Professional Documents
Culture Documents
Publicaciones
Boletn
Enfoques
1.- Introduccin
Cuando hace casi 2 aos acometimos el proyecto de modernizar las comunicaciones del Ministerio de
Educacin, uno de los hitos ms importantes que surgi fue la conexin a Internet. Lo que al principio era un
problema sobre qu servicios ofrecer de todos los existentes, enseguida gir hacia otra direccin. Los
condicionantes de seguridad eran tan altos, que, justificadamente, se convirtieron en los protagonistas a partir
de ese momento. Adems aparecan condicionantes econmicos de importancia a la hora de ofrecer
determinados servicios debido a la infraestructura fsica de nuestras comunicaciones.
Dichos condicionantes obligaron a la elaboracin de una poltica de seguridad especfica para nuestra
organizacin, en la que se consideraron los mltiples aspectos a proteger y los procedimientos que se
articularan para llevar a cabo satisfactoriamente todos estos objetivos.
1/12
12/2/2014
La topologa de la red con las Direcciones Provinciales es de una doble estrella, con centros en Alcal y
Vitruvio, basada en lneas X.25 de 9.600 bps en su gran mayora, con los nodos centrales de 64 Kbps. El
protocolo que circula por ellas es IP, encapsulado por encima de X.25.
La conectividad con los edificios de Madrid est basada en lneas punto a punto, de varias velocidades, con
backups basados en RDSI, configurados en modo bandwidth on-demand.
La conectividad con el resto del mundo Internet es proporcionada por RedIRIS, que como es sabido, tiene
ubicados sus nodos centrales en su sede de la calle Serrano, a escasos metros de las instalaciones de esta
S.G.T.I. Esta afortunada coincidencia geogrfica es la que nos ha permitido realizar una conexin a sus
instalaciones va fibra ptica. Y as, incorporarnos a la denominada red del Campus de Serrano, que ya estaba
integrada por la propia RedIRIS y el CSIC, algunas de cuyas instalaciones tambin estn situadas en las
proximidades.
Es importante remarcar en este punto, que la conexin del MEC a esta red del Campus de Serrano, se realiza
a velocidad ethernet (10 Mbps), dado que la capacidad de la fibra ptica tendida entre ambas organizaciones es
claramente superior a esta ltima, pero que la salida internacional y al resto de universidades se realiza por un
enlace serie con velocidad fijada a 500 Kbps, perteneciente al mismo router ubicado en RedIRIS, para evitar
agravios comparativos con el resto de organizaciones afiliadas a RedIRIS y que por situacin geogrfica no les
sea posible disponer de este tipo de enlaces.
An con esta limitacin de la velocidad de salida en la lnea internacional, sta es plenamente suficiente hasta
el momento y no parece que vaya a convertirse en un cuello de botella en un futuro cercano.
4.- Direccionamiento
Cuando acometimos el Plan de Comunicaciones que pretenda modernizar las infraestructuras de
comunicaciones y establecer la mencionada conexin a Internet, nos encontramos con una red que haba
crecido muy rpidamente, y a la vez, de forma bastante anrquica. Por ella circulaban bsicamente dos
protocolos: IP y VINES. El trfico VINES se centraba fundamentalmente en los enlaces punto a punto entre los
edificios de Madrid, por los que tambin circulaba protocolo IP encapsulado. Las comunicaciones con las
Direcciones Provinciales se basaban nicamente en TCP/IP encapsulado encima de conexiones X.25
conmutadas por Iberpac.
Lo peor vino con el direccionamiento utilizado en la anterior estructura: se haba utilizado para cada red, ya
fuera de unos cuantos sistemas o de algunos cientos, una clase A completa, hacindolas coincidir con los
cdigos postales de las provincias, y otros nmeros para las distintas redes de Madrid.
Dado que el espacio de direcciones utilizado, o mejor dicho, malgastado, por nuestra organizacin coincida
con buena parte de las direcciones en uso en Internet, esta forma de direccionamiento nos oblig a acometer
un cambio de direccionamiento generalizado en todo el Territorio MEC, incluyendo todos los edificios de
Madrid.
