Instalación de un Controlador de Dominio - Grupos predeterminados

Bueno, continuando con los links útiles - que no colocaba hace semanas, aquí hay un par de sitios de bastante utilidad para comprender los primeros fundamentos de Active Directory que estamos estudiando.

http://technet2.microsoft.com/windowsserver/en/library/6bdadfc1-4a8e-4b55-8844-7f784d7ff20b1033.mspx?mfr=true

Este link muestra el proceso de instalación y configuración inicial de un controlador de dominio.

http://technet2.microsoft.com/windowsserver/en/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx?mfr=true

Este es sobre los grupos predeterminados que existen en Windows 2003.

Más adelante, más links. Saludos desde Seattle, WA

Los dejo desde ya invitados al gran Lanzamiento de Microsoft este 2008!

ZaSaludos

Nuevos MVPs para Chile & MVP Summit

¿Quién lo diría? Hace semanas que no había posteado por acá y ha sido sencillamente por falta de tiempo. Y es que el nuevo trabajo en el cual me desempeño ha sido absorbente y motivante a un 100% (en otro post les cuento más). Y hoy, que tengo un ratito libre, no puedo dejar pasar la oportunidad para contarles algunas novedades a nivel de Chile que hemos tenido en el programa MVP.

Nuevos MVP Chilenos. Llegó Abril y novedades mil en el programa MVP para los Chilenos. Parece que renovar ya no será tan sencillo; debemos preocuparnos más de actualizar nuestros aportes y buscar vías alternativas para validar nuestro trabajo. Y así como tenemos menos charlas y eventos disponibles este año, tenemos que refugiarnos en nuestro blog, nuestros artículos y el aporte online que podamos hacer para renovar. El cuento es que llegó Abril y hemos perdido 2 MVP para ganar otros dos; en pocas palabras, ha habido un cambio en el equipo.

De los nuevos MVP, les puedo contar que tenemos a un desarrollador: Juan Pablo Schmiede (C#) y a Gonzalo Balladares (Exchange). Y como conozco "de potrillo" a Gonzalo no puedo hacer más que felicitarle públicamente. Muchas ganas, gran empuje, una disposición a toda prueba y un excelente nivel de conocimientos técnicos (destacando que es el primer chileno en sacar el MCTIP en Windows 2008). Su destacadísima participación en el Glue y el excelente ciclo de Charlas que organizó y coordinó lo hacen largamente merecedor del reconocimiento. ¡Felicitaciones, Gonzalo!

Con esto, la lista de MVP's Chilenos es la siguiente:

Claudio San Martín (XBOX, renueva en Octubre)

Oscar Soto (Active Directory Services, renueva en Octubre)

Emerson González (Forefront/ISA, renueva en Octubre)

Luis Montenegro (Security, renueva en Octubre)

Jorge Díaz (Exchange, renueva en Enero)

Gonzalo Balladares (Exchange, renueva en Abril)

Gonzalo Pérez (ASP.NET, renueva en Abril)

Juan Pablo García (Arquitectura de Sistemas, renueva en ?)

Luis Hereira (Arquitectura de Sistemas, renueva en Abril)

Luis Silva (VB, renueva en Abril)

Juan Pablo Schmiede (C#, renueva en Abril)

Leonardo Garcés (ASP.NET, renueva en Enero)

Se viene el MVP Summit. Y ya nos quedan 7 días para iniciar el gran viaje. El día 12 volamos a Seattle para participar entre el 14 y el 17 en el Summit MVP, una experiencia única y una gran oportunidad para compartir con los expertos en Microsoft y conocer colegas de todo el mundo. Hasta este momento, estamos viajando Oscar, Jorge, Juan Pablo G, Leo, Gonzalo B, y quien les habla. Dirige la delegación Christian Linacre. Luego del Summit, partimos con Jorge, Leo y JP a las Vegas. No es malo....

Saludos!

Aprender, explorar y comprender Windows Server gracias a Virtual Server 2005 R2 SP1 y VMRC Plus

Voy a aprovechar estos breves minutos antes de iniciar una nueva jornada laboral para contarles un poco sobre el concepto de virtualización y el uso de Virtual Server 2005 R2 con SP1.

Sin duda, la virtualización es un concepto en boga. Hoy en día, el transformar las máquinas físicas en máquinas virtuales, permitiendo tener varias dentro de un mismo servidor físico funcionando concurrentemente, es una opción cada vez más atractiva para las organizaciones; permite ahorrar costos de almacenamiento físico de las máquinas, mantenimiento, y por sobre todo, hardware. Además, con un servidor virtual crear máquinas virtuales es relativamente sencillo y duplicarlas, moverlas y restaurarlas en caso de problemas de seguridad es algo que tomará mucho menos tiempo que recuperar información desde un respaldo, lo cual mejora el uptime de las organizaciones.

