Monday, April 6, 2009

Un mar sereno, bajo un cielo de tormenta


Asi como dice el tema del gran Zitarrosa, es la seguridad informatica en las empresas o aun en el ambito personal.

Muchos IT managers descansan en la tranquilidad de haber comprado la bala de plata que les brinda la seguridad ante las diferentes amenazas existentes. Pero lamentablemente como vimos, la seguridad es un mundo en movimiento.

Ya hablamos de la seguridad en profundidad, que se encuentra representada en forma excelente en el siguiente grafico :



Como la figura lo muestra, no hay una sola herramienta que nos brinde seguridad para todas las posibles amenazas.

Hoy quiero desmitificar la falsa seguridad que brindan algunas herramientas, voy a referirme a los firewalls de red y a los reverse proxies.

Los firewalls de red son dispositivos que trabajan en la capa 3 y 4 del modelo OSI, mediante un conjunto de reglas establecidas, permiten o deniegan el acceso entre redes.

Entonces la funcion principal es solo permitir el acceso a ciertos equipos / puertos detras del mismo.



Ahora hablemos de los reverse proxy, estos dispositivos actuan como punto unico de acceso a los diferentes webservers de una empresa, de manera de proteger estos ultimos de posibles ataques.
Todo el tráfico entrante de Internet o de una Intranet y con el destino de uno de esos servidores web pasa a través del servidor proxy.

A diferencia de los FW de red , estos equipos trabajan en la capa 4 de OSI ( no estamos hablando de un FW de aplicaciones )

El siguiente caso ilustra un Reverse Proxy con webservers de aplicaciones publicas.

El mismo concepto se puede aplicar para aplicaciones en una red privada.


Como podemos ver, el acceso a los datos se encuentra protegido por una o dos capas de seguridad de "red" y remarco esta palabra porque es la unica proteccion que entregan estos dispositivos.

Cualquier error en el codigo de las aplicaciones en la configuracion del webserver o de la base de datos, expone a los datos a diferentes tipos de ataques :


Entonces como suplir las huecos que dejan abiertos estos dispositivos ?

Antes que nada contar con procedimientos de instalacion standard para los servers ( base de datos, webservers ), estos procedimientos deben tener en cuenta el hardening de los mismos.

Por ultimo uno de los mas importantes, contar con una metodologia de desarrollo que tenga en cuenta la seguridad en todas sus etapas.

Seg. Informatica debe participar desde los requerimientos, hasta la realizacion de un pentest de lo aplicacion en el momento anterior a poner el codigo en produccion.

Un buen punto de partida para esto es OWASP, que pueden encontrar por aca.

No comments: