación.

• Si son muy altas: No tendrán el efecto disuasorio que se espera de ellas y, al final, terminaremos comprando más disco.

Actualizaciones y parches

El CD/DVD utilizado para instalar Windows contiene una versión concreta liberada en una fecha concreta. Desde entonces, los programadores de Microsoft han seguido trabajando. El resultado son las actualizaciones, paquetes de software donde se introducen mejoras y corrigen defectos. Como administradores del sistema debemos de instalar esas actualizaciones (se descarga automáticamente de Internet)

Podemos elegir entre:

• No buscar actualizaciones ni instalarlas (no recomendado).
• Comprobar si hay actualizaciones, pero no descargarlas ni instalarlas.
• Descargar actualizaciones, pero no instalarlas.
• Descargar e instalar siempre (lo más habitual).

Los parches son parecidos a las actualizaciones, pero se utilizan solo para corregir defectos y suelen necesitar que el usuario lo descargue y lo instale. Cuando alguien detecta un problema en una aplicación, el fabricante avisa a todos los clientes afectados, les describe un workaround (si lo hay) y, cuando tiene el parche que lo arregla, les avisa para que lo descarguen de su web. Por esto es necesario tener copias originales de las aplicaciones.

Antivirus

Aunque tengamos el sistema actualizado, hay muchos hacker que quiere perjudicarnos. Son los llamados virus informáticos. Estamos hablando de malware y tenemos que evitarlo. Los virus pueden instalarse en nuestra máquina sin que lo sepamos, aprovechando algún defecto del sistema operativo o las aplicaciones instaladas. Hay veces que les "abrimos la puerta" debido a que estamos haciendo una instalación de algún sitio no oficial.

El antivirus es un programa que está vigilando continuamente lo que ocurre en nuestra máquina. Concretamente, cualquier software que se intenta ejecutar (.exe, .dll) primero pasa por el antivirus. Él lo compara con su base de datos de virus y, si lo encuentra, impide que se ejecute y avisa al usuario. Aunque el antivirus siempre va por detrás del virus, es importante tenerlo actualizado. La actualización afecta tanto a la base de datos de virus conocidos como al software del propio antivirus.

Monitorización

Después de todas las medidas de seguridad, aún no estamos seguros. Debemos de vigilar que todo esté normal. Esto consiste en: 

• Revisar los log del sistema y las aplicaciones.
• Activar la copia sincronizada del log en otra máquina.
• Revisar la ocupación del sistema (disco duro, CPU).
• Suscribirse a las newsletters de los fabricantes de nuestro software y hardware para tener a mano las últimas actualizaciones, parches..
• Participar en foros de usuarios de las mismas aplicaciones que nosotros.

La monitorización de los log consiste primero en diferenciar qué es un problema y qué no lo es. El texto de log ayuda porque suele tener un indicador de gravedad (crítica, alto, medio, bajo o simple aviso), aunque es la clasificación del fabricante. Para conocer la ocupación de recursos de una máquina podemos entrar en ella y lanzar herramientas locales.

Conviene instalar una herramienta de inventario y monitorización. El inventario es la lista de equipos y conexiones y la configuración de ambos. La monitorización es la supervisión en todo momento del estado de los elementos del inventario. En cuanto al sistema se comportan de la siguiente forma:

• Rastrean la red buscando altas y bajas de equipos en el inventario.
• Identificar los distintos equipos (ordenadores o red). Para ello es necesario que los equipos ofrezcan interfaces estándares.
• Registran una base de datos para generar informes mediante la configuración de el sistema.
• Incorporan alertas sobre la ocupación de discos, interfaz..
• Podemos monitorizar en directo la actividad de las interfaces de red, CPU..

El punto de inflexión suele ser un límite en la proporción entre el número de equipos y el número de integrantes del departamento de soporte informático. Cuando el personal ya está desbordado de trabajo, introducen estas herramientas permite automatizar las tareas rutinarias y así dejar tiempo libre a  personas que atienden los problemas.

