Hablar de la Seguridad en servidores hoy en da es un tema que ya no es tan

desconocido para el mundo, todos saben que existen ataques cibernticos,

piratas, hackers, crackers e incluso espas informticos que quieren obtener o
aduearse de tu informacin para usarla a su beneficio o solo curiosos
informticos que intentan loguearse a un servidor, pagina web o aplicacin para
medir su nivel de conocimiento o capacidad de violentar un sistema con el fin
de solo alimentar su ego y decir logre hackear una pgina.
Pero:
Qu pasa cuando estas de este lado y te toca proteger la informacin?
Cundo debes proteger los equipos?, los servidores?, la conexin a esos
servidores?
En ese momento es donde comienzas a estudiar cmo proteger los equipos
que estn bajo tu responsabilidad?, ah es donde se aplica la seguridad
informtica a nivel de redes y servidores.
Y es de lo qu les hablare en esta ponencia,
Definamos primero Qu es un servidor?:
Un servidor es una computadora que, formando parte de una red, provee
servicios a otras computadoras denominadas clientes. Existe una gran variedad
de servidores que desarrollan variadas funciones.
Un servidor no es necesariamente una mquina de ltima generacin de
grandes proporciones, no es necesariamente un superordenador; un servidor
puede ser desde una computadora de bajo recursos, hasta una mquina
sumamente potente (ej.: servidores web, bases de datos grandes, Servidor de
archivo, Servidor de impresiones, Servidor de correo, Servidor de fax, Servidor
de la telefona, Servidor proxy, Servidor del acceso remoto (RAS), Servidor de
uso, Servidor de Base de Datos (DataBase Server), Servidor de reserva,
Servidor de impresin, Servidor dedicado, Servidor no dedicado, etc.
Procesadores especiales y hasta varios terabytes de memoria). Todo esto
depende del uso que se le d al servidor.
Qu sistemas operativos se usan para que sea un servidor?
FreeBSD: es un sistema operativo libre para computadoras basado en las CPU
de arquitectura Intel, incluyendo procesadores Intel 80386, Intel 80486
(versiones SX y DX), y Pentium. Tambin funciona en procesadores
compatibles con Intel como AMD y Cyrix.
Linux: es un ncleo libre de sistema operativo (tambin suele referirse al
ncleo como kernel) basado en Unix. Es uno de los principales ejemplos de
software libre y de cdigo abierto. Linux est licenciado bajo la GPL v2 y est
desarrollado por colaboradores de todo el mundo.
Mac OS X Server: es un sistema operativo para servidores desarrollado por
Apple Inc. basado en Unix. Es idntico a su versin de escritorio, pero incluye

adems herramientas administrativas grficas para la gestin de usuarios,

redes, y servicios de red como LDAP, Servidor de correo, Servidor Samba,
DNS, entre otros.
Microsoft Servers (anteriormente llamado Windows Server System) es una
marca que abarca una lnea de productos de servidor de Microsoft. Esto incluye
las ediciones de servidor de Microsoft Windows su propio sistema operativo,
as como productos dirigidos al mercado ms amplio de negocio. Algunas
versiones: Windows 2000 Server, Windows Server 2003, Windows Server
2008, Windows HPC Server 2008, Windows Server 2008 R2, Windows Server
2012, Windows Small Business Server, Windows Essential Business Server,
Windows Home Server.
Novell Netware es un sistema operativo. Es una de las plataformas de servicio
para ofrecer acceso a la red y los recursos de informacin, sobre todo en
cuanto a servidores de archivos.
Solaris es un sistema operativo de tipo Unix desarrollado desde 1992
inicialmente por Sun Microsystems y actualmente por Oracle Corporation
como sucesor de SunOS. Es un sistema certificado oficialmente como versin
de Unix. Funciona en arquitecturas SPARC y x86 para servidores y estaciones
de trabajo.
Unix (registrado oficialmente como UNIX) es un sistema operativo portable,
multitarea y multiusuario; desarrollado, en principio, en 1969, por un grupo de
empleados de los laboratorios Bell de AT&T, entre los que figuran Ken
Thompson, Dennis Ritchie y Douglas McIlroy.
Windows NT es una familia de sistemas operativos producidos por Microsoft,
de la cual la primera versin fue publicada en julio de 1993. Previamente a la
aparicin del Windows 95 la empresa Microsoft concibi una nueva lnea de
sistemas operativos orientados a estaciones de trabajo y servidor de red. Un
sistema operativo con interfaz grfica propia, estable y con caractersticas
similares a los sistemas de red UNIX.

Seguridad Fsica en los servidores.

El primer paso para establecer la seguridad de un servidor o un equipo

es decidir adecuadamente dnde vamos a instalarlo. Esta decisin
puede parecer superflua, pero nada ms lejos de la realidad: resulta vital
para el mantenimiento y proteccin de nuestros sistemas. Los planes de
seguridad fsica se basan en proteger el hardware de los posibles
desastres naturales, de incendios, inundaciones, sobrecargas elctricas,
robos y otra serie de amenazas.
Se trata, por tanto, de aplicar barreras fsicas y procedimientos de
control, como medidas de prevencin y contra medidas para proteger los
recursos y la informacin, tanta para mantener la seguridad dentro y
alrededor del Centro de Clculo como los medios de acceso remoto a l
o desde l.

Ubicacin y proteccin fsica.

