Planificar y ejecutar una auditoría de redes SAN (Storage Area Network): aspectos fundamentales

Hola,

Justo hace un ratito he soltado un par de tuits sobre redes de almacenamiento empresariales, concretamente, sobre tejidos SAN. Me vais a permitir que emplee la palabra inglesa fabric, porque traducirla a tejido me resulta algo extraño, y además os será más fácil encontrar referencias empleando el anglicismo.

No voy a entrar mucho en la teoría, es larga y compleja, pero sí que merece la pena al menos definir un par de conceptos:

  • SAN: Storage Area Network. Es la manera más normal de referirnos a una red de área de almacenamiento, y se compone principalmente de cabinas de disco, switches para la transferencia de información y otros elementos auxiliares, como por ejemplo, las consolas centralizadas de gestión o el cableado.
  • Fibre channel: Es la topología usual en redes SAN, y generalmente está asociada a clústers informáticos de alta capacidad y con elevados requisitos de rendimiento. Es frecuente el empleo de Fibre Channel Protocol (FCP) para el transporte de comandos SCSI sobre redes de fibre channel como protocolo de operación.
  • Fabric, o tejido, el conjunto de elementos que conforman la red SAN y la manera en la que están interconectado.

Auditar una SAN

Auditar una SAN al milímetro puede ser una tarea compleja y muchas veces, injustificada. No sólo por el número de elementos y porque no deja de ser un segmento tecnológico poco conocido, sino porque además el enfoque suele estar más orientado a la configuración de seguridad que al pentesting, ya que estos elementos no suelen estar expuestos al tráfico de redes públicas (por no hablar de la escasa disponibilidad de herramientas). Aún así, habida cuenta de la existencia de pilas IP, el pentesting es factible, aunque poco útil en la mayoría de los casos si es lo único que realizamos.

Estos factores hacen muy necesario que antes de tirarnos al charco dediquemos un mínimo de tiempo a realizar una evaluación de riesgos: limitar el alcance en función a un risk assessment es siempre saludable, ya que evita incurrir en trabajos improductivos y hace que el coste de la auditoría sea efectivo. En un campo técnico complejo, donde el conocimiento no es precisamente abundante, hay que reservar tiempo para investigar y documentarse, y no malgastarlo en tareas que no ayudan a valorar el riesgo. Para rematar la faena, los fabricantes de componentes de SAN fabric han ido cada uno por su lado a la hora de desarrollar su tecnología, y en muchos casos la manera de implementar seguridad es radicalmente opuesta: este es un trabajo para realizarlo bien acompañado de white papers, referencias y guías de administración. ¿Crees que para cada montaje hay un checklist disponible? Olvídate de ello.

Y una vez planificado ¿por dónde abrimos el melón? Es ahora cuando me veo obligado a defraudar a los que esperan encontrar aquí un programa de trabajo de la A a la Z. Como he explicado, la variabilidad es tal que es imposible unificarlo todo en un artículo. Creo que puede ser más interesante dejar alguna pista, y que tú, el lector-auditor, las uses para enfocar tu trabajo. Tampoco entraré en otros detalles más de índole administrativa, como políticas, procedimientos y similares, que son extremadamente importantes, pero que no trataré en este artículo.

En esencia yo destacaría los siguientes elementos como imprescindibles a la hora de auditar una red SAN:

  • Topología. Sí, deberías haberla estudiado en la evaluación de riesgos, pero vuelvela a mirar. Aunque lo usual es que sean del tipo switched, las hay también punto a punto y de bucles arbitrados. No es usual encontrar topologías chapuceras en este campo, ya que la mayoría de clientes de este tipo de soluciones se apoya en pesonal extremendamente cualificado para desplegar redes SAN. Merece la pena, no obstante, identificar la correcta estrategia de zonas, todos los puntos de administración, las interconexiones y los posibles enlaces a redes externas, si los hubiera. Apúntate bien las IPs, te harán falta después. Especialmente relevante identificar en todos los casos los puntos de salida de la SAN, como por ejemplo, servidores NFS y servicios donde se puedan estar volcando datos procedentes de la red. Por supuesto, los sistemas destino, como sistemas que son, deben ser considerados a la hora de valorar la necesidad de auditarlos (sistemas operativos, permisos, aplicaciones de gestión, etc.)
  • Cabinas de disco. Existen al menos 3 puntos clave a la hora de auditarlas: los interfaces Web de administración (cada día más frecuentes), las líneas de mandato que pueda ofrecer el sistema operativo de gestión y los módulos de gestión del fabricante, generalmente módems que conectan con el proveedor para informar preventivamente del estado de la cabina en términos de mantenimiento. Para los interfaces Web podemos echar mil horas viendo a ver si hay XSS o no, pero esto no aporta gran cosa al riesgo. Una cabina de discos es una matriz de discos, luego los riesgos SIEMPRE están relacionados con la confidencialidad, disponibilidad e integridad de los datos que contienen, luego yo me centraría en analizar el control de acceso (usuarios por defecto que no se han eliminado, también necesario para la línea de mandatos) y en la propia configuración de seguridad declarada en el sistema. Es aquí donde toca tirar de manuales, y revisar lo que consideremos fundamental según el caso. Para los módulos de servicio del fabricante, generalmente están segregados de los datos físicamente, y en algunos casos es directamente imposible el acceso a los datos, pero merece la pena dedicarle un ratito a entender cómo se comunica la cabina con el fabricante, y cómo se orquesta la segregación entre datos y módulos de servicio.
  • Switches. Son necesarios para que la red pueda transportar información, y el enfoque es similar al de las cabinas de disco: análisis del control de acceso, y revisión de la configuración de seguridad. Cada fabricante tiene su propia manera de hacerlo, y no sería capaz de enumerarlas todas. Los switches Brocade son usuales en despliegues relevantes, aunque te los puedes encontrar QLogic, Cisco, HP … Este es un punto interesante para la parte sociológica de la auditoría, ya que no todos los fabricantes tienen los manuales de administración disponibles en línea, y cuando están, generalmente requieren acceso con credenciales de cliente, con lo que es un buen momento para llevarse bien con el auditado, y pedirle su cooperación. Lo usual en este tipo de elementos es que haya problemas con el control de acceso, bien sea por la presencia de usuarios por defecto, contraseñas débiles, servicios innecesarios a la escucha, etc, así como la propia configuración técnica del dispositivo.
  • Logic Unit Number (LUN) Masking. El enmascaramiento LUN es un punto que cito aparte por su especial importancia. Su misión fundamental es impedir la degradación o la corrupción entre discos en la SAN, pero obviamente, puede servir para hacer la instalación más segura, habida cuenta de la posibilidad de adulterar los patrones de identificación en los adaptadores, como por ejemplo, las IPs, las MAC, etc. Conviene dedicar tiempo a entender cómo está implementado el enmascaramieto LUN y observarlo no sólo desde el punto de vista de la seguridad, sino de la propia estabilidad del montaje.
  • Enterprise Fabric Management Tools. Cada vez más frecuentes, son interfaces de control que aglutinan a todos los elementos. El razonamiento es el mismo que el anterior: si están basados en Web, control de acceso y ojo a la declaración de roles, ya que no es nada anormal encontrarse interfaces de este tipo donde todo el mundo es administrador, y cosas similares. Si admiten configuración por línea de comando, revisar puntos de acceso, control de acceso y ficheros de configuración.

