Cuando se habla de seguridad informática lo primero en lo que se suele pensar es en firewalls, exploits, parches... Esta claro que la seguridad informática cubre todos esos campos pero también se centra en otros aspectos como son las copias de seguridad y los planes de recuperación ante desastres.
Cualquier organización que dependa de sistemas informáticos para sus operaciones diarias debería tener preparado un plan que le permita volver a poner su sistema informático en marcha en el menor tiempo posible en caso de destrucción total. Es un plan completamente distinto al de disponibilidad (el tiempo que un sistema informático esta disponible) o al de continuidad (recuperación de una parte muy concreta del sistema). Los planes de recuperación ante desastres no pretenden mantener el sistema funcionando al 100%, 24 horas al día, 7 días a la semana, si no que intentan especificar el reemplazo del sistema si hubiera que crearlo de nuevo partiendo de cero.
Cuantificar el costo económico que supone volver a poner todo un sistema informático en marcha es relativamente sencillo, la dificultad estriba en calcular el valor de la información contenida en ese sistema. En muchos casos el valor de esa información es incalculable y su perdida podría suponer la desaparición de la compañía que ha perdido la información.
Una de las partes más propensa a estropearse en cualquier sistema informático es el disco duro. Una de las técnicas más comunes empleadas para evitar la perdida de los datos en los discos duros que fallan es usando un sistema de RAID. Un RAID es un conjunto de dos o mas discos que trabajan en paralelo para disminuir el riesgo de perdida de información y/o aumentar las prestaciones de los discos.
Cualquier información vital para una empresa debería de ser almacenada en un sistema RAID que disminuya los riesgos de perdida en caso de fallo. Como efecto adicional, además de una mayor seguridad de los datos, también aumentaremos la disponibilidad de los mismos.
Otra forma común de proteger nuestros datos son las copias de seguridad. Aunque hace mucho que han quedado atrás los tiempos en que nos sentábamos delante de nuestros ordenadores cargados con 20 o 30 disquetes para hacer una copia de seguridad completa de la información contenida en nuestro disco duro, sigue siendo común el uso de uno o dos disquetes para almacenar pequeñas cantidades de información.
En la actualidad las copias en discos compactos grabables o regrabables es una de las opciones más comunes y baratas para usuarios y pequeñas empresas, mientras que las grandes empresas se decantan por sistemas de almacenamiento en cinta.
Vulnerabilidad: Cross Site Scripting (XSS)de recuperación ante
Cross Site Scripting es una vulnerabilidad muy común en muchos servidores web, sobro todo en aquellos que usan páginas dinámicas para generar el contenido.
Que sea común no quiere decir que no sea importante, así que voy a explicar un poco en que consiste.
Supongamos una URL como la siguiente:
http://servidor/error.asp?msg=Error+en+los+datos
Esta URL nos muestra una página con un mensaje en el centro que reza: "Error en los datos".
El problema estriba en la posibilidad de que el usuario puede introducir cualquier mensaje en esa página, por ejemplo, "kamborio estuvo aquí". Lo que es aún peor, se podría inyectar código JavaScript en la página usando una URL como:
http://servidor/error.asp?msg=<script>alert('Hola');</script>
IIS y el método Server.Execute
La versión 5 del servidor web de Microsoft(r) "Internet Information Services" (IIS) apareció el 17 de Febrero de 2000 cuando fue lanzado al mercado Windows(tm) 2000. Incluía numerosas mejoras sobre la versión anterior, una cantidad increíble de nuevos "bugs" y dos nuevos "métodos" que están facilitando el trabajo a multitud de programadores, pero que les pueden dar mas de un quebradero de cabeza.
Los nuevos métodos son parte de el objeto ASP Server: Execute y Transfer. Estos dos nuevos métodos permiten la ejecución de una página web en el propio servidor o la transferencia de una página web a otra manteniendo el estado de los objetos entre páginas.