Aplicaciones Web

Veamos las distintas evoluciones de la informática:

• En los años 60/70 eran monolíticas: La interfaz de usuario como la lógica de proceso, estaba en la misma máquina. La protección de una aplicación monolítica se centraba en proteger la máquina donde ejecutaban todos los programas.
• En los años 80/90: Aparecen los ordenadores personales y las redes de comunicaciones dentro de las empresas. Se implementan las aplicaciones con arquitectura cliente-servidor, la interfaz de usuario y parte de la lógica de proceso están en el ordenador del usuario, y el resto de la lógica de proceso está en un ordenador central, al que conectan los ordenadores de usuario mediante la red local. La protección se complica: ahora hay que proteger a cada cliente, el servidor y la red local de la empresa.
• A partir de los años 90: Internet permite extender las aplicaciones web. Las diferencias son que el cliente suele ser siempre el mismo (el navegador) y la comunicación utiliza redes públicas, sobre las que la empresa tiene nulo control. La protección es más difícil que nunca.

Las ventajas de implementar una aplicación mediante tecnologías web son:

• No necesitamos instalar nada en el cliente: solo se necesita el navegador. Con esto evitamos instalar un cliente nuevo que pueda entrar en conflicto con otras aplicaciones de la máquina, el usuario no necesita privilegios especiales para instalar programas.
• Cualquier actualización generada por nuestros programadores está inmediatamente disponible para los usuarios porque siempre descargan la página actualizada de la última versión. No hay que esperar a que todos los usuarios sean avisados de la actualización, la descarguen, instalen..

Pero debemos de tener cuidado con:

• La máquina que aloja el servidor web y sus aplicaciones accesorias. Si un hacker toma esta máquina, tiene acceso a toda la información y todas las conexiones de los usuarios. Hay que aplicar las medidas de protección que hemos estudiado en este tema.
• Si la máquina del servidor web no es nuestra, sino alquilada no tenemos control sobre las medidas de protección. Debemos confiar en la profesionalidad del proveedor.
• La transmisión entre el cliente web (navegador) y el servidor web. Muchas aplicaciones todavía utilizan el protocolo HTTP, donde todo viaja en texto en claro. En algún tramo de red puede estar escuchando un hacker y conocer qué hacemos, incluso modificarlo. Optaremos por HTTPS.
• La máquina de un usuario conectado puede haber sido hackeada y su navegador también. Es importante instalare un antivirus.

Cloud compitung

"Computación en la nube". Debemos de saber diferenciar entre computación en la nube y almacenamiento en la nube. El almacenamiento en la nube aporta flexibilidad (GB), pero se limita a guardar archivos y carpetas. La computación en la nube es más amplia, ejecuta programas que trabajan con archivos (base de datos, servidores..). Sin embargo la computación en la nube puede trabajar con archivos de almacenamiento en la nube.

A las empresas ya no les interesa conectar a Internet un servidor web de su CPD porque necesitan dedicar recursos (buena conectividad, servidores potentes..). Además, abrir al exterior las conexiones del CPD es una fuente de problemas por la cantidad de ataques que nos pueden llegar.

No convence alquilar espacio en un hosting porque, si es un servidor web compartido, el rendimiento es bajo; si es un hosting dedicado, suelen ser máquinas individuales de media potencia.

LaaS: Infraestructure as a service

La empresa quiere una máquina entera (Linux, Windows..) en un proveedor, pero con una diferencia al hosting dedicado: esa máquina ejecutará en un entorno virtual, de manera que podemos regular la potencia. Si la aplicación está en exceso de carga, contratamos más CPU y más RAM (más costes). Cuando ya no lo esté, volveremos a la configuración básica. Incluso se puede solicitar que arranquen más máquinas (instancias). El proceso es el mismo que las instalaciones de máquinas virtuales. Aun así, seguiremos necesitando personal autorizado para administrar las distintas máquinas.

