Verdades o Mitos?
Me identifico tal cual como un script-kiddie, no hay fundamentos para hacer propias algunas ideas o desarrollos en la seguridad informática pero hoy puedo atreverme a asegurar que en Latinoamérica somos un 99.9% de ellos, sin querer lastimar o herir susceptibilidades, así que no le presentemos mucha atención a ello.
Voy a describir lo que a mi percepción ha sido el desarrollo de los UTM tomando como referencia simplemente la tecnología y no la marca.
Cuando ingrese al mundo de los UTM, el primer equipo con el que me encontré fue un Fortigate 50, con el sistema operativo FortiOS 2.30… Su consola web basada en php la recuerdo muy bien y sus funcionalidades, creo que eran la invención de la rueda en aquellos días, sobre UTM.
Las capacitaciones que en aquel entonces eran dictadas por francisco abarca, con su acento puerto-Riqueño, con un aire de estadounidense (Creo saber que es nacido en ecuador y vive en estados unidos) parecían un lenguaje difícil de entender; (en muchos post se ha detallado lo raro que era hablar de gusanos, malware, spam, etc, etc y no es de ello que quiero tratar) las laminas y presentaciones eran repetidas una y otra vez, ya en la segunda capacitación, creo que entendí como podía conectar un equipo a un modem de banda ancha para salir a internet y lo describo literalmente; ahora, esto no quiere decir que otras personas con mas capacidades y conocimientos tuvieran la misma percepción, tal vez para ellos era más fácil entenderlo y por supuesto te ubicarás en uno de los dos frentes que estamos exponiendo.
Hace casi un año empecé a trabajar, con un desarrollo de UTM (aunque para nada tenía que ver con desarrollo), la idea para mí fue fascinante desde el principio, ahora podía tener acceso a los cerebros detrás de lo que hasta ese momento creía conocer a fondo basado en mi experiencia e instalaciones de equipos en diferentes modelos de redes IP. Yo sabía que un UTM debería tener Antivirus, Antispam, IPS/IDS (aun sin entender la diferencia y no me refiero a la teórica, que linda se ve escrita en los libros, más bien a la práctica que pocos entendíamos y que mencionare más adelante), Web filter, VPN IPSEC y SSL y por supuesto el tan necesitado firewall o filtrado de paquetes para los openbsderos (esto hasta la versión 3.0, pues la 4.0 dara para escribir un nuevo post).
Antes de ubicarme punto a punto en cada una de estas funcionalidades, quiero poner en contexto que por razones del destino y de la vida…..México, migración, mi sueño la UNAM, etc; tuve acceso no solo a los desarrolladores si no que también aporte algunas ideas (no el desarrollo) y ahora tengo también la oportunidad de desarrollar lo que a mi mente venga para mi propio UTM, en fin, basta de carreta.
El primer punto que quiero tratar es el de los logs, en fortinet con el fortianalizer, herramienta que se paga sola, citando las palabras de mi amigo Rodolfo, grabar el Messenger entre otros uffff, que poder, soy Dios!!!!, cuando les comentaba iniciando el post, creo saber, y si alguien menciona lo contrario, cabe dentro de las posibilidades y no lo refuto, este producto no existía, pero su existencia se debe a que en ese tiempo se utilizaban memorias flash de capacidad muy pequeña y los logs que se debían guardar eran demasiados, lo cual conlleva a que todos los logs deben ser enviados fuera, sea de lo que sea, he independientemente de un desarrollo web amigable; esto me paso, el UTM en el que desarrollábamos tenia reportes de navegación en tiempo real, reportes de correos, bloqueado, enviados, etc….hasta que un día al ocupar el espacio asignado para esta labor, llevo a el equipo a hacer una especie de crahs ( entiéndase por crahs a kernel panic) entonces aprendí que estos no solo podían impedir el acceso a la administración web, si no a que el equipo no funcionara correctamente. También aprendimos que ese tipo de memorias flash son mejor para escribir paquetes muy grandes como lo son las fotografías y no cantidades enorme de paquetes pequeños como los logs web por ejemplo (por favor no traten de tumbar un fortigate pequeño de esta manera, pues me harán responsable); ahora bien y solo por si esta lectura es de interés para quien este en el mismo camino y quiera ahorrar algo de tiempo y dinero, la conclusión luego de muchas pruebas es que lo mejor es un disco duro serial ATA, claro está hay que medir presupuestos, sin embargo si los logs van fuera del equipo las flash trabajan bastante bien en lo equipos pequeños. Finalmente la buena visión comercial y la necesidad técnic
a dan como resultado este tipo de equipos o software (fortianalizer) lo que me parece muy acertado.