El propio software que controla mi página web y que ha sido programado por mi, hace uso extensivo del metodo Server.Execute debido a su similitud con los "Server Side Includes". La principal diferencia es la posibilidad de usar variables cuando se usa Server.Execute para espeficar el archivo a ejecutar, opción no disponible cuando se usa un "Server Side Include".
Guía de seguridad para la configuración de routers (I)
En este artículo voy a intentar explicar como configurar de forma correcta un router en redes TCP/IP.
Además estoy preparando otro artículo complementario a este en el que explico como configurar un "syslog" y conseguir que un router nos informe de ataques en tiempo real. Los ejemplos van a estar basados en routers Cisco corriendo el sistema operativo IOS versión 12.1, aunque los ejemplos se pueden aplicar a versiones anteriores y con mínimos cambios, a otro tipo de routers.
Varios textos de obligada lectura antes de continuar son:
a) La transmisión de información en Internet
b) Curso de protocolos TCP/IP
Otro documento muy recomendable es Router Security Configuration Guide (en inglés). Gracias a Juamma Merino por el enlace.
Un router es un dispositivo de red capaz de encaminar los paquetes TCP/IP entre dos o más subredes TCP/IP. Dependiendo del modelo que usemos, además de encaminar los paquetes podemos tener acceso a funciones adicionales como el filtrado de paquetes o el control del ancho de banda. Voy a centrar este documento en el filtrado de paquetes como medida para prevenir ataques a nuestra red y también para evitar que ocurran desde nuestra red.
Todo router tiene al menos 2 interfaces de red. Una configuración típica podría tener un interface ISDN o uno ADSL y otro interface ethernet. También se podría dar el caso en que los dos interfaces son iguales, por ejemplo, dos interfaces ethernet. Las configuraciones son prácticamente interminables pero para este artículo nos es indiferente el tipo de interfaces que estemos usando. Llamaremos al interface que esta conectado a nuestra red interface interno, y al otro, el que esta conectado a "Internet", interface "externo".
Los filtros que debemos aplicar al router varían de una red a otra, aunque hay ciertas normas comunes a las que debemos prestar atención.
a) No deben entrar en nuestra red paquetes provenientes de nuestras propias IP's.
Al evitar que entren en nuestra red paquetes con la IP de origen igual a alguna de las de nuestra red, estaremos evitando que alguien pueda a acceder a servicios restringidos solo a nuestras IP's.
b) No deben entrar en nuestra red paquetes provenientes de IP's reservadas.
Las direcciones IP reservadas son aquellas que no se usan en maquinas conectadas a Internet, y que, como su nombre indica, se reservan para uso exclusivo en intranets o para uso experimental.
Confesiones de una almohada: (0) Prólogo
"Confesiones de una almohada" fue escrito originalmente en gallego en 1.995 y fue presentado al Certamen Literario del Instituto de Bachillerato de Cambre. Era el instituto en el que ese año estaba repitiendo COU sólo con las asignaturas de Lengua Gallega y Filosofía (aprovecho para saludar a Nela y Antonio, los profesores que consideraron el año anterior que mis conocimientos sobre esas dos materias no eran lo suficientemente extensos como para presentarme a la selectividad).
El relato obtuvo el primer premio que consistía en un diploma y quince mil pesetas en metálico (que me gasté junto a mi mujer, de aquella mi novia, en las vacaciones de Semana Santa). Los relatos se entregaron con pseudónimo y el nombre del autor iba dentro de un sobre cerrado que se abrió en el momento de entregar los premios.
La sorpresa de los profesores y el alumnado fue mayúscula, puesto que los primeros no se podían creer que un alumno de "ciencias" y repitiendo curso con la asignatura de
Lengua Gallega pudiera haber presentado el relato ganador y los segundos, se quedaron sorprendidos de que un desconocido ganara el concurso. Cabe decir que era un desconocido entre la mayor parte del alumnado porque era mi primer (y último) año en el instituto y mis comparecencias eran bastante escasas puesto que sólo tenía que asistir a las clases de dos materias (y ni siquiera asistía a todas las clases de esas dos materias, ¡ah! la juventud).