SaaS: Sowfware as a service

Las empresas que no tienen suficientes recursos para contratar LaaS, eligen SaaS, aplicaciones completas donde el mismo proveedor se encarga del desarrollo de la aplicación, su mantenimiento y también pone las máquinas y la conectividad.

En cuanto a la protección de las aplicaciones, en ambos casos (laaS, SaaS), como ya ocurría con el hosting, perdemos el control sobre la seguridad de la máquina y el software que ejecuta en ella. Confiamos en la profesionalidad del proveedor y redactar los SLA del contrato del servicio.

Seguridad Pasiva: Almacenamiento

Estrategias de almacenamiento

Para una empresa, la parte más importante de la informática son los datos: sus datos.

Porque:

• El hardware es caro, pero se puede volver a comprar.
• Un informático muy bueno puede despedirse, pero es posible contratar otro.
• Si una máquina no arranca porque se ha corrompido el sistema de ficheros (el típico BSOD), puedes instalar de nuevo el sistema operativo y las aplicaciones desde los CD o DVD originales.

Bien, puesto que los datos son tan importantes, hay que esforzarse especialmente en mejorar su integridad y disponibilidad

• Podemos comprar los mejores discos del mercado en calidad (MTBF) y velocidad; aunque nunca debemos olvidar que son máquinas y pueden fallar (salvo los SSD, todos los discos tienen partes móviles). En un puesto de usuario nos lo podemos permitir (lo cambiamos y listo): en un servidor hemos visto que no.

• Podemos concentrar los discos en unos servidores especializados en almacenamiento.

• Podemos replicar la información varias veces y repartirla por ciudades distintas.

• Podemos contratar el servicio de respaldo de datos a otra empresa, conectados por Internet, para no depender de nuestros equipos y personal.

Rendimiento y redundancia. RAID en Windows y Linux

Los ordenadores pueden conectar varios discos internos porque las placas base suelen traer integrada una controladora de discos para dos o tres conexiones. Y si pinchamos más controladoras

Crear unidades más grandes. Dos discos de 500 GB juntos nos pueden dar una unidad de 1 TB. Con tres discos tenemos 1,5 TB, etc. Por ejemplo, si queremos ripear un Blu-ray de 25 GB y solo tenemos discos de 20 GB, necesitamos juntar dos en una unidad de 40 GB.

Crear unidades más rápidas. Si tenemos dos discos de 500 GB y configuramos el sistema para que, en cada fichero, los bloques pares se escriban en un disco y los impares en otro, después podremos hacer lecturas y escrituras en paralelo.

Crear unidades más fiables. Si configuramos los dos discos anteriores para que, en cada fichero, los bloques se escriban a la vez en ambos discos, podemos estar tranquilos porque, si falla un disco, los datos estarán a salvo en el otro.

Pues una de las tecnologías que lo consigue se llama RAID. Hay varios niveles de RAID.

Los más importantes son:

• RAID 0. Agrupamos discos para tener un disco más grande, incluso más rápido. Desde ese momento, los bloques que lleguen al disco RAID 0 se escribirán en alguno de los discos del grupo. Por supuesto, para el usuario este proceso es transparente: él solo ve un disco de 1 TB donde antes había dos discos de 500 GB. En el RAID 0 podemos elegir entre spanning y striping (que es lo más común). En cualquier caso, si falla uno de los discos, lo perdemos todo.

• RAID 1. Se le suele llamar mirror o espejo. Agrupamos discos por parejas, de manera que cada bloque que llegue al disco RAID 1 se escribirá en los dos discos a la vez. Si falla uno de los discos, no perdemos la información, porque estará en el otro. A cambio, sacrificamos la mitad de la capacidad (el usuario ha conectado dos discos de 500 GB y solo tiene disponibles 500 GB, en lugar de 1 TB) y no ganamos rendimiento.