Cuando hay que instalar un nuevo centro de clculo es necesario fijarse

en varios factores. En concreta, se elegir la ubicacin en funcin de la
disponibilidad fsica y la facilidad para modificar aquellos aspectos que
vayan a hacer que la instalacin sea ms segura. Existen una serie de
factores que dependen de las instalaciones propiamente dichas, como
son:
El edificio. Debemos evaluar aspectos como el espacio del que se
dispone, cmo es el acceso de equipos y personal, y qu caractersticas
tienen las instalaciones de suministro elctrico, acondicionamiento
trmico, etc. Igualmente, hemos de atender a cuestiones de ndole fsica
como la altura y anchura de los espacios disponibles para la instalacin,
si tienen columnas, cmo es el suelo, la iluminacin, etc.
Tratamiento acstico. En general, se ha de tener en cuenta que habr
equipos, como los de aire acondicionado, necesarios para refrigerar los
servidores, que son bastante ruidosos. Deben instalarse en entornos
donde
el
ruido
y
la
vibracin
estn
amortiguados.
Seguridad fsica del edificio. Se estudiar el sistema contra
incendios, la proteccin contra inundaciones y otros peligros naturales
que
puedan
afectar
a
la
instalacin.
Suministro elctrico propio del CPD. La alimentacin de los equipos
de un centro de procesamiento de datos tiene que tener unas
condiciones especiales, ya que no puede estar sujeta a las fluctuaciones
o picos de la red elctrica que pueda sufrir el resto del edificio. No suele
ser posible disponer de toda una red de suministro elctrico propio, pero
siempre es conveniente utilizar un sistema independiente del resto de la
instalacin y elementos de proteccin y seguridad especficos, como
sistemas
de
alimentacin
ininterrumpida.
Existen otra serie de factores inherentes a la localizacin, es decir,
condiciones ambientales que rodean al local donde vayamos a instalar el
CPD. Los principales son los factores naturales (fro, calor,
inundaciones, incendios o terremotos); los servicios disponibles,
especialmente de energa elctrica y comunicaciones (antenas, lneas
telefnicas, etc.), y otras instalaciones de la misma zona; y la seguridad
del entorno, ya que la zona donde vaya situarse el CPD debe ser
tranquila, pero no un sitio desolado. Otros factores que han de tenerse
en consideracin son el vandalismo, el sabotaje y el terrorismo.

Factores para elegir la ubicacin.

Dnde se debe instalar el CPD

(Centro de Procesamiento de Datos).

Atendiendo solo a estos factores ya podemos obtener las primeras

conclusiones para instalar el CPD en una ubicacin de caractersticas
idneas. As pues, siempre que podamos, tendremos en cuenta que:
Deben evitarse reas con fuentes de interferencia de radiofrecuencia,
tales como transmisores de radio y estaciones de TV.
El CPD no debe estar contiguo a maquinaria pesada o almacenes con
gas inflamable o nocivo.
El espacio deber estar protegido ante entornos peligrosos,

especialmente inundaciones.
Se buscar descartar:
pre Zonas cercanas a paredes exteriores, planta baja o salas de espera,
ya que son ms propensas al vandalismo o los sabotajes.
Stanos, que pueden dar problemas de inundaciones debido a
caeras principales, sumideros o depsitos de agua.
ltima planta, evitando desastres areos, etc.
Encima de garajes de vehculos de motor, donde el fuego se puede
originar y extender ms fcilmente.
Segn esto, la ubicacin ms conveniente se sita en las plantas
intermedias de un edificio o en ubicaciones centrales en entornos
empresariales.

Controles de acceso.

De modo complementario a la correcta eleccin de la ubicacin del CPD es

necesario un frreo control de acceso al mismo. Dependiendo del tipo de
instalacin y de la inversin econmica que se realice se dispondr de distintos
sistemas de seguridad, como los siguientes:
Servicio de vigilancia, donde el acceso es controlado por personal de
seguridad que comprueban la identificacin de todo aquel que quiera acceder a
una ubicacin. En general, suele utilizarse en el control de acceso al edificio a
al emplazamiento y se complementa con otros sistemas en el acceso
directa al CPD.
Detectores de metales y escneres de control de pertenencias, que
permiten revisar a las personas, evitando su acceso a las instalaciones con
instrumentos potencialmente peligrosos o armas.
Utilizacin de sistemas biomtricos, basados en identificar caractersticas
nicas de las personas cuyo acceso est autorizado, como sus huellas
digitalizadas o su iris.
Proteccin electrnica, basada en el uso de sensores conectados a centrales
de alarma que reaccionan ante la emisin de distintas seales. Cuando un
sensor detecta un riesgo, informa a la central que procesa la informacin y
responde segn proceda, por ejemplo emitiendo seales sonoras que alerten
de la situacin.

Recuperacin en caso de desastre.

Nuestro objetivo debe ser siempre evitar daos en el CPD, pero hay que ser
realistas y tener preparado un plan de contingencia que debe ponerse en
marcha en caso de desastre. Una opcin que ha de tenerse en cuenta es tener
un centro de backup independiente, de modo que aunque los equipos del CPD
queden fuera de servicio por una avera muy grave, la organizacin podr
seguir realizando su actividad con cierta normalidad. Dentro de los planes de
contingencia debemos tener en cuenta la realizacin de sistemas redundantes,
como los sistemas RAID y el uso de copias de seguridad. En caso de que se
produzca un desastre, el primer paso es que se rena el comit de crisis para
evaluar los daos. Si se decide poner en marcha el plan de contingencia, es
importante que los trabajos comiencen por recuperar las bases de datos y
ficheros esenciales, as como desviar las comunicaciones ms crticas al centro

alternativo, desde donde se comenzar a operar en las reas que sean

prioritarias, ya que de no hacerlo las consecuencias podran ser desastrosas.

La seguridad fsica del hardware es el ltimo punto a estudiar por un

consultor de seguridad fsica. En nuestro mtodo de ir de lo global a lo
especfico llegamos ahora a la parte ms especfica del sistema, al
propio hardware. Aqu la seguridad fsica se torna ms ardua, puesto
que los sistemas informticos suelen estar cercanos al usuario final o al
mismo administrador, por lo que estn expuestos a un mayor peligro de
mal uso o uso malintencionado. Puesto que aqu no podemos confiar
plenamente en el cumplimiento de polticas o normativas de uso de las
mquinas y como estas mquinas estn ms expuestas a intrusos
ajenos al personal de la empresa que hayan superado los controles de
acceso de niveles superiores debemos configurar estas mquinas y
dispositivos de red de forma que sea lo ms complicado posible el
realizar manipulaciones sobre ellos, tanto a nivel fsico como a nivel
informtico siempre que sea posible.

Acceso fsico a las mquinas y

dispositivos .

Es inevitable que el personal tenga acceso fsico a las mquinas sobre

las que deben trabajar, y en algunos casos incluso a los dispositivos de
red. Cuando el usuario debe usar el hardware directamente, como
usando disqueteras, CDROMs o similares la mquina que alberga estos
dispositivos debe estar cercana al usuario. Lo mismo es aplicable para
los servidores y dispositivos de red y los administradores de sistemas,
para poder realizar su trabajo tienen que tener normalmente acceso
fsico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar mediante el estudio de
la red y de las aplicaciones que han de correr los usuarios finales el
mantener al menos los servidores y los dispositivos de red lejos del
usuario final, en racks, armarios o centros de datos. Los usuarios podrn
acceder a sus datos a travs de la red local y mantener los datos
importantes a salvo, aunque el hardware donde van a trabajar este
desprotegido por estar en su puesto de trabajo. Los sistemas NAS y
otros sistemas de almacenamiento de datos o servidores de
aplicaciones pueden ayudar en esto.

Seguridad fsica del hardware.

Monitorizacin del hardware.

Hablaremos aqu sobre la monitorizacin fsica de los equipos y

dispositivos de red. Es aconsejable de vez en cuando realizar una
inspeccin fsica de todo el hardware instalado en la empresa, buscando
todos los puntos de fallo y errores que comentamos en este documento
y cualquier otro que podamos encontrar o que se nos ocurra. Es una
tarea que no lleva demasiado tiempo y que puede suponer la diferencia
entre tener una red y un hardware seguros o no tenerlos. Si tenemos

personal de vigilancia con la capacidad tcnica para realizar esta tarea

se les puede encargar a ellos, en caso contrario uno de los
administradores o encargados de la seguridad deber realizar una ronda
de vigilancia de los equipos cada cierto tiempo para comprobar que todo
est como debe estar. No es necesario la contratacin de personal de
consultora para realizar este tipo de estudios o vigilancias rutinarias del
hardware, basta con detectar los fallos ms evidentes y tener el sistema
actualizado y en un estado conocido.
Es aconsejable la implantacin de una poltica de seguridad fsica del
hardware que debe cumplirse, pero tan importante como imponer esta
poltica es la monitorizacin de que esta poltica se cumple y que el
hardware cumple las medidas de seguridad fsica que hayamos
decidido.

El caso es el siguiente: Contratamos a un consultor externo o a personal

de mantenimiento para realizar una serie de acciones sobre nuestro
hardware. Como nos aseguramos que nicamente va a realizar las
manipulaciones para las que le hemos contratado y no otras? Es
sencillo, lo nico que debemos hacer es tener un formulario que el
personal externo deber firmar y donde se especificar la fecha de la
manipulacin, la manipulacin exacta que se le permite hacer y si es
necesario tambin lo que no se le permite hacer. De esta forma
aseguramos que la persona que trabaje sobre nuestros sistemas no va a
realizar ms manipulacin que la contratada.
Siempre es conveniente que una persona del personal de administracin
est presente cuando se realice cualquier mantenimiento o consultora
sobre sistemas crticos de la empresa, pues as podr vigilar que las
acciones realizadas son las correctas e incluso podr asesorar al
consultor o personal de mantenimiento si este tiene algn tipo de duda
sobre el sistema.

Control del acceso del personal

externo contratado al hardware.

Alojamiento fsico de las mquinas.

Hemos hablado ya bastante sobre el alojamiento fsico de las mquinas

principales que proporcionan los servicios crticos de la empresa,
incluidos los servidores de archivos, los servidores de aplicaciones, los
sistemas de backup y todas las mquinas que proporcionan seguridad
informtica a la empresa, como firewalls, detectores de intrusos y
similares. Ahora vamos a ir un poco ms all hablando sobre las
mquinas que estn ms cerca del usuario final, como los equipos de
escritorio y los concentradores departamentales.
La regla a aplicar en este caso es la misma que hemos aplicado para los
dems sistemas. Cuanto menos acceso tenga el usuario final a las
mquinas sobre las que tiene que trabajar y que contienen los datos
sobre los que trabaja y su propio trabajo, as como los dispositivos de
red local como concentradores y similares, mejor para la seguridad

fsica. Idealmente se alojarn todas las mquinas a las que no deba

acceder fsicamente el usuario final en racks y armarios, o se
implantarn sistemas de trabajo remoto sobre servidores de aplicaciones
como Citrix y similares. Esta ltima opcin es la ideal, porque permite al
usuario trabajar en su estacin de trabajo que no debe tener una
seguridad fsica estricta y mantener los datos sobre los que trabaja y su
propio trabajo en los servidores principales de la empresa, que estarn
correctamente protegidos en el apartado de seguridad fsica. Este tipo
de sistemas permite adems mantener hardware menos potente en los
escritorios de los usuarios y mejora la administracin y la gestin de
datos y backups para los administradores. Estos sistemas actan
bsicamente como los antiguos terminales X o terminales de texto, y son
cada vez ms usados en todo tipo de empresas, sobre todo en bancos o
sistemas financieros donde la seguridad de los datos que se maneja es
crtica y el usuario final debe tener el mnimo de acceso a los datos que
maneja. Es muy comn hoy en da el uso de aplicaciones que corren
sobre navegadores web y que usan servidores de aplicaciones y bases
de datos para acceder a los datos necesarios para realizar el trabajo.
Cualquiera de estas soluciones es buena y debe ser aconsejada
siempre que sea econmicamente y administrativamente posible.
Para los dispositivos de red lo mejor es alojar estos dispositivos como ya
hemos comentado en armarios o racks. Deberemos estudiar el cableado
de forma que no exista la posibilidad de que este sea seccionado o
desconectado. Por lo dems no tendremos mayores consideraciones
con los dispositivos de red, nicamente si estos deben obligatoriamente
estar alojados cerca del usuario final (personal que debe realizar
pruebas con la red o realizar cambios en el cableado) protegeremos los
dispositivos contra manipulaciones remotas limitando el acceso por
medio de claves suficientemente seguras. Tambin es posible en
algunos dispositivos el activar o desactivar parte de su funcionalidad
para limitar el acceso que el usuario final tiene a estos dispositivos.

Seguridad Lgica en los servidores

La seguridad que proporcionan las passwords de bios es una seguridad

absolutamente ficticia. Muchos administradores confan ciegamente en
la seguridad de los sistemas asegurados mediante passwords de bios,
sobre todo cuando se intenta impedir el arranque desde disquetera o
desde CDROM. Esto es un grave error. La seguridad que proporciona el
password de bios es mnima si no tenemos una seguridad fsica
suficiente sobre el sistema en cuestin. Si un intruso consigue abrir la
caja del ordenador puede simplemente activar el puente de borrado de
la bios y nuestro password se borrar, o puede simplemente llevar un
bios igual al del ordenador en cuestin y montarlo en el zcalo. Incluso
se han dado casos de llegar a desoldar el bios de un ordenador y soldar
el nuevo para saltar el password.
Por todas estas tcnicas y por muchas otras que existen simplemente no
debemos confiar en los password de bios. Si alguien tiene acceso al
interior de nuestra mquina podr hacer lo que quiera con ella. Puede
borrar el bios, cambiarlo por otro, instalar una disquetera o un CDROM,

una grabadora de CDs, cualquier cosa. La seguridad fsica de la caja por

tanto es fundamental si queremos asegurar que la configuracin de la
mquina no va a ser cambiada.

Seguridad en Hardware en los

servidores

Equipamiento de hardware de las

mquinas.

Habiendo comentado ya el problema que existe con la poca seguridad

que proporciona el bios de los ordenadores el equipamiento hardware
que implementemos en la mquina no va a proporcionarnos ms
seguridad. No vale que no instalemos disquetera ni CDROM ni
grabadora de CDs, y que deshabilitemos en el bios la deteccin de
estos. Si alguien tiene acceso fsico al interior de la caja del ordenador
siempre podr cambiar el bios y luego instalar su propia disquetera,
CDROM o grabadora de CDs, por no hablar del acceso directo al disco
duro, que puede sacar, clonar con herramientas como Norton Ghost y
luego volver a dejar en su sitio sin que nadie se de cuenta de que se ha
replicado la informacin de la mquina.
Por lo tanto la ausencia de hardware en las mquinas no proporciona
una seguridad mayor a las mquinas. Puede proporcionarla contra el
intruso sin el tiempo suficiente para realizar cambios en el bios, pero si el
intruso tiene suficiente tiempo podr instalar su propio hardware y hacer
lo que desee con nuestra mquina.

Firewall / Cortafuegos.

Quizs uno de los elementos ms publicitados a la hora de establecer

seguridad, sean estos elementos. Aunque deben ser uno de los
sistemas a los que ms se debe prestar atencin, distan mucho de ser la
solucin final a los problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra tcnicas como
la Ingeniera Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes
y que ejerce la una poltica de seguridad establecida. Es el mecanismo
encargado de proteger una red confiable de una que no lo es (por
ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes
objetivos:
1.
Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a
travs de l.
2.
Slo el trfico autorizado, definido por la poltica local de
seguridad, es permitido.
omo puede observarse, el Muro Cortafuegos, slo sirven de defensa
perimetral de las redes, no defienden de ataques o errores provenientes
del interior, como tampoco puede ofrecer proteccin una vez que el
intruso lo traspasa.

Algunos Firewalls aprovechan esta capacidad de que toda la informacin

entrante y saliente debe pasar a travs de ellos para proveer servicios
de seguridad adicionales como la encriptacin del trfico de la red. Se
entiende que si dos Firewalls estn conectados, ambos deben "hablar"
el mismo mtodo de encriptacin-desencriptacin para entablar la
comunicacin.

Tipos de Firewall.

Polticas de Diseo de Firewalls.

1.
Filtrado de Paquetes
2.
Proxy-Gateways de Aplicaciones
3.
Dual-Homed Host
4.
Screened Host
5.
Screened Subnet
6.
Inspeccin de Paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que
circula por la red es inspeccionado, as como tambin su procedencia y
destino. Se aplican desde la capa de Red hasta la de Aplicaciones.
Generalmente son instalados cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.
7.
Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que
desean conectarse a una red externa insegura y mantener su
computadora a salvo de ataques que puedan ocasionarle desde un
simple "cuelgue" o infccin de virus hasta la prdida de toda su
informacin almacenada.
Las polticas de accesos en un Firewalls se deben disear poniendo
principal atencin en sus limitaciones y capacidades pero tambin
pensando en las amenazas y vulnerabilidades presentes en una red
externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer
normas de seguridad. Tambin es importante definir los usuarios contra
los que se debe proteger cada recurso, ya que las medidas diferirn
notablemente en funcin de esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que debe
responder cualquier poltica de seguridad:

Qu se debe proteger?. Se deberan proteger todos los

elementos de la red interna (hardware, software, datos, etc.).

De quin protegerse?. De cualquier intento de acceso no

autorizado desde el exterior y contra ciertos ataques desde el interior
que puedan preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo
selectivamente el acceso de determinados usuarios externos a
determinados servicios o denegando cualquier tipo de acceso a otros.

Cmo protegerse?. Esta es la pregunta ms difcil y est

orientada a establecer el nivel de monitorizacin, control y respuesta
deseado en la organizacin. Puede optarse por alguno de los siguientes
paradigmas o estrategias:
a.
Paradigmas de seguridad

Se permite cualquier servicio excepto aquellos expresamente

prohibidos.


Se prohbe cualquier servicio excepto aquellos expresamente
permitidos. La ms recomendada y utilizada aunque algunas veces
suele acarrear problemas por usuarios descontentos que no pueden
acceder a tal cual servicio.
b.
Estrategias de seguridad

Paranoica: se controla todo, no se permite nada.

Prudente: se controla y se conoce todo lo que sucede.

Permisiva: se controla pero se permite demasiado.

Promiscua: no se controla (o se hace poco) y se permite todo.

Cunto costar?. Estimando en funcin de lo que se desea

proteger se debe decidir cuanto es conveniente invertir.

Restricciones en el Firewall.

Beneficios de un Firewall.

La parte ms importante de las tareas que realizan los Firewalls, la de

permitir o denegar determinados servicios, se hacen en funcin de los
distintos usuarios y su ubicacin:
1.
Usuarios internos con permiso de salida para servicios
restringidos: permite especificar una serie de redes y direcciones a los
que denomina Trusted (validados) . Estos usuarios, cuando provengan
del interior, van a poder acceder a determinados servicios externos que
se han definido.
2.
Usuarios externos con permiso de entrada desde el exterior: este
es el caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios
externos que por algn motivo deben acceder para consultar servicios
de la red interna.
Tambin es habitual utilizar estos accesos por parte de terceros para
prestar servicios al permetro interior de la red. Sera conveniente que
estas cuentas sean activadas y desactivadas bajo demanda y
nicamente el tiempo que sean necesarias.
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos
las computadoras de la red estaran expuestos a ataques desde el
exterior. Esto significa que la seguridad de toda la red, estara
dependiendo de que tan fcil fuera violar la seguridad local de cada
maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y
generar alarmas de intentos de ataque, el administrador ser el
responsable de la revisin de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en
uso casi imperativo es el hecho que en los ltimos aos en Internet han
entrado en crisis el nmero disponible de direcciones IP, esto ha hecho
que las intranets adopten direcciones sin clase, las cuales salen a
Internet por medio de un "traductor de direcciones", el cual puede
alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar
las estadsticas del ancho de banda "consumido" por el trafico de la red,
y que procesos han influido ms en ese trafico, de esta manera el
administrador de la red puede restringir el uso de estos procesos y
economizar o aprovechar mejor el ancho de banda disponible.

Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar
para dividir partes de un sitio que tienen distintas necesidades de
seguridad o para albergar los servicios WWW y FTP brindados.

Limitaciones de un Firewall.

La limitacin ms grande que tiene un Firewall sencillamente es el hueco

que no se tapa y que coincidentemente o no, es descubierto por un
intruso. Los Firewalls no son sistemas inteligentes, ellos actan de
acuerdo a parmetros introducidos por su diseador, por ende si un
paquete de informacin no se encuentra dentro de estos parmetros
como una amenaza de peligro simplemente lo deja pasar. Ms peligroso
an es que ese intruso deje Back Doors, abriendo un hueco diferente y
borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que
si un intruso logra entrar a la organizacin y descubrir passwords o los
huecos del Firewall y difunde esta informacin, el Firewall no se dar
cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de
software o archivos infectados con virus, aunque es posible dotar a la
mquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, l NO protege de la gente que
est dentro de la red interna. El Firewall trabaja mejor si se complementa
con una defensa interna. Como moraleja: "cuanto mayor sea el trfico de
entrada y salida permitido por el Firewall, menor ser la resistencia
contra los paquetes externos. El nico Firewall seguro (100%) es aquel
que se mantiene apagado"

Precauciones a tomar a nivel de

servidores
Redundancia de a nivel de mquinas y nivel de
red
Al igual que insistimos en mantener los datos en lugar seguro lejos del usuario
final o de un supuesto intruso no podemos dejar de insistir en la necesidad de
redundancia o alta disponibilidad en los sistemas crticos y en las mquinas
que proporcionen almacenamiento. Es fundamental poder acceder a los datos
siempre que sea necesario, y la nica forma de asegurar con un porcentaje
aceptable de seguridad que nuestros datos estarn disponibles es proveer
algn tipo de redundancia para estos datos.
Lo ms aconsejable para este tipo de sistemas es la instalacin de sistemas de
alta disponibilidad, donde varias mquinas proporcionan la misma funcionalidad
y se sincronizan permaneciendo siempre todas en el mismo estado. Si la
mquina que est proporcionando el servicio falla otra de las mquinas del
clster ocupa su lugar y el sistema puede seguir funcionando. Normalmente el
sistema avisa a los administradores de este tipo de eventos para que solucione
el fallo en la primera mquina. Con un cluster de dos o tres mquinas
proporcionando la misma funcionalidad podemos obtener tasas de fiabilidad
muy altas, sobre todo cuando hablamos de integridad de datos. La replicacin
de los datos de un servidor de archivos principal en otros servidores de