Con Virtual Server 2005, se pueden crear todas las máquinas virtuales que queramos tener, en distintos sistemas operativos, tanto clientes como servidor. Podemos agregarle a nuestras máquinas la memoria, disco y tarjetas de red que encontremos necesarias, tomando siempre en cuenta que las limitantes son las mismas que la máquina host, es decir, la máquina donde se instala virtual server. En pocas palabras, si tenemos 2 GB de RAM en nuestro equipo "madre", difícilmente vamos a tener 10 máquinas virtuales con 1GB cada una funcionando .

La posibilidad de crear redes virtuales internas, o asociar las tarjetas de red a nuestras tarjetas de red físicas, de añadir discos duros cuando nos quedemos sin espacio "virtual" y muchas otras opciones hacen de Virtual Server 2005 una herramienta óptima para el proceso de aprendizaje, prueba y en muchos casos producción con Windows Server 2003/2008.

Durante este semestre, estaré dictando un curso de laboratorio de Sistemas Operativos, donde explicaré los conceptos básicos de administración de Windows Server y algo de Linux. Y para realizar todas las experiencias prácticas, trabajaremos con Virtual Server 2005 R2 y con VMRC (La virtual machine remote control) en su versión mejorada. En un próximo artículo desmenuzaré más sobre esta herramienta.

Más información pueden encontrar en:

http://www.microsoft.com/windowsserversystem/virtualserver/

http://download.microsoft.com/download/6/6/d/66d548a3-a02b-4f32-adb8-634a7ec7bbcc/MS_VS2005_BUILD_062007/index.html - Una excelente demo, en inglés con subtítulos, en Inglés... igual se hace más fácil de seguir.

http://technet.microsoft.com/es-cl/bb738033.aspx Descarga Microsoft Virtual Server 2005 R2 con SP1

http://www.microsoft.com/downloads/details.aspx?FamilyID=80ADC08C-BFC6-4C3A-B4F1-772F550AE791&displaylang=en Descarga de VMRC Plus

Es importante destacar que para instalar Virtual Server 2005 R2 SP1 es necesario instalar IIS (Ubicado dentro de Panel de Control, agregar o quitar programas, componentes de Windows, Servidor de Aplicaciones). Basta con una instalación mínima que incluya el servicio WWW para que funcione. Además, es importante destacar que Virtual Server funciona con privilegios administrativos, así que ojo con los usuarios de Windows Vista!

Hasta una próxima oportunidad.

Dentro de las nuevas herramientas que Microsoft ha desarrollado bajo su línea Solutions Accelerators existe una que es capaz de crear, en pocos pasos, una línea de seguridad base para toda la plataforma de servidores de Windows, y no solo eso; también lo puede hacer para equipos cliente.

GPOAccelerator es el nombre de esta herramienta, que basa su trabajo en el desarrollo de políticas de grupo basándose en el uso de las últimas guías de seguridad que Microsoft ha sacado para sus sistemas operativos Windows 2008, Windows 2003, Windows Vista y finalmente Windows XP. Gracias a esta nueva herramienta, un administrador de sistema puede simplificar el trabajo que anteriormente tenía que realizar con el uso de plantillas de seguridad y se puede ahorrar todo el procedimiento de importar las plantillas, crear las políticas y nombrarlas... para cada uno de los roles de un servidor.

Además, GPOAccelerator tiene la capacidad de generar sus baselines de seguridad en base a la infraestructura de la organización, el nivel de seguridad al que se quiere llegar y el entorno en el cual se está haciendo el deploy. En pocas palabras, esta herramienta crea políticas distintas si existe una infraestrucura de dominio, si se está trabajando en un laboratorio o si se implementarán las políticas de modo local.

GPOAccelerator establece dos niveles de seguridad estándar. El primero de ellos, llamado Enterprise Client Enviroment (EC) es un nivel de seguridad clásico para empresas que tienen plataformas de trabajo basadas en dominios, con Controladores de dominio Windows 2008 y Servidores miembro Windows 2008/2003 SP2, más equipos cliente Vista/XP. En este caso, se aplican medidas de seguridad adecuadas para organizaciones que quieren tener un nivel de seguridad óptimo en cuanto a la relación seguridad/funcionalidad. En pocas palabras, aplica la seguridad más alta que se puede llegar a obtener sin afectar la funcionalidad de los sistemas. Es necesario recordar bajo este punto que a un mismo costo, un aumento en los niveles de seguridad por lo general (por no decir siempre) afecta el grado de funcionalidad que se puede obtener de los sistemas. Este concepto está íntimamente relacionado con el concepto de superficie de ataque: mientras más funcionales, mayor suele ser la superficie de ataque, y por ende, menor la seguridad.

El segundo nivel de seguridad es conocido como Specialized Security: Limited Functionality (SSLF), el cual como su nombre lo dice, es un nivel de seguridad de altísimo nivel, pero que a su vez tiene funcionalidad limitada. Este nivel de seguridad debe ser aplicado en sistemas basados en Servidores Windows 2008 y clientes Windows Vista/XP, y debe ser utilizado sólo en aquellos casos en que la necesidad de altos niveles de seguridad sea lo suficientemente grande como para estar dispuestos a sacrificar la funcionalidad de los sistemas. Por ejemplo, un SSLF restringe el acceso a Terminal Server, lo que en ambientes organizacionales suele ser algo que afecta sensiblemente a sus usuarios.

¿Y como funciona? Para instalar GPOAccelerator es necesario descargarlo - lógico - desde el sitio Web que está especificado en la guía de seguridad de Windows 2008. Una vez descargado, para su funcionamiento necesita residir en alguno de los sistemas operativos indicados anteriormente, y además necesita la instalación previa de la consola de administración de políticas de grupo (GPMC, la cual se puede descargar acá).

Una vez instalado, al ejecutarse se inicia un asistente de configuración, similar al que se ve a continuación.

Luego de dar clic a siguiente, se debe seleccionar el entorno general de trabajo, vale decir, se debe especificar si se trabajará en un ambiente de dominio o si el deploy del baseline se realizará de forma local. Además, en este punto se da la opción de actualizar el editor de seguridad existente.

Para hacer este pequeño tutorial, se trabajó en Windows 2008, en una infraestructura de dominio. Por lo tanto, se selecciona Domain y se da clic a siguiente. A continuación, se debe especificar que guía de seguridad se ocupará para aplicar el baseline de seguridad.

Luego de seleccionar Windows 2008 y dar clic en siguiente, se debe escoger cual será el nivel de seguridad a aplicar en el proceso de deploy. Aquí es importante resaltar nuevamente la importancia de adecuar el nivel de seguridad a aplicar al objetivo de negocio dentro de la organización, al grado de exposición de los activos de seguridad y a la citricidad de la información para tomar la decisión correcta.

Luego de tomar la decisión adecuada y dar clic a siguiente, el asistente pide la última decisión por parte del usuario, y es decidir si la implementación del baseline de seguridad se está aplicando a un entorno de laboratorio o directamente en producción. Y aquí es importante recordar la importancia de la aplicación inicial de la solución en un entorno de laboratorio de forma inicial, antes de iniciar un proceso de implementación efectiva en producción.

Una vez que se da clic a siguiente, se procede a aplicar las configuraciones deseadas y a iniciar le proceso de creación de políticas. Esto puede tomar algunos minutos.

Una de las cosas importantes a tomar siempre en cuenta en la aplicación de herramientas de deploy de baseline - o anteriormente, en el uso de plantillas - es que siempre es recomendado revisar las plantillas antes de aplicarlas. Si el estudio general de la plantilla de seguridad trae como consecuencia un resultado nefasto o la pérdida de funcionalidades necesarias para la organización, es mejor abstenerse de su uso.

El proceso de creación de las políticas, en este ambiente de laboratorio, tomó aproximadamente 3 minutos.

Una vez terminado el proceso, el administrador puede abrir la consola de administración de políticas de grupo (GPMC) para vincular las políticas creadas por la herramienta.

Para utilizar de manera óptima GPOAccelerator, es importante tener una infraestructura de dominio óptima para su utilización. Se recomienda utilizar un baseline para los controladores de dominio, un baseline para los servidores miembros y baselines para las distintas funciones o roles del servidor.

Eso sería todo por ahora. Prontamente, les mostraré un overview técnico de Microsoft ForeFront.

Tips de Seguridad

¡Bienvenidos a mi nuevo blog!

Después de un largo trabajo de recopilación y reedición de mis blogs, por fin logré hacer algo que tenía pensado hace meses: Separar mis espacios tecnológico y personal, y asociar dichos espacios a los correos correspondientes.

Y como consecuencia, hoy nace Tips de Seguridad, mi nuevo blog, el cual estará orientado a 3 aspectos relevantes:

• Consejos y Artículos de Seguridad, los cuales iré redactando acorde a las experiencias que me toque vivir en el tema de la seguridad.
• Información de Eventos, en los cuales contaré sobre mis próximas charlas y las experiencias vividas en las mismas, además de los eventos relevantes de Microsoft.
• Windows 2003/2008 Server, como parte del curso de laboratorio que dictaré este semestre. Esto tendrá más relación con la entrega de links y consejos útiles en el aprendizaje de la administración e implementación de plataformas Microsoft.

