"Si me hubiese pegado una coz un asno, ¿le denunciaría?"
[ Sócrates - Filósofo griego - 470-399 a.C. ]


185 - ¿Es segura la virtualización? - 20/08/2012



Se encuentra abierta la inscripción al primer Bootcamp CISSP desarrollado en 8 clases, en forma presencial en Buenos Aires, Argentina. Inicia el próximo 13 de septiembre.

Ver el calendario

Información e inscripción


Además el 03 de septiembre comienza el Curso sobre Desarrollo Seguro en la ciudad de Santa Fe, dictado en la Universidad Nacional del Litoral.

Información e inscripción


Si tienes un artículo, envíalo para su publicación en nuestro Boletín.


1. ¿Es segura la virtualización?
2. Administración de Identidades y Single Sign-on
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana



1. ¿Es segura la virtualización?

Este artículo ha sido desarrollado por Willy Sehringer, quien está certificado como VMware Professional Partner y puede ser encontrado en su empresa y sitio web.


¿Es segura la virtualización?

Esta es una pregunta muy común, especialmente si la organización planea virtualizar aplicaciones críticas. El primer paso para entender esta pregunta es observar las diferencias entre las infraestructura virtual (IV) y la infraestructura física (IF).


En la IV tenemos:

Entender estas diferencias lo ayudara a conocer como cambia en un entorno virtual la administración de la seguridad. A continuación se plantean algunas preguntas y respuestas respecto a estos nuevos desafíos.


¿Porque el rápido aprovisionamiento de servidores nuevos puede ser un problema de seguridad?

A menudo se ven ambientes virtuales que crecen rápidamente, en forma desordenada, sin una planificación suficiente, la forma de desplegar los hosts y clusters puede impactar significativamente en la seguridad de la IV porque en un entorno virtual las configuraciones pueden modificarse con mayor facilidad que en un entorno físico.

¿Que es mas fácil, desconectar un servidor físico para lo cual debemos ingresar al datacenter y desconectar el cable de red o desconectar un servidor virtual, lo cuál podemos hacer desde una estación de trabajo con un par de "clicks"? La respuesta parece obvia. Esta temática nos lleva al refuerzo de nuestro control del sistema de administración de la IV y del control de cambios.

Las redes de la IV es el punto que más preocupa desde la óptica de la seguridad informática, porque en muchos casos el equipo de redes deja de manejar el 100% del networking pasando a manos del equipo de virtualización. Las estadísticas dicen que la mayor problemática en este nivel son los riesgos asociados a las malas configuraciones por parte de los administradores.

Desde el punto de vista de las máquinas virtuales, las mismas están encapsuladas, generalmente en un almacenamiento compartido. Esto ¿es bueno o es malo? Por un lado permite capacidades avanzadas y de alta disponibilidad pero por otro permite robar un servidor sólo copiando una carpeta con archivos.

Las máquinas virtuales hacen que la administración de las configuraciones sea desafiante y totalmente dinámica, las máquinas virtuales "se mueven". En un entorno físico se sabe en que rack está alojado un servidor y cual es su funcionalidad pero en el ambiente virtual, para saber sobre qué equipo está corriendo una máquina virtual especifica se deberá acceder a la consola de administración de la IV y revisar esa propiedad.


¿Por que la consolidación se convierte en un problema de seguridad?

El problema no es la consolidación, ni el entorno virtual, el problema son las configuraciones erróneas. Esto es debido a que las configuraciones son muy simples de realizar: un check mal seleccionado puede abrir un agujero de seguridad por lo que se vuelve imprescindible mantener siempre la atención sobre la administración de configuraciones y el control de cambios.


¿El hipervisor es una debilidad en la seguridad?

Hasta el momento no se ha visto un exploit in-the-wild que permita que una máquina virtual "salte" de su contenedor, es decir que un atacante desde una máquina virtual pueda salirse de ella y tener acceso al Hipervisor. Aquí resulta sumamente importante la exigencia de cada fabricante respecto a los estándares de desarrollo y seguridad de sus productos.

Mientras la virtualización no es una nueva tecnología, para muchos profesionales puede ser intimidante: "cuando se virtualizan los servidores se pierde completamente la visibilidad de los mismos" porque ya no ven cables y eso puede "desesperar" al administrador.

La realidad dice que los entornos virtuales tienen una historia muy sólida y de sistemas muy seguros, con muchas instalaciones con datos sensibles y en posiciones hostiles.


Entonces ¿existen amenazas en el mundo virtual?

La realidad es que todo es muy similar al mundo físico:

Muchos de estos problemas son simples de resolver con planificación, administración y monitoreo apropiado.