archivos secundarios (preferentemente alojados en otro edificio) es otra opcin

recomendable para proporcionar seguridad fsica en los sistemas de
almacenamiento o en servidores de aplicaciones. La diferencia con los
sistemas de alta disponibilidad es que estos sistemas no se sustituyen unos a
otros automticamente, solo mantienen una copia de los datos a buen recaudo
en otro servidor por si es necesario acceder a ellas. Si puede instale un sistema
de alta disponibilidad. Pero si su presupuesto no se lo permite programe copias
de seguridad en servidores localizados lejos del servidor principal a travs de la
red para no perder nunca datos.
Siempre existe la posibilidad de que un intruso se apodere de uno de los
sistemas y obtenga los datos de esa mquina, por lo que la seguridad fsica e
informtica de este tipo de mquinas es crtica.

Acceso al interior de los equipos.

Hemos tratado ya el acceso al interior de las cajas de los ordenadores,

que es un tema complicado. Ms complicado aun es el acceso a los
equipos de red, sistemas servidores de archivos, sistemas NAS,
sistemas servidores de aplicaciones y similares. Estos equipos
normalmente no son modificables, y suelen venir con cajas muy poco
resistentes y poco preparadas para aguantar el maltrato al que un
supuesto intruso podra someterlas. En la mayora de los casos estos
sistemas son de fcil apertura, pues suelen ser ampliables y se busca
siempre una fcil ampliacin, lo que es bueno para el personal de
mantenimiento y administracin, pero malo para nosotros como
consultores de seguridad fsica.
La repercusin sobre la seguridad de la apertura de un NAS (Servidor de
Almacenamiento) puede ser desastrosa. Todos los datos de trabajo de la
empresa pueden quedar a disposicin de un intruso. Muchos de estos
sistemas tienen discos duros estndar, que pueden ser replicados con
un porttil mediante Norton Ghost o similares y devueltos al sistema
NAS sin que nadie detecte lo que ha ocurrido. Esta es la pesadilla de un
administrador de seguridad, todos sus datos replicados sin haber dejado
ninguna pista. Lo mismo es aplicable para otro tipo de servidores, y algo
similar ocurre con los dispositivos de red, que pueden ser alterados una
vez abiertos para cambiar la configuracin, borrar las claves de acceso y
muchas manipulaciones similares.
Insistimos. Lo nico que nos salvar de este tipo de ataques de fuerza
bruta (nunca mejor dicho) es el mantener este tipo de mquinas crticas
protegidas en racks cerrados, en armarios bajo llave o en centros de
datos con control de acceso. No hay ms magia que esta, no busque
soluciones esotricas a problemas ya solucionados.

Sistemas de Backup.

Los sistemas de backup son una necesidad inexcusable hoy en da en

cualquier empresa que maneje una cantidad de datos medianamente
grande. Teniendo esto en cuenta y suponiendo que disponemos de un
sistema de backup fiable debemos tener en cuenta otra serie de
consideraciones.

La primera es la seguridad fsica de los backups, de la que ya hemos

hablado, y para la que optbamos como mejor solucin la que
aconsejaba mantener los backups lejos de los sistemas que contienen
los datos de los que hemos hecho backup.
La segunda es la seguridad fsica de las mquinas de backup, para las
que deberemos tener las mismas medidas que para los servidores de
archivos: Mantener ms de una mquina de backups, sistema
centralizado de backups alojado en un rack o armario seguro,
monitorizacin de las mquinas de backup, etc.
Una cuestin a tener en cuenta con los sistemas de backup es la
seguridad fsica de los medios donde se realizan los backups. Las cintas
de backup pueden ser afectadas por los campos magnticos fuertes, los
discos ZIP tambin, los discos duros fallan y soportan mal los golpes y
los movimientos bruscos y los CDs tienen una vida corta y son ms bien
delicados. Debern tomarse las medidas necesarias para proteger
fsicamente los medios donde se realizan los backups, teniendo en
cuenta las consideraciones propias para cada medio. Tradicionalmente
los medios ms seguros para hacer backups han sido las cintas de
backup y cintas DAT, pero esto siempre puede cambiar.
De nada sirve hacer backups si cuando los necesitamos no funcionan.
Debemos comprobar que los backups que hemos realizado pueden ser
restaurados correctamente, o estaremos confiando en un sistema que
no podemos asegurar que funciona correctamente.

Sistemas de UPS.

Los sistemas UPS son imprescindibles en la seguridad fsica de un

sistema informtico. La mayora de los sistemas operativos responden
mal a las cadas repentinas y puede producirse perdida de datos
importantes si no se usan sistemas de archivos con Journaling como
Ext3, Reiserfs, XFS, JFS o similares.
Es complicado decir que es ms conveniente, si mantener un gran UPS
que alimente un grupo de mquinas, por ejemplo un rack o un armario
con muchos dispositivos o si tener varios UPS que proporcionen
alimentacin a menos mquinas. El UPS puede convertirse en un punto
del fallo del sistema, pues si falla todo el sistema se vendr abajo. Los
grandes UPS suelen ser ms seguros, proporcionan mayor autonoma y
proteccin, pero en el hipottico caso de que fallen nos dejan con todo el
sistema cado. Los UPS ms pequeos no tienen tantas caractersticas
pero cumplen bien su cometido. El presupuesto tambin ser un punto a
tener en cuenta para la eleccin de una u otra opcin, pues un gran UPS
es bastante ms caro que varios UPS pequeos.
Es importante ubicar los UPS dentro de los racks o armarios, donde no
puedan ser desactivados por un supuesto intruso o por un fallo de un
usuario o administrador.