De esta forma, siempre podrán encontrar en mi blog etiquetas acordes al contenido de cada uno de los post. He tratado de ordenar de la manera más acorde y adecuada dicho contenido.

Además, iré colocando listas de blogs, comunidades o recursos interesantes. Si alguien cree poder aportar, bienvenido sea el aporte... .

De hecho si encuentran cualquier cosa corregible les ruego me avisen!

Bueno, uno no puede cerrar una nota así sin una pequeña reflexión. Todo este proceso de migrar el blog me ha servido para mirar hacia atrás, en cuanto a mis actividades, inquietudes e intereses. Estoy empezando a afrontar una etapa muy exigente pero a la vez entretenida, donde estaré viviendo la seguridad más cerca que nunca... y espero de alguna manera poder traspasarle dichos conocimientos a la audiencia de este blog. Muchas cosas han pasado desde que me titulé, y son esas cosas las que conforman este blog. Los invito entonces a leer y disfrutar...

Y si alguien quiere conocer más al hombre tras el profesional, puede visitar mi blog personal: http://eluniversodeluis.spaces.live.com

Aplicando de manera correcta las guías de seguridad

Milagro dirán muchos... ¡este blog vuelve a la vida! Después de varios meses de intermitencia, pretendo hacer de este blog un nuevo foco de tecnología y pretendo que este sea un buen punto de partida. Aprovechando que vuelvo a trabajar en el tema de seguridad a partir de unas horas más (que no se note que estoy desvelado) y aprovechando también que este Martes 11 presento mi primera conferencia del año en Microsoft, les presento a continuación una guía para aplicar y entender de manera correcta una guía de seguridad.

Sin duda, el constante aumento en las potencialidades que nos ofrecen los sistemas operativos - y por sobre todas las cosas, las plataformas de Windows Server - hace de que la superficie de ataque de nuestros equipos se haga más extensa, y por sobre todas las cosas, más difícil de entender. Cada nueva funcionalidad puede presentarnos una nueva vulnerabilidad potencial si es que la configuramos de manera incorrecta.

Para contrarrestar eso, se han diseñado un conjunto de estrategias que permiten a los administradores implementar de manera rápida y efectiva una línea de base de seguridad para los servidores y clientes dentro de una organización, y así poder reducir de manera eficiente la superficie de ataque de sus equipos - y por ende, el riesgo de ataques a nivel de la capa de host del modelo de defensa en profundidad en la organización.

Y por lo general, la manera práctica en que se plasma este conjunto de estrategias es a través de la creación de guías de seguridad (también conocidas como guías de hardening) de los distintos sistemas operativos. De hecho, hace menos de un mes Microsoft hizo pública su última guía de seguridad, para Windows 2008 (Disponible en http://technet.microsoft.com/en-us/library/cc264463.aspx). Sin embargo, las guías de seguridad no son una panacea, y para poder implementar una guía con resultados exitosos, hay que tener en consideración una serie de aspectos claves, que son precisamente los aspectos en los cuales se centra esta "guía para comprender una guía".