Puestos al habla con RedIRIS, nos pusieron al corriente de la dificultad de conseguir por parte de los
organismos internacionales correspondientes, una cantidad de direcciones oficiales, que tras nuestras
estimaciones, sera de una clase B aproximadamente. Una vez llegados a este punto, nos planteamos utilizar
un esquema mixto de direccionamiento privado RFC-1597 y direccionamiento NIC. Con el inestimable apoyo y
asesoramiento de RedIRIS, paralelamente al comienzo de la renumeracin de nuestras redes con
direccionamiento privado, iniciamos las gestiones para conseguir por parte de RIPE el mximo nmero de
clases C. Al final, y despus de varios meses de peticiones rechazadas y revisadas, logramos conseguir un
bloque de 85 clases C, que progresivamente iremos aplicando en nuestras redes internas y externas.
2/12
12/2/2014
A la vista de que la red actual estaba basada en un host IBM principal razonablemente seguro, y una serie de
sistemas Unix de produccin y desarrollo con una seguridad bastante ms relajada, adems de los
innumerables PC's de usuarios finales, se lleg a la conclusin de que una conexin directa a Internet, por
mucho que se mejorase la seguridad en cada uno de los sistemas pertenecientes a nuestra red, nunca llegara
a cumplir los requisitos mnimos de seguridad que nos fueron encomendados.
Para la elaboracin de la poltica de seguridad, el primer paso fue hacer una relacin de los aspectos sensibles
dentro de la organizacin, tanto fsicos (equipos Unix, routers, etc.), como no materiales (aplicaciones, bases
de datos, etc...).
Una vez realizada esta lista de puntos sensibles a proteger, se pondera cada uno de ellos con un peso
especfico, y se calcula la posibilidad de que sea vulnerado, ya sea por ataques intencionados o por causas
meramente accidentales.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. Tambin es
importante definir los usuarios contra los que proteger cada recurso. Las medidas diferirn notablemente en
funcin de los usuarios de los que se pretenda proteger el recurso.
Las tres preguntas fundamentales que debe responder cualquier poltica de seguridad son:
- Qu queremos proteger?
- Contra quin?
- Cmo?
Segn nuestra poltica de seguridad : Se deberan proteger todos los elementos de la red interna, incluyendo
hardware, software, datos, etc. de cualquier intento de acceso no autorizado desde el exterior y contra ciertos
ataques desde el interior que puedan preverse y prevenir. Sin embargo, podemos definir niveles de confianza,
permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
La respuesta a la tercera pregunta es la ms difcil de resolver y la que requiere unas soluciones ms
dinmicas y cambiantes en lo que se refiere a la vigencia de dicha poltica de seguridad.
Se pueden plantear distintas soluciones u opciones en varios aspectos :
Paradigmas de seguridad:
Todo lo que no se prohibe expresamente est permitido
Todo lo que no se permite expresamente est prohibido
Estrategias de seguridad:
Paranoica
Prudente
Permisiva
Promiscua
Mtodos de defensa:
En profundidad
Perimetral
De las dos aproximaciones a la seguridad tradicionales: seguridad en profundidad y seguridad perimetral,
optamos por un esquema de seguridad perimetral, como piedra angular para el cumplimiento de las polticas
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
3/12
12/2/2014
definidas. En este esquema, el acceso desde el exterior, necesariamente ha de estar centralizado de manera
efectiva en un nico punto, en el que se concentraran la gran mayora de las medidas. Tambin se define que
se han de agilizar medidas para mejorar la seguridad de los sistema internos, que sin llegar a aplicar un modelo
de seguridad en profundidad, s llegar a algunos de sus resultados.
Optamos por una estrategia "prudente", sin caer en lo "paranoico" (tcnicamente hablando...), pero tampoco
en lo "permisivo". Se adopta esta solucin a la vista de la dificultad de mantener un sistema de seguridad de
este nivel (paranoico) con los medios tanto tcnicos como humanos de los que disponemos.