Grabacin de datos. Grabadoras de CD, Discos

Portatiles etc
No nos extenderemos excesivamente en este punto. Si su empresa
necesita que los usuarios no se lleven datos de su empresa no los
mantenga en la mquina del usuario. As de simple. El consejo que un
consultor en seguridad puede darle no es otro ms que el que mantenga

los datos en los servidores y que los usuarios trabajen sobre los datos
de forma remota. Todos los dems sistemas son tiles pero no eficaces.
Usted puede quitar de las mquinas de usuario las grabadoras de CDs,
las disqueteras, incluso puede inventar un mtodo para que no usen
dongles USB o similares, pero puede estar seguro que un usuario
decidido a sacar los datos de su mquina, ya sea por desconocimiento,
para facilitar su trabajo o por simple malicia conseguir hacerlo. Por eso
lo mejor que puede hacer es no fiarse de ninguno de estos sistemas,
simplemente mantenga los datos alejados del usuario final y as evitar
que este pueda replicarlos.

Seguridad Fsica a nivel de red

Estructuracin del cableado.

Topologa usada.

Control de calidad de las mquinas y

dispositivos de red.

La seguridad fsica del cableado es bastante sencilla aunque difcil de

asegurar. La principal preocupacin para un consultor de seguridad
fsica es que el cableado pueda fallar o que pueda ser seccionado por
un intruso malintencionado. En principio tendremos tambin en cuenta lo
comentado para las bocas de red y los conectores, que son tambin
parte del cableado.
Para comprobar la red existen aparatos diseados para esta tarea, que
nos permitirn comprobar los cables para ver si tienen algn tipo de
problema. Tambin deberemos comprobar que el cableado cumple las
normativas necesarias y que tiene la calidad necesaria, normalmente
CAT5 o CAT7. Para el cableado coaxial grueso o fino deberemos usar
otro tipo de aparatos para comprobarlos y deberemos comprobar sus
caractersticas elctricas y las de los terminadores y dispositivos "T" que
conectan las mquinas. Como cada vez son menos comunes no
hablaremos mucho de ellos. Para evitar el posible seccionamiento del
cableado de red lo mejor es entubarlo o integrarlo en la estructura del
edificio. Muchos edificios tienen paneles desmontables dentro de los
cuales se puede alojar el cableado de red, pero deber asegurarse que
no son fcilmente desmontables o cualquiera podra abrirlos y seccionar
el cable. Para los cables de fibra ptica deberemos estudiar la
posibilidad del seccionamiento del cable, las caractersticas pticas de
este (para esto necesitamos instrumental al efecto, puede ser necesario
contratar a un especialista) y vigilar que este tipo de cables que suelen
ser frgiles no estn acodados o doblados excesivamente.

El control de calidad de las mquinas y los dispositivos de red debe

estar basado en dos premisas. La primera es la adquisicin de equipos
certificados y donde el fabricante nos asegure que se han realizado las
pruebas de estress suficientes sobre ellos para garantizar su calidad. La
segunda es la monitorizacin de estos equipos y la estimacin de la vida
til y el tiempo medio de fallos en los mismos.
La adquisicin de los servidores, los equipos de usuario final y los
dispositivos de red dentro de una empresa debe estar regida en primer
lugar por la calidad de estos. A medio y largo plazo lo barato sale caro
cuando estamos hablando de hardware. Para ordenadores elegiremos

mquinas de fabricantes que entreguen equipos completos

preconfigurados y probados en la cadena de montaje, esto es
fundamental, porque los equipos montados adhoc usando piezas de
varios fabricantes es ms posible que fallen por la interaccin entre los
distintos componentes que no ha sido probada por la variedad de
hardware existente. Estos equipos son ms caros que un equipo
montado (usualmente llamados clnicos) pero nos aseguran una
certificacin de que el hardware que contienen trabaja correctamente en
conjunto y han sido sometidos a una serie de pruebas de funcionamiento
para comprobarlo. Es importante estudiar el hardware que se va adquirir
cuidadosamente, incluyendo la posibilidad de adquirir equipos con una
cierta seguridad fsica implementada, como dobles fuentes de
alimentacin, controladoras RAID o cajas con una cierta seguridad
fsica. Es aconsejable realizar una inversin un poco mayor al adquirir
este hardware porque a medio y largo plazo esta inversin se ver
recompensada en un mayor tiempo entre fallos y una mayor fiabilidad de
los equipos.
Las mquinas servidoras que se han de montar en rack suelen venir con
certificacin de su funcionamiento, as que slo deberemos
preocuparnos de las caractersticas de estas y de elegir un fabricante
que distribuya los equipos preconfigurados y probados en la cadena de
montaje. En estas mquinas debemos realizar toda la inversin
econmica que nos sea posible, porque estos equipos son crticos para
el funcionamiento del sistema y una mayor inversin en estas mquinas
redundar en mayor tiempo entre fallos y por tanto en un mejor
aprovechamiento del trabajo. Un servidor que se viene abajo puede
dejar a un grupo de usuarios sin posibilidad de trabajar, lo que supone
una cantidad considerable de dinero perdido para la empresa, as que lo
que invirtamos en el hardware de los servidores lo recuperaremos a
medio y largo plazo en forma de menores tiempos de paro del sistema y
en una menor inversin en mantenimiento. Es importante que estas
mquinas tengan todos los sistemas de redundancia y seguridad que
nos podamos permitir, incluyendo si lo encontramos ms conveniente la
instalacin de sistemas de clusters de alta disponibilidad que
proporcionen los servicios aunque algunas de las mquinas caiga.
Debemos tener en cuenta que el hardware falla, es algo que ocurrir
tarde o temprano, y por tanto toda la redundancia que tengamos en los
dispositivos crticos ser dinero bien invertido.
Los dispositivos de red deben ser elegidos entre los principales
fabricantes de estos dispositivos. Es posible encontrar dispositivos ms
baratos de pequeos fabricantes o de fabricantes de dispositivos de
gama baja, pero a medio y largo plazo la inversin que realicemos
redundar en un menor tiempo de fallos y un mantenimiento menor.
Elegir los dispositivos entre los grandes fabricantes nos asegurar que
estos dispositivos han sido probados tanto en la fbrica como en miles
de instalaciones reales hasta la saciedad, y nos permitir solucionar los
problemas que podamos tener con ellos fcilmente, pues existe una
comunidad muy amplia de usuarios que pueden ayudarnos a travs de
las news o las listas de correo y permitir al personal de mantenimiento
mantener los equipos ms fcilmente. Es aconsejable incorporar