1. Comprenda los conceptos claves de seguridad de la guía: Toda buena guía de seguridad suele tener un apartado teórico, en donde se explican los conceptos claves de seguridad relacionados con la aplicación de la misma. El entendimiento correcto de dichos conceptos es clave para el éxito en la implementación de cualquier guía, ya que con los mismos se puede obtener una idea bastante precisa de cuales serán los resultados reales que el administrador debería esperar de la implementación de los cambios.
2. Establezca la realidad de su organización: Una de las cosas que hacen que la redacción de guías de seguridad sea una labor compleja es el hecho de que las organizaciones son como las huellas digitales, es decir, sus realidades suelen ser totalmente diferentes unas de otras. Por ejemplo, se deben tener en cuenta varios aspectos clave para entender la realidad de la organización cuyos equipos vayan a ser sometidos a la aplicación de una (o varias) guías de seguridad:
   • Esquema de trabajo: En general, existen varias diferencias en cuanto a administración entre trabajar en un esquema basado en dominio y un esquema de grupos de trabajo. Es por lo mismo que en muchos casos existen guías de seguridad distintas para ambos casos. Por lo general, el uso de uno o varios dominios en una organización incrementa la gama de herramientas de administración disponibles, lo que facilita notablemente la aplicación de medidas de seguridad base a nivel global. Quizá el ejemplo más claro de este concepto se tiene con la existencia de las políticas de grupo (GPO), que permiten implementar de manera simplificada perfiles de seguridad a decenas, cientos y hasta miles de máquinas de forma centralizada, lo que tomaría una enormidad de tiempo en esquemas no jerárquicos como sucede en los grupos de trabajo.
   • Sistemas operativos existentes en la organización: Generalmente, en una organización conviven varios sistemas operativos a la vez, y esto sucede tanto en clientes como servidores. Es más: en organizaciones donde no exista un proceso de estandarización estricto, pueden convivir incluso sistemas operativos con distintos grados de actualización, llegando a extremos de tener versiones distintas de service pack. Además, una serie de factores relativamente recientes se hacen patentes en este punto, como lo son la existencia de plataformas en 64 bits tanto para clientes como para servidores. Para poder aplicar de manera óptima una guía de seguridad, se debe tener claro cual es la realidad en cuanto a los sistemas operativos de servidores y clientes. Por lo general, mientras más actualizada esté globalmente una organización, podrá gozar de una seguridad más focalizada, pues se sacará el máximo provecho de las nuevas potencialidades entregadas por las versiones más actuales de los sistemas operativos. A modo de ejemplo, la gran mayoría de las configuraciones existentes de políticas de grupo no son aplicables para los sistemas operativos que oficialmente "no existen" para Microsoft (como Windows 98 por ejemplo). Sin embargo, la realidad de muchas organizaciones indica que estos sistemas operativos siguen estando presentes en algunas máquinas, sobre todo en las más antiguas. Hoy en día, los mejores niveles de seguridad se pueden lograr teniendo plataformas con Windows Vista o Windows XP SP2 para clientes y Windows 2003 R2 o Windows 2008 para servidores.
   • Tamaño y naturaleza de la organización: Es éste quizá el punto más crítico a considerar, principalmente porque esta evaluación suele ser subjetiva y es difícil de categorizar. El tamaño importa; sobre todo si la aplicación de una guía de seguridad nos obliga a ejecutar cambios muy grandes y costosos (y tomando todas las posibles aristas de la palabra "costoso": ya sea económicamente hablando, o en tiempo, o en recursos humanos, o en adaptación al cambio, por citar ejemplos). Y lógicamente, la naturaleza de la organización, en cuanto a el tipo de trabajo o servicios que presta es relevante, puesto que las guías de seguridad siempre traen como consecuencia un sacrificio en cuanto a la funcionalidad de los sistemas operativos. En algunos casos, la aplicación inconciente de una guía de seguridad podría reducir la funcionalidad de una organización a un grado poco deseable, independiente de que en otras organizaciones su aplicación haya sido exitosa.
3. Estudio consistente de los cambios a realizar: Una vez que se ha identificado correctamente cual es la realidad de la organización donde residen los equipos a ser intervenidos, es necesario estudiar exhaustivamente la guía de seguridad. En general, las guías de seguridad suelen estar divididas en varias secciones relativas a los cambios a realizar dentro de las configuraciones de los equipos afectados. Por lo tanto, se debe tomar cada una de estas secciones, decidir si serán aplicados los cambios sugeridos en cada caso y luego estudiar dichos cambios. Para esto es clave tratar de entender la naturaleza de los mismos y evaluar cual será el resultado que se debe esperar y si el cambio a realizar traerá consigo alguna utilidad o mejora efectiva dada la realidad de la organización. Además, en caso de que no se entienda a cabalidad lo que se está hará, se debe evaluar la posibilidad de omitir el cambio. Uno de los problemas más desagradables para una persona dedicada a la seguridad es que se pierda una funcionalidad por un cambio cuya naturaleza e impacto es desconocida.
4. Establecer un entorno de laboratorio: Una de las máximas más conocidas en seguridad es no aplicar nunca cambios directamente en producción. Este punto va estrictamente relacionado con el punto anterior. Un estudio consistente de los cambios a realizar debe considerar la implementación de los mismos en un entorno de laboratorio. Si bien difícilmente en un laboratorio se podrá reflejar fielmente la realidad de la organización (sobre todo si ésta es muy grande), se puede medir el impacto potencial de los cambios en las configuraciones existentes. Para establecer un entorno de laboratorio, el uso de Microsoft Virtual Server 2005 R2 o de las nuevas tecnologías de máquinas virtuales para Windows 2008 es ideal. Una manera rápida y sencilla de poder probar los cambios antes de lamentar problemas, sobre todo si se están aplicando cambios que no son entendidos a cabalidad.
5. Implementar la guía: Una vez que se han probado con éxito los cambios a ser realizados en los disntos equipos, es necesario empezar a implementarlos de manera efectiva en la organización. Para ello, es recomendable seguir una serie de pasos que son detallados a continuación:
   • Medidas "protocolares": Es necesario planificar con las personas adecuadas el proceso de implementación de la guía, de tal manera que el proceso mismo de la implementación impacte de manera mínima la productividad de la organización.
   • Informe previo de cambios: Cuando la aplicación de la guía trae consigo diferencias en la funcionalidad de los servidores o los equipos clientes, es necesario informar de manera oportuna a todos los usuarios afectados de los cambios que serán implementados. Más que una explicación técnica, es necesario dejar claramente estipulados los cambios que se experimentarán en la funcionalidad de los equipos.
   • Respaldo inicial de la máquina directamente afectada: En caso de presentarse cualquier imprevisto, siempre es bueno poder volver atrás lo antes posible. Por lo tanto, es altamente recomendado tener a mano una imagen del equipo antes de iniciar los cambios. Si la guía de seguridad a aplicar es muy extensa y se tiene el tiempo y espacio suficiente, se puede considerar la creación de varias imágenes, en los puntos clave del proceso.
   • Documentación: Un punto extremadamente necesario si es que no se aplicarán todos los cambios sugeridos en la guía de seguridad. Es importante tener un documento donde quede claro que se aplicó y que no, de tal manera de poder identificar más eficientemente el origen de cualquier anomalía posterior y poder solucionarla con prestancia.
6. Estudio de los cambios: Al igual que en una operación quirúrgica, los primeros días posteriores a la aplicación de una guía de seguridad son claves para medir el grado de éxito en su implementación. Se debe estar extremadamente atento ante cualquie inconveniente que se presente en cualquiera de los equipos afectados directa o indirectamente por los cambios efectuados. De suceder anomalías, será clave haber entendido de manera correcta la naturaleza de los cambios aplicados y tener documentado de manera correcta el proceso de implementación de la guía.
7. Más no necesariamente es mejor: Algunas personas piensan que una buena práctica para realizar hardening es la aplicación de más de una guía de seguridad. Esto no es del todo cierto, y de hecho, en muchos casos puede llevar a un efecto totalmente contrario al esperado. Rara vez las guías de seguridad son complementarias, siendo en algunos puntos incluso contradictorias. A final de cuentas, una guía de seguridad es un conjunto de buenas prácticas recomendadas por expertos en seguridad, y a veces éstos suelen tener visiones distintas de un mismo tema. Por lo tanto, a no ser de que se tenga un conocimiento acabado de los cambios específicos realizados, es mejor considerar que más no necesariamente será mejor.