Por otra parte, y para forzar el cumplimiento obligado de las medidas adoptadas, se opta por un modelo "todo
lo que no se permite expresamente est prohibido", especialmente en el punto nico de entrada y salida
del permetro interior.
Otros aspectos muy importantes a incorporar en la poltica de seguridad son :
Procedimientos para reconocer actividades no autorizadas.
Definir acciones a tomar en caso de incidentes.
Definir acciones a tomar cuando se sospeche de actividades no autorizadas.
Conseguir que la poltica sea refrendada por el estamento ms alto posible dentro de la organizacin.
Divulgar la poltica de forma eficiente entre los usuarios y administradores.
Articular medidas de auditora de nuestro propio sistema de seguridad.
Establecer plazos de revisin de la poltica en funcin de resultados obtenidos.
Definido el modelo de seguridad a utilizar, es necesario definir las herramientas con las que se contar para su
implementacin prctica.
6.1.- El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de seguridad definido por la poltica de
seguridad es un dispositivo que se site entre el permetro interior y el exterior de nuestra red. A este
dispositivo, tradicionalmente, en la jerga informtica se le denomina firewall, que se podra traducir al
castellano como cortafuegos. Dado que es el componente ms crtico e importante en todo el diseo del
sistema de seguridad, la eleccin de este elemento debe ser muy concienzuda. Generalizando un poco, los
firewalls se pueden dividir en tres grandes categoras :
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
4/12
12/2/2014
5/12
12/2/2014
Gauntlet es un sistema complejo de proxies y programas auxiliares, que corre en sistemas SunOS con
algunas modificaciones al kernel. Desarrollado por TIS (Trusted Information Systems), nace como
versin avanzada del Firewall-Toolkit, software de libre distribucin muy utilizado en Internet para la
construccin de firewalls. Las ventajas fundamentales de Gauntlet frente al Toolkit son que incluye un
programa de administracin centralizado, una gestin de logs mucho ms eficiente, soporte de proxies
transparentes, y como ventaja fundamental para la organizacin, est soportado comercialmente.
6/12
12/2/2014
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
7/12
12/2/2014
Una de las ventajas de tcp-wrappers es que al compilarlo es posible indicar la categora de syslog sobre
la cual realizar el registro de actividad, con lo que resulta bastante sencillo dirigir toda esta informacin
sobre un nico fichero, que puede ser monitorizado regularmente para detectar intentos de accesos no
permitidos.
En nuestro caso, los dos servidores externos, nicamente aceptan conexiones provenientes del firewall,
es decir, del interior (ya que desde el exterior la conexin al firewall est muy restringida). Slo tienen
activos los servicios telnet y ftp, aparte de los especficos de su misin (WEB, WAIS, DNS, NEWS,
etc...). La desconfianza llega al punto de no permitir las conexiones entre ellos, de forma que si uno de
ellos se ve comprometido, el otro podra mantener su integridad, mientras el firewall no fuese vulnerado.
Monitorizacin de routers en alerta de trfico sospechoso :
Se han instalado una serie de scripts que obtienen datos de trfico del router externo a travs de SNMP,
a intervalos regulares y los van representando grficamente a travs de unas pginas HTML, que
permiten tener una idea bastante aproximada del nivel de carga de la red en los distintos periodos del
da. Esta monitorizacin del trfico permite detectar tanto averas en el caso de ausencia de trfico,
como actividades sospechosas si se detecta mucho trfico a horas no habituales.
Escaneos peridicos de todo el permetro en busca de posibles problemas :
Circulan por Internet una serie de programas denominados escaneadores. Se trata de programas en los
que una vez definido un host, o un conjunto de ellos (ya sea por direcciones de IP o por dominios de
DNS), se dedican metdicamente a probar uno por uno todos estos sistemas, intentando penetrarlos o
al menos chequear si poseen vulnerabilidades. Los dos escaneadores ms utilizados en Internet son:
ISS de Christopher Klaus, y SATAN de Dan Farmer y Wietse Venema. ISS[4] se ha convertido en un
producto comercial en sus ltimas versiones, pero las antiguas siguen siendo interesantes.