cuantos ms equipos del mismo fabricante podamos mejor, pues el

mantenimiento ser mas sencillo y las facilidades de soporte y asistencia
tcnica estarn a cargo de una nica empresa, a la que podremos acudir
cuando tengamos algn problema. En cambio si tenemos dispositivos de
muchos fabricantes mezclados en nuestra red tendremos que recurrir a
varias empresas para su mantenimiento y servicio tcnico, lo que
supone ms tiempo de administracin y por lo tanto ms dinero gastado.

Sistemas de Almacenamiento USB, Sistemas

serie o paralelo
son como un dolor de muelas para los administradores de sistemas y los
encargados de las seguridad del sistema. Para empezar tenemos lo que
puede venir en ellos: virus, software pirateado, todo tipo de software o
datos poco recomendables para un lugar de trabajo, juegos, etc. Luego
tenemos todo lo que se puede llevar en ellos: datos de la empresa,
software cuya licencia ha sido adquirido por la empresa, software bajado
de internet, etc.
Si lo que ms nos preocupa (tenemos antivirus, firewall, control de
software, etc) es que el usuario pueda replicar datos y sacarlos de al
empresa solo podemos hacer dos cosas, la primera y la que siempre
recomendamos es mantener los datos lejos del usuario, la segunda es
inhabilitar los puertos USB y los sistemas serie o paralelo, ya sea
mediante mtodos software o hardware.
Los puertos serie y paralelo no suponen un gran peligro, puesto que los
dispositivos de almacenamiento que normalmente se conectan a ellos
suelen necesitar en el sistema operativo Windows de drivers especiales,
que podemos controlar que no se puedan instalar de diversas formas,
sobre todo mediante software de control de instalacin de software. Los
dispositivos USB son un problema mayor, como ahora veremos.
Si estamos hablando de Software Libre como Linux o FreeBSD no hay
mucho problema. El soporte USB de almacenamiento viene como
mdulos del kernel que pueden quitarse del sistema con lo que no se
podr usar dongles USB ni dispositivos de almacenamiento USB. Lo
mismo para los dispositivos serie y paralelo. Este sistema es muy simple
y es ideal para evitar este tipo de comportamientos.
Pero si hablamos de Windows el caso es diferente. Aqu es ms
complicado quitar los drivers de almacenamiento externo USB, sobre
todo en Windows XP que incorpora de serie drivers para todo este tipo
de dispositivos. Si es posible se quitarn del sistema los drivers para
este tipo de dispositivos o se inhabilitar mediante software la instalacin
de nuevo hardware en el sistema (lo cual es un problema si tenemos
impresoras o ratones y teclados USB que deben autodetectarse).
La solucin ms radical (y no por ello la ms recomendable) es quitar el
cableado de los puertos USB frontales que conectan a la placa base y
ya puestos a cacharrear podemos incluso sellar o desoldar los puertos
USB integrados en la placa base. Si no queremos realizar semejante
chapuza podemos intentar desactivar estos puertos mediante switches o
puentes en la placa base, pero esto no es siempre posible. Si queremos
aislar de verdad el sistema siempre podemos comprar cajas de
metacrilato cerradas que solo permiten la ventilacin del sistema y no el

acceso a este, pero estamos hablando ya de soluciones realmente

radicales para un simple dongle USB...

Precauciones a tomar a nivel de red.

Monitorizacin de equipos y
dispositivos de red.

Hablaremos aqu sobre la monitorizacin fsica de los equipos y dispositivos de

red. Es aconsejable de vez en cuando realizar una inspeccin fsica de todo el
hardware instalado en la empresa, buscando todos los puntos de fallo y errores
que comentamos en este documento y cualquier otro que podamos encontrar o
que se nos ocurra. Es una tarea que no lleva demasiado tiempo y que puede
suponer la diferencia entre tener una red y un hardware seguros o no tenerlos.
Si tenemos personal de vigilancia con la capacidad tcnica para realizar esta
tarea se les puede encargar a ellos, en caso contrario uno de los
administradores o encargados de la seguridad deber realizar una ronda de
vigilancia de los equipos cada cierto tiempo para comprobar que todo est
como debe estar. No es necesario la contratacin de personal de consultora
para realizar este tipo de estudios o vigilancias rutinarias del hardware, basta
con detectar los fallos ms evidentes y tener el sistema actualizado y en un
estado conocido.
Es aconsejable la implantacin de una poltica de seguridad fsica del hardware
que debe cumplirse, pero tan importante como imponer esta poltica es la
monitorizacin de que esta poltica se cumple y que el hardware cumple las
medidas de seguridad fsica que hayamos decidido.

Switchs, temperatura
Acceso a datos tcnicos de la red y
del hardware.
Routers y Bridges.
Sistemas de radiofrecuencia.
Tecnologa Wireless y Bluetooth.
Dispositivos de mano, Palms y
PocketPCs.

Gracias por su atencion