Una aplicación efectiva y eficiente de una guía de hardening permite a los administradores mejorar de forma sustancial la seguridad de la plataforma tecnológica de su organización. Esto, unido a el uso correcto por parte de los usuarios de la tecnología son claves para proteger la confidencialidad, integridad y disponibilidad de la información.

Bien, al parecer esta desvelada de hoy fue bastante útil... jeje . Pronto estaré por acá escribiendo de la guía de seguridad de Windows 2008 y de mi experiencia con ella (que es de esperar que sea casi una experiencia religiosa). Desde ya les comento que el GPOacelerator se ve interesante y por ahí habrá un artículo sobre ese tema!

Acercando a la comunidad discapacitada a la tecnología

El día de ayer tuve una reunión con Giorgio Chiesa, de la UVM San Felipe. Y he sido invitado para participar del equipo de Investigación y Desarrollo de la institución. Sin duda es una buena oportunidad de seguir creciendo como profesional, la cual recibo con agrado. La idea principal es participar en el desarrollo de proyectos concursables, y al parecer enfocaremos nuestro trabajo hacia la disminución de la brecha digital, en particular el acercamiento de las comunidades incapacitadas a la tecnología en Chile. Y para ello, es que en estos días me reuniré con A. González, la intérprete que me acompañó en la charla que di en Diciembre a la comunidad de sordomudos de Chile. La idea es recabar información sobre las necesidades de dicha comunidad para buscar soluciones innovadoras que los ayuden a enfrentar de la mejor manera la tecnología. Sin duda, un trabajo doblemente valioso.