• RAID 5. Hemos visto que el RAID 0 es más rápido que cada uno de los discos, pero tan seguro como cualquiera de ellos. El RAID 1 es más seguro que los discos por separado, pero con el mismo rendimiento. El RAID 5 consigue ambas cosas aplicando dos mecanismos:

Para cada dato que el sistema quiere almacenar en el RAID, este aplica un procedimiento matemático para obtener información complementaria a ese dato, de tal manera que se puede recuperar el dato en caso de perder cualquier disco

Una vez obtenida la paridad, se hace striping para repartir el dato y su paridad por los discos conectados al RAID.

Almacenamiento en red: NAS y SAN. Clústers

Pero en las empresas se suele trabajar en equipo, compartiendo ficheros entre varios ordenadores. Tenemos que pensar cómo compartir ficheros y cómo hacerlo con seguridad

• Hacer de servidor de ficheros afectará al rendimiento de sus aplicaciones (Office, Chrome), y viceversa.

• Estaríamos pendientes de si la otra persona lo ha apagado al salir de la oficina

• Es un ordenador personal, luego es probable que no disponga de RAID ni copias de seguridad.

• Estamos expuestos a que un virus entre en ese ordenador y borre todo.

• Podemos instalar el software estrictamente necesario y tenerlo actualizado

• Estará bajo la supervisión del personal del CPD, lo que garantiza estar encendido todo el tiempo, formar parte de la política de copias de seguridad de la empresa, detectar cuando el disco está próximo a llenarse, etc.

• Si, además, es un servidor especializado en almacenamiento, dispondrá de hardware suficiente para desplegar configuraciones RAID, una memoria caché de alto rendimiento, etc.

Almacenamiento en la nube y P2P

• Queremos colgar ficheros para nuestros clientes y proveedores.

• Cuando estamos fuera de la oficina podemos necesitar algún fichero

• Vamos a continuar en casa un trabajo que tenemos a medias.

• Simplemente queremos una copia de unos documentos importantes en otro lugar que no sea la oficina.

Para un empleado, una solución simple es guardarlo todo en un pendrive USB. Pero se pierden con demasiada facilidad (y la información que va puede ser muy importante: conviene haberla cifrado) y además no podríamos trabajar simultáneamente con otros compañeros (aunque cada uno lleve su pendrive, los siguientes cambios no estarían sincronizados).
La solución habitual era abrir un acceso directo desde Internet hasta los discos de la empresa. Funciona, aunque es delicado, porque al final es una «puerta trasera» por donde pueden intentar entrar hackers, y llegar hasta esos discos o cualquier otro servidor nuestro.

La primera generación (Megaupload, FileServe, etc.) consiste en que un usuario sube un fichero a una web para que lo descarguen otros usuarios conectados a esa web.
Pero resulta incómodo, primero porque solo almacena ficheros, sin una estructura de carpetas; y, segundo, porque si queremos todos los ficheros de una carpeta, hay que ir uno por uno, o comprimirlos en un zip y subirlo.

La segunda generación  es más simple: directamente sincronizan carpetas de los dispositivos entre sí y con los servidores del proveedor. Cualquier cambio que hagas en cualquier dispositivo automáticamente ocurre en los demás dispositivos y en el disco del proveedor, sin necesidad de acordarse de conectar a una web y hacer la descarga.

Todos estos servicios tienen ventajas e inconvenientes:

Nuestros datos están fuera de nuestras instalaciones, por lo que podemos acceder a ellos a cualquier hora, sin estar allí, y con la tranquilidad de que cualquier desastre que ocurra en la oficina no les afectará.

La empresa proveedora del servicio de almacenamiento en la nube se preocupa por hacer copias de seguridad de los datos que subimos; incluso suelen conservar versiones anteriores de cada fichero que modificamos.

La conectividad a Internet de estas empresas suele ser muy superior a la nuestra, por lo que el acceso es rápido. Y al mismo tiempo no ocupamos ancho de banda de nuestra conexión.

Sin embargo, perdemos el control sobre el acceso a nuestra información. Tenemos que confiar en la capacidad técnica y humana del proveedor de almacenamiento en la nube para evitar ataques sobre sus servidores (de nuevo, conviene cifrar los archivos que subimos a la nube). Y confiar también en que no incurre en prácticas delictivas, como el caso Megaupload, que cierra el servicio a todos los clientes, inocentes o no.

