Por Fernando de la Cuadra (Editor Técnico
Internacional de Panda Software)
El sistema operativo
Instalar un servidor que ofrezca un determinado servicio en una red no es algo
tan sencillo como elegir un poco de hardware, otro poco de software, juntarlo y
enchufarlo a la red. Además de eso, hay que preocuparse por mantenerlo, por
analizar los informes de la actividad del servidor... Todas estas tareas son las
que de verdad hacen de un servidor un sistema seguro.
La instalación del sistema operativo que funcione en un servidor corporativo
debe venir avalada por dos factores: la seguridad del mismo y la disponibilidad,
por parte del fabricante, de un soporte fiable y con la capacidad de respuesta
adecuada ante los problemas que puedan surgir. Las instalaciones de software
libre o de dominio público pueden acarrear más problemas que beneficios a la
hora de enfrentarse a un problema de seguridad, ya que no hay una persona o
firma que se responsabilice del producto.
Otro factor de seguridad es la versión del sistema operativo que se va a
instalar. Aunque en muchos casos las versiones más antiguas son las que más
cómodamente manejan los administradores y las que más soluciones han incorporado
a posibles fallos de seguridad, son las más apetecibles para los ataques, ya que
también los atacantes conocen más las vulnerabilidades.
Y una última consideración de seguridad en lo que se refiere a los sistemas
operativos es que el fabricante del sistema vaya a soportar durante un cierto
tiempo ese sistema. Por ejemplo, Windows NT Server 4.0 ya ha entrado en el
proceso de considerarse un producto obsoleto, y en principio en Enero de 2005
dejará de ser soportado por Microsoft. Si se pretende que un equipo esté
prestando un servicio durante más de 2 años, ese sistema ha dejado de ser
apropiado.
El software
Una vez que se disponga del sistema operativo adecuado, en el que se haya
elevado el nivel de actualización al máximo posible, debe empezar a operarse con
el software para la tarea a la que se haya designado el servidor. Nunca se debe
empezar probando con un software que no vaya a ser el definitivo, ya que pueden
quedar instaladas funciones o servicios que no sean estrictamente necesarios
para el propósito final. En muchas ocasiones las vulnerabilidades no son
cubiertas correctamente por la sencilla razón de que no se parchean algunas
aplicaciones que, al haber sido instaladas únicamente como prueba en una
máquina, no están en explotación pero funcionan.
Una vez que el sistema esté en funcionamiento, se deben seguir permanentemente
las informaciones que surjan acerca del sistema instalado -hardware, software y
servicios añadidos- tanto desde el fabricante como de las distintas empresas de
seguridad que ofrecen información de seguridad.
¿Y después?
Esta es la teoría. Desgraciadamente, y como podemos comprobar, está muy lejos de
la práctica. Si los sistemas operativos estuvieran actualizados al nivel que el
fabricante recomienda, las amenazas que circulan por la red estarían a un nivel
mucho más bajo que el que observamos. Y no es cuestión de un determinado
agujero, las vulnerabilidades aprovechadas para los ataques son muchas.
Podemos remontarnos a "Code Red", que en el verano de 2001 aprovechaba una
vulnerabilidad descubierta y corregida con anterioridad. Si los administradores
de sistemas instalados con Microsoft Internet Information Server hubieran tenido
la precaución de tener actualizado el sistema, este código malicioso no hubiera
pasado se ser una mera anécdota.
¿Más ejemplos? Klez.I, que aprovecha una vulnerabilidad de Microsoft Internet
Explorer descubierta en la primavera de 2001 y que en 2003 sigue haciendo que el
virus se propague y alcance las posiciones más altas en cualquier ranking de
virus.
¿Qué hacemos con SQL Slammer?
El sistema para eliminar SQLSlammer es muy sencillo: al estar únicamente en
memoria y no depender de ningún fichero, basta con reiniciar la máquina para que
el código desaparezca de la memoria. Pero en cuanto los servidores que estén sin
actualizar vuelvan a ponerse en marcha, tienen la posibilidad de volver a
infectarse irremediablemente si no se han tomado las precauciones higiénicas
adecuadas.
Para poder estar protegido contra SQLSlammer se necesita imperiosamente la
actualización de Microsoft SQL Server, disponible en http://www.microsoft.com/technet/security/bulletin/MS02-039.asp.
Por otro lado, y si la estructura de la empresa lo permite, bloquee en el
firewall o en el router el puerto 1434, ya que es por donde entra el código.
Pero eso sí, si en su empresa hay varios servidores SQL Server funcionando al
unísono, no lo bloquee a no ser que quiera que el servicio de base de datos
quede anulado.
Podemos pensar que esta semana se pueda ver agravado el problema al entrar en
funcionamiento numerosos servidores que no hayan sido parcheados adecuadamente.
Y además, numerosos equipos (desde usuarios domésticos hasta desarrolladores de
software) pueden tener instalada la versión SQL Server 2000 Desktop Engine (MSDE)
en Windows 98, Windows Millenium, Windows NT y Windows 2000 Professional, por lo
que pueden tener problemas si SQLSlammer llega hasta las estaciones de trabajo.
Pero la prevención necesita muchísimo menos esfuerzo del que ocasionan los
ataques una vez lanzados. Haga que el profesional a cargo de la red tenga a su
disposición las herramientas necesarias para la completa protección de todos los
sistemas de los cuales depende la continuidad de su negocio.
|