Más libre, más inseguro

Hola. Sí, estoy vivo. Era muchísimo tiempo que no hablaba de seguridad por acá. Y motivado por mi amigo y colega Oscar Soto estoy aquí de nuevo para conversar sobre este apasionante tema. Precisamente el me mandó un enlace a una interesante noticia, que pone nuevamente en el tapete una interesante discusión sobre una de las conocidas paradojas de la seguridad: "Eres más libre, eres más inseguro"

El nuevo boeing 787 podría ser vulnerable a ataques de hacking (Noticia original aquí)

El nuevo avión de pasajeros Boeing 787 "Dreamliner" podría tener un serio problema de seguridad en su sistema de vuelo que podría permitir a los pasajeros tener acceso a los sistemas de control de vuelo, de acuerdo a la Administración Federal de Aviación de Estados Unidos. Cabe destacar que el Boeing 787 está diseñado para proveer acceso a Internet en vuelo a sus pasajeros, a través de una red que está además conectada a los sistemas de control de vuelo, navegación y comunicaciones del jet. Todo esto ha generado gran preocupación en los círculos de seguridad debido al hecho de que todas estas redes comparten la misma conexión física. Esto podría hacer que los sistemas de control de la aeronave queden expuestos a ataques de hackers, por lo que sugieren con urgencia cambiar el diseño físico de ambas redes; Boeing ya está trabajando en una solución al problema en el corto plazo.

De acuerdo al documento que la Fuerza Aérea publicó en su Registro Federal, la vulnerabilidad existe debido a que los sistemas computacionales del nuevo avión conectan la red de pasajeros con la red de navegación segura, de control y comunicaciones de la misma. Incluso, conecta todo esto con la red de soporte administrativo y de negocios de la aerolínea dueña del avión, que entre otras cosas, comunica labores de mantenimiento a la tripulación. El diseño permite nuevos tipos de conectividad hacia redes que anteriormente estaban aisladas y conectadas a sistemas que realizan funciones requeridas para la operación segura de la aeronave. Debido a esta nueva alternativa de conectividad de los pasajeros, el nuevo esquema de redes propuesto para el 787 podría desencadenar corrupción intencional o accidental de la información, o peor aún, de los sistemas críticos en cuanto a la seguridad y mantenimiento del avión.

Boeing por su parte está empleando un conjunto de soluciones que involucra una separación física de las redes -  conocida como "Air Gaps" - y Firewalls de Software. Además, trabajan en otras soluciones técnicas propietarias, que no pueden ser discutidas en público, según expresó Lori Gunter, vocero de Boeing. Muchas de las pruebas críticas a las soluciones que planea Boeing serán recién probadas en Marzo de 2008, cuando la compañía haga las primeras pruebas en vuelo de su nuevo jet. Por otro lado, analistas de seguridad como Mark Loveless indican que al no saber en concreto que está haciendo Boeing al respecto, es imposible saber que tan eficiente será la solución. De hecho el dijo "Los Firewalls de Software ofrecen protección, pero no son a prueba de balas". Todos estos antecedentes sin duda abren una interrogante que trae a colación una de las paradojas más recurrentes de la seguridad informática. Y es aquella que dice que "A un mismo costo, mayor funcionalidad implica menor seguridad".

Sin duda - y sobre todo para todos los que trabajan con tecnología - una de las grandes limitantes de los vuelos es el quedar desconectado de Internet. En casos extremos, profesionales y empresarios que viajan con frecuencia pasan mucho tiempo en el aire, y por consiguiente, sin acceso a correo electrónico u otras herramientas que podrían ser vitales en sus empleos o negocios. Esto ha hecho que desde hace años el tener acceso a Internet en vuelo sea un anhelo para muchas personas. Desde el año 2000 - o antes incluso - que se vienen escuchando tentativas al respecto de brindar esta herramienta vital a muchos de los pasajeros; sin embargo esto tiene un riesgo que no deja de ser importante.

Un viejo y gracioso dicho dice que "El único computador seguro es aquel que está desconectado de la red, y en la medida de lo posible, apagado". Y pese a tener una buena cuota de humor, para los más alarmistas no deja de ser una realidad. Si bien podemos llegar a tener sistemas bastante robustos con un gran conjunto de herramientas, procedimientos y normativas de seguridad, difícilmente se podrá llegar a la perfección al respecto. Y por lo mismo, cada vez que se añade una funcionalidad que permita conectividad a alguna tecnología, se abre a la vez una mina de oro para los atacantes.

Siendo absolutamente pesimistas, el permitir a los pasajeros tener acceso a Internet en vuelo abre lógicamente la posibilidad de realizar acciones maliciosas dentro del avión. Y en el peor de los casos, abrir una nueva rama del ciberterrorismo. Echando a volar un poco la imaginación, ya no sería necesario el portar armas o bombas o lo que sea para poder secuestrar una aeronave. Los terroristas podrían pasar sana y perfectamente todos los controles de los aeropuertos, y una vez en el aire - y sin moverse de su escritorio - tomar control de la aeronave y secuestrarla.