Las soluciones P2P (peer to peer) están muy extendidas entre particulares (eMule, Torrent); las empresas no suelen recurrir a ellas para información confidencial porque, si en almacenamiento en la nube teníamos que desconfiar de un proveedor, en P2P son miles. Pero sí son interesantes para difusión de contenidos, como hace PandoNetworks.

Backup de datos

Ni el RAID 1 ni el RAID 5 nos permiten dormir tranquilos. Estamos protegidos ante el fallo de uno de los discos, pero no si fallan dos. O si se incendia la sala y arde el servidor. O si alguien accede a la máquina y la formatea. Podemos ver el RAID como una forma de seguir funcionando, aunque haya fallecido uno de los discos. Pero nuestros datos son más importantes y hay que seguir protegiéndolos. Por eso haremos copias y las llevaremos lo más lejos posible.

• Primero vamos a distinguir entre:

• Backup de datos. Copia de seguridad de los datos del usuario o empresa que están almacenados en un ordenador.

• Imagen del sistema. Copia de seguridad de los programas (sistema operativo y aplicaciones) que están instalados en un ordenador.

Normalmente se hace una imagen del sistema justo después de instalarlo y configurarlo, o después de la instalación de una aplicación importante. En cambio, el backup de datos hay que hacerlo diariamente, incluso con más frecuencia, dependiendo de la actividad de la empresa.

• El segundo paso es identificar los datos que tenemos que salvar. Aquí tenemos que distinguir entre:

• Ficheros. Pueden ser unidades enteras, la típica carpeta Mis Documentos, etc. Existe la complicación de detectar los ficheros que están siendo modificados precisamente cuando se ha lanzado la copia.
• Sistemas complejos. como las bases de datos, donde la concurrencia de cambios suele ser mucho más alta que con ficheros, porque una operación afecta a varias tablas. Por este motivo, los servidores de base de datos tienen sus propios mecanismos de exportación del contenido de las tablas.

• Finalmente, para cada tipo de información identificada en el paso anterior, hay que acordar la frecuencia de respaldo. En un supermercado, para la base de datos de empleados puede ser suficiente efectuar una copia diaria o semanal; pero la base de datos de ventas no puede esperar tanto.

Tipos de dispositivos locales y remotos. Robot de cintas

• Una vez hemos confirmado qué información del disco duro queremos conservar y con qué frecuencia, hay que decidir dónde hacemos la copia: soporte físico y ubicación de este soporte físico. En cuanto al soporte físico, podemos pensar en:

• Usar otra partición del mismo disco duro. No es buena idea, porque si falla el disco, lo perdemos todo. Por cierto, esta es la solución de los ordenadores personales para evitar entregar DVD de instalación del sistema operativo.

• Usar otro disco de esa máquina; pero si se destruye la máquina, lo perdemos todo.

• Pasarlo a un disco duro extraíble para llevárnoslo, o quizá el disco duro de otra máquina al que accedemos por FTP. Sería aceptable, pero los discos duros son relativamente caros; por lo menos, mucho más que otras tecnologías de almacenamiento, como las cintas o los discos ópticos, que además son fáciles de transportar y realmente no necesitamos las elevadas prestaciones de un disco duro.

• Si podemos elegir entre cintas y discos, mejor las cintas porque tienen más capacidad y son más fiables y reutilizables. Las cintas más usadas son las LTO

La facilidad de extraer un soporte y poner otro es vital. Primero porque evitamos estar siempre utilizando el mismo elemento, lo que acelera su deterioro, y sobre todo porque las copias de seguridad, si podemos, hay que conservarlas lo más alejadas posible del disco copiado, para evitar que un desastre en la sala de ordenadores también termine con las copias. Por ello:

• Si nuestra empresa tiene dos sedes, conviene que las cintas de una sede se intercambien con las cintas de la otra por mensajería.

