Firma - ¿Seguro de que esto es seguro?

www.windowstimag.com

Registrarse | Identificarse

Número 135 - Septiembre 2008

Números anteriores

Zinio

¿Seguro de que esto es seguro?

Una visión personal de la evolución de Microsoft en el mundo de la seguridad

No hace mucho, trabajábamos en entornos estancos, con programación a medida, equipos tontos y unos 32 KBs de memoria. “¡Ah, esos eran buenos tiempos!” dirán algunos, mientras dan vueltas y vueltas a la cabeza para pensar en cómo enfrentarse a las millones de amenazas que afectan a las infraestructuras actuales.

Mucha razón no les falta ya que, aunque la mejora de los sistemas y las comunicaciones han permitido crear “ecosistemas” de trabajo impensables hace un par de décadas, los parásitos que viven en ellos nos ponen cada día más difícil la tarea de mantenerlos estables, sanos, eficientes, actualizados y, en definitiva, rentables. Por suerte, y aunque más despacio de lo que nos hubiera gustado a algunos, Microsoft nos ha ido apoyando por el camino. Vamos a echar un vistazo al recorrido de estos últimos diez años juntos para entender mejor las tendencias actuales y las últimas novedades.

Junio de 1998, millones de personas en todo el mundo son testigos de la llegada de la evolución de Windows 95: Windows 98. Aunque este sistema operativo era bastante seguro en cuanto a uso privado, ya que no estaba pensado para utilizarse como un servidor y por tanto tenía menor capacidad de acceso remoto, no fue hasta 1999 cuando se lanza Windows 98 Second Edition que nos encontramos con avances claros en la seguridad para las comunicaciones y el entorno de red. Por ejemplo, se integra MSCHAPv2 para las conexiones de acceso telefónico (¡y VPNs!) para autenticarse de manera mutua con cifrado de hasta 128 bits. También aparece el DCOM98, que proporciona una comunicación eficiente y segura entre los objetos COM, o Internet Connection Sharing (ICS), que permitía generar un entorno NAT para permitir el acceso a internet a múltiples PCs, protegiendo sus IPs internas y poniendo sólo un punto de exposición hacia el exterior. Lamentablemente, esta época la recordaremos por la frase “¿qué dices que es un firewall?” y las tremendísimas caídas de los equipos causadas por Ping Floods, Pings of Death y OOB Attacks que nos proporcionaban “simpáticos” usuarios de internet cuando menos lo esperábamos (con un modem a 14400 baudios, bastante que conseguíamos jugar al Doom 10 minutos sin cortarse, ¿no?).

Pasan un par de años y se lanza la maravilla de las maravillas. No, no estoy hablando de Windows Me (que está fregando vasos en la cocina), sino de Windows 2000. Este magnífico entorno nos sorprendió (y mucho) a los que estábamos acostumbrados a NT 4 (sin rencores) y Windows 98. Antes de nada, quisiera mencionar Active Directory, que nos acompaña desde entonces y creo que ha sido una de las mejores decisiones jamás tomadas, junto a Kerberos. Por otro lado, las incorporaciones a la seguridad fueron numerosas, como por ejemplo NTFS 5, que proporciona la posibilidad de establecer cuotas de almacenamiento o cifrado EFS por usuario. También se incorporó el almacenamiento dinámico, y con él la posibilidad de hacer RAID 1 y 5 por software (la disponibilidad es una parte importante de la seguridad, no lo olvidéis), o la Consola de Recuperación, que permite reparar instalaciones realizando chequeos de disco, deshabilitando servicios y controladores y otras muchas tareas importantes. No debemos olvidarnos de que aparece por primera vez el poderoso IPSec y el filtrado TCP/IP (¿veo un firewall en forma de larva?), el soporte para Smart Cards, y la capacidad de montar una PKI en la comodidad del hogar.

Aunque en el mundo de los servidores esto dura unos años, hasta el lanzamiento de Windows Server 2003 (ver más adelante), los PCs de escritorio tienen el placer de recibir al Windows XP Professional (el Home lo obviaremos por hoy) en el año 2001.

Windows XP tiene “casi” todo lo que necesita un usuario para salvaguardar su seguridad.

Windows XP tiene “casi” todo lo que necesita un usuario para salvaguardar su seguridad: Un sistema fiable, un firewall de entrada integrado, actualizaciones automáticas por defecto… ¿O no? Nuestra memoria nos engaña, y no recordamos que todas estas ventajas no aparecieron hasta el SP2, en el 2004. Sí nos ofrecía con respecto a recuperación de contingencias la posibilidad de recuperar un estado anterior del equipo, siempre y cuando pudiéramos iniciar en el “Modo Seguro”, eso sí.

Mientras que todo esto pasaba con los PC, los servidores presenciaban la llegada de Windows Server 2003 un día 24 de abril de ese mismo año, con unas mejoras increíbles con respecto a Windows 2000, como por ejemplo IIS 6.0, el ADAM para trabajar con aplicaciones que usen acceso a directorios sin tener que integrarlas en el Active Directory de la empresa y cientos de GPOs nuevas y más configurables. Los distintos Service Packs (1 y 2) y la versión R2 se lanzaron más tarde, y le otorgaron muchas funcionalidades nuevas tan importantes como el hot-patching, para instalar actualizaciones sin tener que reiniciar el sistema (no siempre, ¡qué lástima!), el firewall mejorado, Data Execution Prevention, SSO desde extranets y logging de usuarios avanzado.

Por estas fechas se lanzaba ISA Server 2004, una (impresionante) evolución de ISA Server 2000. Adoro esta aplicación, es una de las más visuales y divertidas de todo el repertorio de Microsoft. Internet Security and Acceleration Server 2004 tiene tres funcionalidades básicas: Firewall de capa de aplicación, servidor VPN (PPTP y L2TP) y Proxy de caché. En sus dos versiones (Standard y Enterprise), es capaz de gestionar todo el tráfico entre redes, integrándose perfectamente con Active Directory, publicando servidores internos de una manera muy elegante (el SSL bridging funciona sensacionalmente bien), pudiendo preautenticar a los usuarios web antes de llegar al servidor, o bloqueando las páginas web que contengan en el BODY palabras prohibidas y mil cosas más que me dejo por el camino. La versión 2006 no es sino una pequeña actualización de la 2004, e incorpora un asistente para VPNs Site-to-Site o, mucho más importante, la capacidad de hacer autenticación a servidores LDAP ajenos como si de un RADIUS se trataran. ¡Ay! Cómo me gusta el ISA… Pronto podremos ver su nueva versión, con cambio de nombre (Microsoft Forefront Threat Management Gateway) y muchas cualidades nuevas (¡ya disponible la Beta!). Y hablando de Forefront, la gama de Microsoft plenamente dedicada a la seguridad, recordemos que no hace tanto se lanzaron Forefront Client Security y Forefront Security for Exchange & SharePoint. Estas aplicaciones sirven para controlar las posibles infecciones de virus en los PCs clientes, en los servidores Exchange 2007 y en SharePoint 2007 y 3.0 con soluciones multi-motor y muchos filtros más. También están preparando la nueva versión, echad un vistazo a la beta, os lo recomiendo.

Y aquí ya nos plantamos casi en la actualidad, con el lanzamiento de Windows Vista. Criticado por muchos y defendido por pocos (yo entre ellos), tenemos ante nosotros a un peso pesado de la seguridad. Con sus millones de líneas de código escritas de forma segura basándose en la Microsoft Trustworthy Computing, podemos decir que se ha pensado en el usuario y su protección incluso desde antes de poner la primera piedra. BitLocker Drive Encrytion nos da la capacidad de cifrar discos de forma completa y transparente al usuario, sirviéndose de un chip de cifrado TPM o un dispositivo USB que almacene las claves de forma segura, el nuevo Firewall es increíble, con una consola de gestión que deja impresionado desde el primer momento, los sistemas de protección de memoria para evitar el Buffer Overflow o la granularidad de las cuentas para evitar que los servicios corran como administradores de la máquina. Quizás lo peor valorado pero que en otros fabricantes no parece importar tanto es el User Account Control, que nos pide comprobar credenciales cada vez que se intenta realizar una acción avanzada en el sistema (¿cuántos usuarios conocéis que han destrozado el sistema por no ponerle un pequeño freno al hacerlo?). No olvidemos Internet Explorer 7, que dispone de un filtro anti-phishing, gestión avanzada de los controles ActiveX y el modo protegido para evitar el acceso a los datos del sistema operativo.

Poco me queda ya para terminar, pero no quisiera hacerlo sin mencionar a Windows Server 2008, el campeón indiscutible. Decenas de nuevas características y una gestión del sistema basado en roles son sólo el principio de lo que está esperando debajo: Más de 2000 GPOs, Read-Only Domain Controllers para evitar el robo de información confidencial en las oficinas remotas, Server Core, que elimina la gestión gráfica del sistema para hacerlo mucho más robusto y ligero, sistema NTFS con auto-recuperación de fallos, soporte para VPNs SSTP, cifrado AES de 256 bits, AuthIP y SMB 2.0, además de los sistemas Terminal Services avanzados para usar aplicaciones distribuidas o gestionar los servidores internos de una forma segura a través de internet.

Espero que os haya gustado este recorrido por la historia de los sistemas Microsoft y su seguridad, y también que os hayáis dado cuenta de la tremendísima evolución que hemos presenciado durante estos años.

David Carrasco es Microsoft Certified Trainer MCSA, MCSE, MCITP y MCTS, e instructor técnico de CICE. Además, mantiene un blog en [www.heroescertificados.com]