Por consiguiente, el implementar un sistema de acceso a Internet en vuelo supone un enorme desafío en cuanto a seguridad informática. Un desafío que podría ir más allá incluso de la dificultad que podría tener implementar el sistema en sí. Será necesario implementar un sistema muy robusto de defensa en profundidad, con barreras físicas y lógicas en capas para proteger el sistema. Sin duda, una nueva e interesante carrera entre defensores y atacantes está por comenzar.

Bonita experiencia!

El día Miércoles 5 tuve al fin la charla a la comunidad de Sordomudos de Chile. Sin duda una experiencia totalmente distinta a todas las que he vivido como orador de Technet. Fue realmente emocionante. Distinto. Tuve que trabajar sin muchas de mis armas favoritas a la hora de dictar charlas; soy un tipo que le encanta manejar a la audiencia con recursos sonoros, con tonos de voz, acentos, cambios bruscos en la manera de hablar... herramientas que esta vez no poseía.

Diciembre, 5

Un bonito desafío

El día Miércoles 5 de Diciembre tendré una charla que de seguro será distinta que todas las otras que me ha tocado dictar. Se trata de una charla para la comunidad sordomuda IT. Y será sin duda un bonito desafío, puesto que un montón de recursos a los que suelo apelar no estarán esta vez a mi disposición. Sin embargo, no deja de atraerme la idea! Es de esperar que todo salga bien ese día.

Microsoft Security MVP 2008

Si señores! Microsoft ratificó mi trabajo del año 2007 otorgándome por segundo año consecutivo la nominación MVP en Seguridad para este período 2007-2008. Las metas para este nuevo año son más que altas, ya que en mi primer año de MVP hice la no despreciable suma de 24 eventos presenciales, participando en dos lanzamientos importantes de Microsoft!

Esperemos que este nuevo período sea tan productivo como el que acaba de terminar. Saludos!

Cuidado con el exceso de confianza

Sentirse seguro: Lo más inseguro que existe

Durante mucho tiempo, una buena parte de los usuarios básicos e intermedios de los sistemas computacionales han establecido largos debates sobre que Sistema Operativo o que producto es más seguro que el otro, como si los mismos no requirieron ningún tipo de configuración o acción de los mismos para lograr un grado de seguridad. Decir que el Sistema Operativo X es seguro por ser el Sistema Operativo X forma parte de uno de los pecados más comunes y más graves concebidos en la seguridad de la información: El sentirse seguro.

La falsa seguridad suele ser un excelente amigo de los atacantes. Cuando el usuario se siente seguro, generalmente "baja la guardia", quedando totalmente expuesto a los embates que los atacantes han estado esperando pacientemente. El creer que al instalar un producto X el problema de la seguridad fue erradicado para siempre es precisamente la frase que muchos atacantes esperan oír de los distintos administradores de sistemas o usuarios de equipos que podrían contener algo de valor. Y dónde dejamos la configuración adecuada de los mismos productos?

Un buen ejemplo de falsa seguridad es lo que pasa con los antivirus. Muchas personas suele decir: "No me preocupa la seguridad; tengo instalado un antivirus". Y cabe preguntarles: "¿Y lo configuraste de manera adecuada?". Ante lo que suele responder... "Ah...¿hay que configurarlo también?... yo creí que eso era automático". Y precisamente, muchos de estos productos no suelen implementar fortalezas hasta que el usuario lo configura de manera automática. De esta manera, una instalación por defecto podría asemejar a protegernos de un temporal a campo traviesa con una carpa ¡sin armar!

La pregunta que cabe de cajón aquí es "¿Por qué no hacen los productos invulnerables por defecto entonces?". Y ciertamente es una pregunta difícil de responder y muy interesante. Y la clave de esto está en la versatilidad de los productos. Es importante recordar que a un mismo costo, funcionalidad y seguridad son inversamente proporcionales. Y es más; la seguridad en una organización en incluso a nivel hogar es como una huella digital: Única. Y los productos deben fabricarse para cubrir la mayor cantidad de necesidades, lo que muchas veces sacrifica seguridad en general. Quizá existirán aplicaciones vitales en nuestra organización que sean inútiles en la organización del frente. Y he ahí la importancia de la intervención del usuario a la hora de hacer hardening en su máquina. El sentirse seguro sin saber exactamente que está pasando en nuestra organización puede ser fatal, y nos puede hacer que nos pegásemos duramente - sobre todo si esta falsa seguridad nos lleva a no tener un plan de contingencia implementado. El llamado es a no sentirse seguros, pero a no caer en la paranoia. En el justo equilibrio de estos puntos, se logrará encontrar el punto justo de cruce entre funcionalidad y seguridad. Y ese es uno de los propósitos principales del hardening de sistemas operativos.