• Si solo hay un edificio, en la parte opuesta al CPD.

• Deben estar siempre en una sala con control de acceso, para evitar que cualquiera llegue hasta nuestros datos.

• Dentro de la sala, hay que meterlas en un armario ignífugo.

Una vez elegido el soporte, hay que decidir dónde ponerlo. Alguien debería ir máquina por máquina cambiando las cintas, y etiquetando perfectamente de qué máquina son y a qué día corresponden. Interesa centralizar estas tareas repetitivas y que las hagan máquinas, no personas. En las empresas se suele instalar una librería de cintas donde se hace el backup de todos los servidores de la empresa y también aquellos puestos de trabajo que lo necesiten. Cada cinta está etiquetada y el robot mantiene una base de datos donde registra qué cinta utilizó en cada momento. Las etiquetas suelen ser códigos de barras y también RFID.

Este dispositivo remoto está conectado a la LAN de la empresa o directamente a los servidores mediante SAN. Ejecuta un software servidor que conecta con un software cliente instalado en cada equipo seleccionado. Normalmente, la red que utiliza es una LAN o VLAN distinta a la LAN de trabajo (los ordenadores con función de servidor suelen llevar dos interfaces de red). Al utilizar una LAN diferente, la actividad de la empresa no se afectada por el tráfico de backup, y viceversa.

Tipos de copias 

• Completa: Incluye toda la información identificada. Si era una unidad de disco, todos los archivos y carpetas que contiene; si era una base de datos, la exportación de todas sus tablas.

• Diferencial: Incluye toda la información que ha cambiado desde la última vez que se hizo una copia de seguridad completa. Por ejemplo, si el lunes se hizo una completa y el martes solo ha cambiado el fichero a.txt, en la cinta del martes solo se escribe ese fichero. Si el miércoles solo ha cambiado el fichero b.doc, en la cinta del miércoles se escribirán a.txt y b.doc.

• Incremental: Incluye toda la información que ha cambiado desde la última copia de seguridad, sea completa o incremental. En el ejemplo anterior, la cinta del martes llevará el fichero a.txt, pero la cinta del miércoles solo b.doc.

Imagen del sistema

La imagen del sistema no es tan importante como los datos, porque en último extremo podríamos instalar desde cero, con el CD/DVD del sistema operativo y las aplicaciones necesarias, y después aplicaríamos a ambos las opciones de configuración que tenemos documentadas. Pero este proceso es lento y generalmente necesita que un técnico esté presente (y también se puede equivocar); una imagen nos ayudará a recuperar el sistema rápidamente y sin errores.

La imagen de un sistema es un volcado del contenido del disco duro. Con todo: ejecutables y datos del sistema operativo, ejecutables y datos de las aplicaciones instaladas y datos personales de los usuarios. Generalmente se comprime en un único fichero que ocupa muchos gigabytes, dependiendo del tamaño del disco, la ocupación y el tipo de contenidos. Ese fichero suele estar cifrado y se almacena lejos del sistema original, como hacemos con las cintas del backup.

Como hemos explicado antes, la imagen no es un método adecuado de hacer copias de seguridad en una empresa. Es cierto que copiamos todo, programas y datos, pero es un proceso lento durante el cual el sistema no está operativo, lo que es incompatible con la misión crítica que la informática desempeña en una empresa

Creación y recuperación. LiveCD

Existen distintas herramientas para crear y recuperar imágenes, pero puede suponer inconvenientes. Veamos una solución sencilla para cualquier plataforma hardware habitual. Consiste en la utilización de un LiveCD Linux, con el cual arrancaremos el ordenador cuyo disco queremos clonar. Una vez dentro, elegiremos el dispositivo local o remoto donde almacenar la imagen (generalmente, un disco USB) y procederemos a ejecutar la copia. Por supuesto, una solución alternativa es apagar el ordenador, extraer el disco duro, pincharlo en otro ordenador y hacer la copia allí. El LiveCD nos ahorra esas manipulaciones.

