PDF de programación - Recomendaciones de seguridad en sistemas distribuidos de cómputo (V0.11)

Recomendaciones de seguridad en
sistemas distribuidos de cómputo

(V0.11)

Diego Bravo Estrada

En los últimos años el tema de la seguridad en las redes de computadores se ha tornado en un
asunto de primera importancia dado el incremento de prestaciones de las mismas, así como la
imparable ola de ataques o violaciones a las barreras de acceso a los sistemas implementados en
aquellas. Los "incidentes de seguridad" reportados continúan creciendo cada vez a un ritmo más
acelerado, a la par de la masificación del Internet y de la complejidad del software desarrollado
[1],[2]. Este texto pretende presentar brevemente algunas recomendaciones dirigidas a los
administradores e implementadores de redes informáticas, y lo he preparado a modo de síntesis
breve a partir de diversos materiales difuminados en Internet. No pretendo hacer un listado
exhaustivo de las responsabilidades del administrador ni explicar detalles acerca de la
implementación de las recomendaciones, aunque sugiero algunos puntos de partida para esto.

Cualquier sugerencia o corrección, por favor hacérmela llegar vía mi página web [3], donde
debería estar siempre la última versión de este texto.

Tabla de contenidos
1. Efectuar un análisis de riesgos.................................................................................................................................3
2. Lo más valioso debe alejarse de lo más vulnerable................................................................................................3
3. Mantener las cosas simples ......................................................................................................................................4
4. Asegurar la seguridad en todos los niveles .............................................................................................................4
5. Encriptar tanto como sea posible ............................................................................................................................5
6. No confiar en la autenticación estándar..................................................................................................................6
7. No usar la configuración "estándar" ......................................................................................................................7
8. La seguridad hacia el interior..................................................................................................................................7
9. Educar a los usuarios................................................................................................................................................8
10. No confiar (totalmente) en nosotros mismos ........................................................................................................8
11. Ejecutar sólo los servicios imprescindibles...........................................................................................................9
12. Mantenerse al día con las actualizaciones ............................................................................................................9
13. Escaneos regulares ................................................................................................................................................10
14. Descargas de software de Internet.......................................................................................................................10
15. Establecer planes de contingencia y sistemas de respaldo ................................................................................11
16. Mantener contacto con el proveedor de líneas de comunicación......................................................................12
17. No permitir conexiones directas desde la red interna a Internet......................................................................12
18. Uso de red perimétrica o zona desmilitarizada..................................................................................................12
19. Prácticas de programación segura ......................................................................................................................13
20. Vigilancia ...............................................................................................................................................................13
21. Establecimiento de políticas.................................................................................................................................13
22. Conclusión .............................................................................................................................................................14
23. Agradecimiento .....................................................................................................................................................14
24. Referencias.............................................................................................................................................................15

1. Efectuar un análisis de riesgos
Esto se suele mencionar en la literatura como el primer paso a realizarse cuando se plantea la seguridad en un
sistema [4]. La idea es muy sencilla: trazar todos los elementos que conforman nuestro sistema (hardware y
software) y observar cuáles involucran más o menos riesgo. Esto desembocará en un plan de seguridad cuyo objetivo
es disminuir el riesgo total del sistema, que se puede modelar como la suma de los riesgos de sus componentes:

RIESGO TOTAL = RIESGO(componente 1) + RIESGO(componente 2) ...

El riesgo de cada componente está en función directa a las pérdidas que ocasionaría el que éste deje de operar, así
como en función de cuán vulnerable es dicho componente en este momento. Por ejemplo, una base de datos de
clientes involucra un gran riesgo debido al gran valor que la información representa para una organización; pero una
simple PC Windows de la misma organización conectada directamente al Internet (sin firewall/proxy de por medio)
también lo representa, debido a que puede ser objeto de un ataque desde el exterior, con el posible riesgo de fácil
propagación hacia otros computadores de nuestra red.

El riesgo no es fácil de cuantificar, siendo en general un estimador subjetivo. A modo de ejemplo podríamos plantear
una fórmula como la que sigue:

RIESGO(componente) = P * V

Donde P=pérdida, es la pérdida en dinero que implicaría la inoperatividad del componente hasta su reparación,
aunque se pueden agregar otros estimadores como el desprestigio ante nuestros clientes. A veces ayuda considerarlo
como "el valor" que representa para la organización. V=vulnerabilidad, es tanto o más subjetiva puesto que no hay
una manera segura de establecer para todos los casos si los supuestos mecanismos de protección (del componente)
son o no realmente confiables. Así por ejemplo, podríamos suponer que la vulnerabilidad de ciertos documentos
importantes es muy baja, puesto que están protegidos por cierto antivirus. Sin embargo, esto realmente estará en
función de diversas características del antivirus, como pueden ser: recientes actualizaciones, ejecución automática,
capacidad de eliminar virus locales, licencias no caducadas, configuración adecuada, etc. Pero por algo se debe
comenzar. Por ejemplo, se puede asignar números como 1, 2, 3, 4, para señalar una vulnerabilidad mínima, regular,
importante y peligrosa, respectivamente. Para una extensa (y compleja) explicación, ver [5].

Esto normalmente demanda el acopio de mucha información, la que muchas veces no está a cargo de una sola
persona. Esto implica que todo el staff encargado de las distintas partes del sistema debe colaborar en el análisis.

2. Lo más valioso debe alejarse de lo más vulnerable
En la fórmula del "riesgo" propuesta arriba, es evidente que los componentes de nuestro sistema con algo valor y alta
vulnerabilidad serán de lejos los que presenten mayor riesgo. Sin embargo, en muchos casos no es sencillo disminuir
el valor de cierto componente (y por tanto la pérdida en caso de problemas), y tampoco se puede eliminar
completamente la vulnerabilidad del mismo (por ejemplo, si está de cara a Internet.) En este caso lo que conviene es
separar o dividir este componente en dos partes suficientemente alejadas e independientes a fin de que el riesgo total
disminuya. Por ejemplo, los portales de comercio electrónico deben dar cara a Internet (siendo vulnerables en

3

Recomendaciones de seguridad en sistemas distribuidos de cómputo (V0.11)

principio) y a la vez manejar información muy costosa (como transacciones con tarjeta de crédito.) Esto los convierte
en un sistema de alto riesgo. Sin embargo es casi universal la separación que se efectúa entre los componentes
dedicados a dar cara a Internet (como los Web Servers) y los componentes que manipulan la información comercial
(generalmente sistemas DBMS.) En términos prácticos, esto significa que el hacker no puede acceder directamente al
DBMS (lo que sería catastrófico), y sólo podría atacar al Web Server, lo que en principio no acarrea mayores
consecuencias.

Juguemos con los números siguiendo las ideas expuestas más arriba. Suponiendo que los datos relacionados al
negocio valen para nosotros $50000, y están en un computador donde corre un Web Server IIS que no ha sido
parchado adecuadamente. Entonces el riesgo sería:

R total = 50000 x 5 = 250000

Supongamos ahora que los datos están en otro computador "mínimamente vulnerable" (con V=1) adecuadamente
aislado del Web Server (que todavía no ha sido parchado). La pérdida por una interrupción del servicio del Web
Server, por día se ha estimado en $2000 (asumimos que ese es el tiempo que toma en restablecerse el servicio tras el
ataque.) Entonces el riesgo total se convierte en:

R total = R1 + R2 = 50000 x 1 + 2000 x 5 = 60000

3. Mantener las cosas simples
Un sistema complejo es más difícil de asegurar y potencialmente proporciona una mayor cantidad de puertas abiertas
a los atacantes. En general, es