Si alguien quiere un ejemplo real, SANS publicó un programa de trabajo bastante detallado para redes SAN basadas en componentes EMC. Este trabajo está específicamente orientado a cabinas Symmetrix 8730 y switches fibre channel Connectrix DS-32M, pero puede servir para ayudaros a organizar vuestros propios programas de trabajo. Las ideas que he escrito en el artículo no contienen, ni mucho menos, la totalidad de elementos que podemos someter a auditoría, con lo que si alguien quiere dejar su granito de arena es bienvenido :)

Un saludo,

La deslocalización de las funciones de Seguridad de la Información y Auditoría

Hola,

Ya que hemos tocado el tema laboral en el último post, quería hablar un poco sobre deslocalización en lo que a auditoría y seguridad de la información se refiere.

Para no mezclar conceptos, hablaremos solo de deslocalización y no de outsourcing. La diferencia entre ambos conceptos puede requerir una pequeña explicación para dejar claro el ámbito de cada proceso: en el outsourcing tradicional lo que hacemos es trasladar una función en cuestión fuera de la organización, que normalmente será ejecutada por una tercera parte bajo nuestro gobierno. En la deslocalización la función no tiene por qué trasladarse fuera de la organización, aunque sí conlleva un cambio geográfico: hablamos principalmente de personal de la empresa que por los motivos que correspondan, deja de prestar servicios en localizaciones determinadas (el centro de trabajo primario, normalmente) para pasar a hacerlo en otras ubicaciones geográficas que pueden ser de interés para el empleador. Hay modelos de deslocalización mucho mas agresivos, en los que la totalidad de los centros de trabajo son trasladados geográficamente, incluyendo cambios en la mano de obra, pero de estos casos no hablaremos hoy. Tampoco conviene confundir y mezclar la deslocalización con el teletrabajo, aunque ambos conceptos son compatibles y generalmente van de la mano, aunque por definición no representan lo mismo.

Este es un tema extremadamente interesante -a la vez que controvertido- por motivos obvios, principalmente porque estos procesos pueden ser asumidos muy negativamente por la fuerza de trabajo (cuando se obliga a alguien a trasladarse forzosamente a un centro de trabajo que no le conviene) o todo lo contrario: quizás sean lo que los trabajadores estaban esperando desde hace tiempo (si la ubicación del nuevo centro de trabajo les conviene, claro). Para mí existe una tercera postura, más propia de las funciones tecnológicas, en la que la deslocalización es simplemente dejar de hacer en el centro de trabajo lo que el trabajador puede hacer en cualquier localización del mundo, a escoger por él, y en consenso con el empleador, sin que se produzca una externalización de la función y sin limitarse las partes al teletrabajo.

Imaginaos un empleado que trabaja en Barcelona, en una sede centralizada. Este empleado lleva años en la compañía, y ha hecho su vida en la ciudad: hipoteca, colegio para los hijos, incluso algunos de sus familiares se han trasladado con a vivir en sus cercanías, algo de lo más normal en esta vida. Por motivos diversos, la empresa para la que trabaja decide trasladar sus operaciones a Valencia, y por tanto, se le ofrece la posibilidad de trasladar su puesto allí. ¿Agradecería este empleado poder realizar la mayoría de sus asignaciones en Barcelona, yendo a Valencia lo justo y necesario? Seguramente sí. ¿Supondría un grave problema la inflexibilidad del empleador a a hora de ofrecer esta posibilidad? Probablemente, también.

Escenarios para considerar a modo de ejemplo, infinitos, y cada vez son más frecuentes. Estas cosas pasan todos los días, e invitan a que cada empleador haga una investigación profunda sobre las posibilidades de deslocalizar sin quebrantar, o quebrantando lo mínimo posible, los aspectos privados de sus empleados. Generalmente no es así, y cuando se produce un movimiento de deslocalización, lo único que se suele ofrecer es trasladar el puesto de trabajo, y con suerte. Razones para esto se me ocurren muchas:

  • Cuestiones legales. No siempre se puede fomentar esta práctica por algún impedimento legal. Esto es especialmente relevante en los movimientos internacionales, y casi siempre la problemática reside en aspectos como los permisos de trabajo y los aspectos fiscales. Muchas empresas tienen localizaciones específicas por incentivos fiscales, y necesitan ante determinadas instancias demostrar que existe una presencia física de un cierto numero de empleados para mantener esos beneficios.
  • Cuestiones culturales, hay empresas que simplemente, por cultura, no conciben que alguien pueda trabajar en un sitio lejos de la oficina. Generalmente esto esta asociado a estilos gerenciales que no han evolucionado, a gerentes que son incapaces de gestionar a sus equipos si no los tienen al alcance de su visual (ya sabéis, algunos solo se centran en ver quien entra y sale, el número de veces que salen a fumar y las veces que toman café durante la jornada)
  • Aspectos relacionados con la fuerza del trabajo. Señoras y señores, seamos honestos con nosotros mismos, a veces los que impiden estos métodos no son los empleadores, sino los propios empleados, que no han sabido demostrar que son capaces de gestionar su tiempo sin la supervisión permanente de alguien. Esto es una realidad palpable, con lo que antes de apuntar solo a los empleadores, reflexionemos primero si somos capaces de trabajar sin pisar la oficina y sin un jefe tras la nuca.

A poco que toméis cualquier libro al respecto, es fácil encontrar razonamientos diversos para posicionarse a favor o en contra de los procesos de deslocalización. Curiosamente, casi todos estos pros vs cons se escriben desde la óptica de la deslocalización más agresiva, la que combina cambios geográficos con cambios en la plantilla, siendo las razones estandarte la reducción del coste laboral y de las operaciones por incentivación, que para más inri, benefician la país destino y le hacen un flaco favor al país origen, lo cual añade más leña al fuego sobre si estos procesos son adecuados o no. Sin embargo, de las deslocalizaciones menos agresivas, aquellas que hemos descrito como las que conllevan que el empleado tenga la opción de escoger dónde realizar sus funciones ante un eventual cambio estratégico del empleador, poco o nada se dice. Es probable que los modelos productivos actuales, que tanta revisión necesitan, tengan mucho que ver al respecto.

Centrándonos ahora en el mundo de la seguridad y la auditoría, estas tendencias, aunque no plenamente instauradas, hace mucho tiempo que son posibles en empresas tecnológicas y poco a poco van tomando forma en aquellas que no lo son. Un ejemplo son los trabajos home based, como por ejemplo el que se narra en esta oferta . En este tipo de modelo lo único que se requiere al candidato es la cercanía a un aeropuerto relevante para poder desplazarse cuando sea necesario, quedando al albedrío del candidato la localización. A fin de cuentas, si lo que tiene que hacer es trabajo de campo internacional y luego procesar informes, da igual realizar esta función en Barcelona, Roma o Londres, con lo que el beneficio para el empleado es inmediato: puede escoger estar cerca de su lugar de origen. También hay beneficios para la empresa, ya que por ejemplo, entre otras cosas, no es necesario recurrir a fuertes inversiones de inmovilizado para acomodar a estos trabajadores y todos los costes que ello lleva asociado. Por poner un ejemplo, de costosos edificios emblemáticos podemos pasar a oficinas alquiladas en rotación, y estaremos cultivando un beneficio a largo plazo que es tremendamente importante para el éxito de la companía: la satisfacción de un empleado que se traduce en mejor productividad, mayor calidad y creciente fidelidad.

Soy de la opinión que para cada organización, para cada función y para cada persona es factible encontrar un balance entre tiempo trabajado en la localización central como tiempo trabajado en el emplazamiento deslocalizado. Sólo hay que tener un programa real y efectivo de retención del talento y de conciliación laboral en Recursos Humanos. Es obvio que en algunos casos, con personas altamente competentes en la autogestión y la orientación a objetivos, un 10% de tiempo en la sede central bastará. En algunos, por desgracia, casos pasará todo lo contrario. Lo que seguro que sucederá es que una persona que puede estar localizada geográficamente en otro lugar de su conveniencia, que demuestre estar capacitado para hacerlo y que no reciba la oportunidad de llevarlo a cabo, acabará cansándose de ello.