SATAN [5] es hoy por hoy el escaneador ms avanzado. Adems de poseer un entorno grfico basado
en WEB bastante potente, contiene una base de datos de vulnerabilidades muy completa.
Es muy importante utilizar peridicamente estas herramientas, dado que nos permitirn conocer la
informacin que un posible atacante obtendra de nuestra red en el caso de que utilizase dichos
programas contra nuestros sistemas.
Sincronizacin de relojes en todos los sistemas :
Teniendo en cuenta que una de las tareas ms importantes a la hora de vigilar la seguridad de nuestros
sistemas es la revisin de logs, es fundamental que los relojes de los servidores que realizan estos logs
estn sincronizados al objeto de poder hacer el seguimiento de un posible incidente, y tambin el poder
concretar el orden en que sucedieron los hechos. Esto es tambin fundamental a la hora de contrastar
logs con otras organizaciones, en el caso de que hubiese que hacer una investigacin coordinada con
terceras partes.
Dentro de los protocolos de sincronizacin en Internet, existen dos variantes: el antiguo protocolo TIME
(puerto 37), y el ms moderno NTP, que permite una sincronizacin mucho ms precisa. En nuestro
caso, nos hemos sincronizado va protocolo TIME con un servidor de tiempo en RedIRIS
(chico.rediris.es) desde el firewall, y ste se ha convertido en servidor de tiempo para el resto de las
mquinas tanto del permetro exterior como interior. En un futuro cercano se plantea crear una estructura
basada en NTP con un servidor y mltiples clientes.
8/12
12/2/2014
Contra este tipo de problemas, sensiblemente menos probables que los externos, se deberan aplicar medidas
parecidas a las mencionadas en el permetro externo, aadiendo el uso de programas de chequeo de la
seguridad de las passwords elegidas por los usuarios. En este aspecto, el mejor programa existente en la red
es Crack [6], de Alec Muffet, que permite utilizar un gran nmero de diccionarios y reglas de inferencia a la
hora de verificar la calidad de una contrasea.
Otra medida fundamental a la hora de prevenir accesos desde el exterior por puntos no controlados de nuestra
red, es establecer la prohibicin del uso de modems con capacidad de llamada entrante. Si este uso fuese
inevitable, como norma, al menos, deberan utilizarse para ello, sistemas no conectados fsicamente a la red o
realizarse bajo la estricta vigilancia del administrador de red responsable.
9/12
12/2/2014
10/12
12/2/2014
Referencias
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
11/12
12/2/2014
[1] http://www.tis.com/docs/products/gauntlet/index.html
[2] ftp://ftp.cert.dfn.de/pub/tools/net/strobe
[3] ftp://ftp.win.tue.nl/pub/security/tcp_wrappers_7.4.tar.gz
[4] http://iss.net/iss
[5] ftp://ftp.win.tue.nl/pub/security/satan.tar.Z
[6] ftp://coast.cs.purdue.edu/pub/tools/unix/crack
[7] ftp://ftp.bellcore.com/pub/nmh/skey
[8] http://www.ifi.uio.no/pgp
[9] http://home.netscape.com/eng/ssl3/ssl-toc.html
[10] Mensaje a
cert-advisory-request [at] cert [dot] org, con la direccion de e-mail en el cuerpo del mensaje.
[11] Mensaje a
listserv [at] netspace [dot] orgcon "subscribe bugtraq" en el cuerpo del mensaje.
[12] Mensaje a
linux-security-request [at] redhat [dot] com con "subscribe linux-security" en el cuerpo del mensaje.
[13] Mensaje a
majordomo [at] suburbia [dot] netcon "subscribe best-of-security" en el cuerpo del mensaje.
[14] Mensaje a
majordomo [at] greatcircle [dot] comcon "subscribe firewalls" en el cuerpo del mensaje.
David Guerrero
Ministerio de Educacin y Cultura
Subdireccin Gral. de Tratamiento de la Informacin
david [at] mec [dot] es
Indice General
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
12/12