Las ventajas de LiveCD son:

• Permite clonar sistemas Windows o Linux porque trabajamos con el disco duro.

• Es una solución válida para cualquier hardware.

• El formato del fichero es estándar, de manera que un fichero creado con LiveCD se puede recuperar con otro LiveCD diferente.

Los inconvenientes son:

• Como cualquier imagen hay que recuperarla entera.

• Durante la recuperación estamos escribiendo en todo el disco.

• El tamaño del disco donde recuperamos debe de ser el mismo que el disco original.

• No incluye opciones avanzadas, como dejar la imagen en el mismo disco e instalar un gestor de arranque que permita recuperarla fácilmente, como ocurre en los ordenadores actuales. Aunque es una opción poco fiable, porque el daño del disco que nos lleva a recuperar la imagen le puede haber afectado a ella.

Congelación

En algunos entornos interesa dar una configuración estable al ordenador y después impedir cualquier cambio, venga del usuario o de algún intruso (virus, troyano, etc.). El ejemplo más típico son las salas de ordenadores de un cibercafé: cuando se acaba el tiempo de alquiler del puesto, hay que borrar cualquier rastro (ficheros personales).

Esta es la misión del software de congelación: una vez instalado, toma nota de cómo está el sistema (snapshot) y, desde ese instante, cualquier cambio que ocurra en el sistema podrá ser anulado cuando el administrador lo solicite (en el caso del cibercafé se configura para que ocurra de manera automática en el próximo arranque).

Los sistemas Windows también incluyen esta funcionalidad de crear puntos de restauración, pero la funcionalidad es limitada, porque solo se preocupan de programas, no de datos. Las herramientas de congelación suelen permitir mantener varios snapshots, para facilitar volver a otras situaciones pasadas; aunque el espacio ocupado en el disco puede llegar a ser un problema.

El principal inconveniente de esta solución aparece cuando queremos instalar un programa nuevo. En algunos programas hay que descongelar, instalar y volver a congelar; en otros simplemente recordar que, si alguna vez recuperamos un snapshot anterior, habría que volver a instalarlo. Y esto se agrava con el hecho de que la mayoría de los sistemas operativos y las aplicaciones se actualizan con mucha frecuencia (el famoso Patch Tuesday). Por tanto, las soluciones de congelación tienen una aplicabilidad bastante limitada porque es difícil administrar los distintos snapshots (nos pueden interesar unos ficheros de uno y otros de otro).

Registros de Windows y puntos de restauración

Los sistemas Windows incluyen una funcionalidad similar al software de congelación del apartado anterior: se llaman puntos de restauración y recogen el estado de los ejecutables y la configuración del sistema operativo (no se incluyen los documentos de los usuarios). Es importante crear un punto de restauración antes de efectuar cambios importantes en el sistema, como la instalación o sustitución de drivers o la aplicación de parches. De hecho, las actualizaciones automáticas de Windows siempre crean primero un punto de restauración.

Si el cambio aplicado ha sido un desastre, podemos volver a la situación anterior utilizando el punto de restauración. Es una operación irreversible: una vez lanzado, no podemos interrumpirlo y el sistema quedará con esa configuración. Por este motivo, en las versiones modernas, como Windows 7, podemos consultar exactamente los ficheros que se van a modificar.

Si el cambio solo afecta a la configuración, entonces nos podemos limitar a proteger el registro. El registro es una base de datos interna donde el sistema operativo y las aplicaciones anotan información de configuración. Si sufre algún daño o se manipula indebidamente, las aplicaciones afectadas pueden dejar de funcionar y necesitar ser instaladas de nuevo.

Herramientas del chequeo de discos

Ya sabemos cómo proteger nuestros datos frente a un fallo en un disco (RAID, backup, almacenamiento en la nube, etc.). Pero no deberíamos esperar sentados hasta que un disco falle y confiar en que entrará en funcionamiento el mecanismo de respaldo. Siempre es aconsejable tomar medidas preventivas, en este caso la detección temprana del fallo.