Respecto a la seguridad en ambientes virtualizados la mayoría de los temas también hacen referencia a lo mismo citado anteriormente:

La mayor parte de los cambios tienen que ver con la IV en sí mismo y como se administra:

Finalmente hay muchos temas a tener en cuenta en la seguridad del entorno virtual, pero al menos son esenciales realizar las siguientes acciones:


¡Gracias Willy!



2. Administración de Identidades y Single Sign-on


La Administración de Identidades permite integrar políticas y procesos organizacionales para facilitar y controlar el acceso a los sistemas de información y a las instalaciones. Actualmente se utiliza para administrar autenticación de usuarios, derechos y restricciones de acceso, perfiles de cuentas, contraseñas y otros atributos necesarios para la administración de perfiles de usuario y con el objetivo de controlar dichos accesos.

Single sign-on (SSO) es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas heterogéneos con una sola instancia de identificación. Su traducción literal sería algo como "sistema centralizado de autenticación y autorización" y se refiere al acceso a múltiples recursos por medio de un único proceso de ingreso.

Algunos autores creen que el SSO es imposible de aplicar en casos de uso reales y aumenta el impacto negativo en el caso de que las credenciales queden disponibles para personas ajenas a la organización. Por lo tanto, el SSO requiere una mayor atención en la protección de las credenciales de usuario, e idealmente debe ser combinada con métodos de autenticación fuerte, como las tarjetas inteligentes, acceso biométricos, tokens y certificados digitales.

En una arquitectura SSO, todos los mecanismos de seguridad se encuentran concentrados y el sistema se transforma en un punto único de fallo y hace que los sistemas de autenticación sean muy críticos porque una pérdida de disponibilidad puede resultar en la denegación de acceso a todos los sistemas unificados bajo el SSO.

Existen diferentes tipos de arquitecturas de SSO y cada una de ellas posee características apropiadas para distintos tipos de organización:

Actualmente se utilizan metadirectorios (estos productos también pueden usarse para otras aplicaciones) como Administradores de Identidad para permitir la gestión de usuarios, claves y permisos. Los metadirectorios se utilizan para replicar datos entre diferentes fuentes a través de conectores de bases de datos de diferentes orígenes y fabricantes. Son muy utilizados en grandes redes corporativas donde suelen confluir aplicaciones de diferentes fabricantes y que usan información de diferentes bases de datos LDAP, Active Directory, Oracle, etc.

La ventaja de desplegar soluciones de SSO permite al usuario final no tener que recordar ni conocer identificadores ni contraseñas para acceder a las diferentes aplicaciones que utiliza y sólo tiene que recordar un identificador y una contraseña inicial. El usuario tendrá acceso a las aplicaciones según su rol en la organización y se pueden establecer de políticas de seguridad de acceso de forma rápida y auditables, incluso sin que el usuario conozca de mismas. Las soluciones de este tipo también permiten que el usuario final ya no se tenga que ocupar de recordar ni de cambiar las contraseñas porque los sistemas lo harán por él y las mismas serán tan seguras como las aplicaciones clientes lo permitan, hasta el punto que respondan a algoritmos aleatorios difíciles de crackear.

Algunas soluciones que actualmente se pueden encontrar en el mercado son:


[1] Introducción a CAS (Central Authentication Service)
http://www.adictosaltrabajo.com/tutoriales/tutoriales.php?pagina=IntroduccionCAS
http://www.jasig.org/cas/download
http://static.springsource.org/spring-security/site/tutorial.html



3. Segu-Info busca autores


Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.



4. Apoya a Segu-Kids, Juntos en la Red


Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.



5. Desafío de la semana


Solución al desafío del Boletín anterior:

Esas dos líneas se utilizaban para probar la conexión entre dos equipos de teletipo. Era una convención probar el equipamiento de esa manera.

La línea de RY prueba los 5 bits de la trasmisión que se hacía por líneas telefónicas dedicadas para este servicio y como tenían una polarización definida, si se invierten los 2 cables del par telefónico es como invertir el sentido de los bits que estaban distribuidos en "b1b2 b3b4b5".

El pangrama se utilizaba para verificar la trasmisión/recepción de todas las letras del alfabeto y que funcionaran mecánicamente en cada aparato.

En estas tarjetas se ve el código de 5 bits, su distribución en la cinta de papel, y se puede comprobar que RY usan bits complementarios, "01 010" y "10 101" respectivamente.


Respondió (casi) correctamente: fberebere,


Desafío de esta semana:

Completar el siguiente cuadrado mágico de tres por tres con otros ocho números enteros positivos distintos entre sí y de tal manera que al multiplicar los tres números de cada fila, de cada columna y de cada diagonal se obtenga siempre el mismo resultado. Puede haber más de una solución.


X X X
X 15 X
X X X



Actualidad

Virus-Antivirus