Tampoco este es un alegato que defienda que cualquier posición es factible de optar a un programa de deslocalización como el que citamos. Quizás haya que distinguir aquí entre las funciones operativas y las no operativas. Es evidente que aquellas funciones operacionales basadas en explotación tecnológica son las claras candidatas a ofrecer modelos flexibles. Si eres un operador de seguridad, y tu trabajo consiste en mirar la consola del SIEM, clasificar las alertas e iniciar el proceso de escalado, tu trabajo podrás hacerlo con un ordenador, una conexión a Internet, un token VPN y un teléfono. Da igual que estés en La Coruña o en Almería.

Sin embargo, si eres un auditor, posiblemente tendrás que pasar cierto tiempo entrevistando al personal, discutiendo recomendaciones, presentando los informes y aprendiendo con el equipo tras la conclusión del trabajo como mejorar las cosas. Este es un problema que las organizaciones modernas han solventado con las teleconferencias y la telepresencia, pero que muchas compañías ni han resuelto ni quieren resolver, principalmente por la desconfianza en la obtención de resultados. Evidentemente, cuando no estés haciendo trabajo de campo, da absolutamente igual que proceses un log de Linux en tu casa o en la oficina, y la comparación de dos ficheros de datos transaccionales traerá iguales resultados si la haces en el sofá en pijama o vestido en la oficina.

Los trabajos técnicos son en general buenos candidatos para ser deslocalizados. ¿Es necesario estar en la oficina para hacer un pesting? ¿O para revisar código fuente? o para lanzar un fuzzer contra una aplicación? ¿Sería suficiente iniciar el proyecto in situ, recabar la información, realizar el trabajo allí donde convenga, y volver para entregar el informe? Posiblemente.

Los trabajos menos técnicos quizás tengan todavía menos recorrido, ya que se basan en actividades interpersonales que en buena parte requieren la presencia física. El diseño e implementación de un SGSI, las auditorias de procesos o la verificación de cumplimiento normativo son algunos ejemplos que en mi opinión gozan de valor añadido si se realizan con presencia en las dependencias, por motivos puramente interpersonales. Aunque es posible recabar información a distancia, la experiencia nos dice que la proximidad acelera los resultados.

A título estrictamente personal he elaborado la siguiente tabla (aquí para ampliar), la cual estoy dispuesto a debatir. En ella hago una estimación de la repartición de tiempo de trabajo presencial y no presencial en algunas disciplinas técnicas y no técnicas frecuentes en seguridad y auditoría, acorde a mi experiencia. El código de colores es fácil de comprender: verde implica fácilmente deslocalizable, rojo implica difícilmente deslocalizable, y el amarillo implica según el caso. Ni que decir tiene que es una aproximación genérica, ya que por ejemplo, se puede hacer un test de intrusión con 0% de presencia física en dependencias, dejando la presencia mínima al líder del proyecto, encargado de abrir y cerrar el proyecto, y de reunirse un par de horas semanalmente para ir discutiendo resultados, mientras el pentester trabaja en casa o en otro emplazamiento. Ídem para el trabajo forense, que a veces solo requiere presencia física para iniciar, recabar evidencias y presentar resultados, y que otras veces requiere mayor presencia para las entrevistas si la investigación tiene menos componente técnica.

relacion disciplinas

La última columna, commodity, es un añadido en el cual hago una valoración sobre la disciplina, en referencia a su abundancia en la oferta sin diferenciadores en los mercados. Flechas arriba implican tendencia a generalización y abundancia no diferenciada, flechas abajo implican que tienden a la especialización muy diferenciada. A mayor número de flechas, más marcada la tendencia.

Como resulta fácil comprobar, creo que hay mucho recorrido para las tareas deslocalizadas en el mundo de la seguridad de la información y la auditoría. ¿Qué opináis vosotros?

Un saludo,