Para no hacer muy extenso el cuento, concentremos en los logros que hacen diferente a fortinet de otros fabricantes y que deben ser la punta de lanza de la marca.
El web filter, un cabezazo, pero como decía mi padre, empecemos por el principio, para hacer web-filter (repito que es mi concepto, no quiero dar a entender que es una verdad absoluta) es necesario un proxy pero vamos a juntar el filtrado con el antivirus, si un paquete llega al equipo y se re-direcciona al motor de AV, es casi imposible pensar que algún motor de filtrado web lo pudiera gestionar; ahora bien creo entender que el desarrollador podría haber usado una redirección del trafico http hacia el puerto que quisiera, con esto podría usar primero el motor de filtrado y luego usar una categoría con extensiones de archivos, para usar el motor de antivirus, el que tiene oídos oiga,,,,jejeje creo que no es fácil visualizar pero lo importante del caso es como yo lo creo, que fortinet uso dos proxys y con un modelo de sandiwch puede pasar el trafico por el proxy general para y encaminar según la necesidad; aunque lo importante, es que lo brillante está en que la BD del filtrado no se encuentra en el equipo…..ufffff, que gran favor nos han hecho…tal cual lo mencionamos para los log, el problema para los equipos pequeños es el mismo, no hay espacio, pero es realmente ingenioso que el upgrade se realice desde servidores externos, retomemos, si el proxy del filtrado tiene una redirección, esta pues también es completamente factible que sea desde internet, lo cual no representa un gran desarrollo tecnológico, pero si enmarca una gran idea. Finalmente construir una gran BD de páginas clasificadas en categorías y sostenerlas es algo que depende de presupuesto y constancia, no define en ningún momento un gran avance para los UTM pero si cubre una necesidad para las empresas.
El IPS/IDS, solo conozco snort y es con el que trabajamos, si el fabricante no tiene su propio desarrollo, podría pagar perfectamente por ello y el funcionamiento es sencillo, basado en listas o archivos de texto y comparaciones no creo que alguien “de los verdaderamente desarrolladores” pueda ufanarse de una propuesta propia. Pero si deberíamos hablar a calzón quitado de los conceptos y el UTM, si bien muchos fabricantes ya los ofertan, existen muchas verdades y mitos sobre este tema, que es IPS, se dice que es un sistema de prevención de instrusos, coloquialmente podemos decir que es quien me bloquea una trama de paquetes que pueda resultar peligroso para mi red, ahora bien, de que me sirve un sistema que me diga que tengo mil ataques bloqueados donde 980 de ellos firman ser sql inyection, si en la red donde lo tengo instalado no existe una BD, nuevamente, el que tiene oídos que oiga… Como mi UTM me garantiza que efectivamente me evito perder el empleo como administrador de la red del banco mundial (pues son argumentos que he escuchado) entonces el IPS podría también ayudar a bloquear paquetes que pudieran ser necesarios??? , Acaso me vendieron cuentos chinos???, esto dejémoslo para los comentarios y sigamos con el IDS, como su nombre lo indica sistema de “detección de Intrusos” ósea que me marca la intrusión pero no la bloquea, pensaría yo, que si soy administrador de Red, necesito saber qué tipo de amenazas sufre mi red, quien la ejecuta y analizo si es necesario tomar accion
es, tal vez esto aporte más al conocimiento de los administradores???, los convierta en verdaderos master web??? También queda a sus comentarios, pero el mío propio, es que deberíamos poner y enfatizar en el IDS como tal, por que aporta a la seguridad de la red, para quien no me haya entendido me refiero a un sistema de log muy entendible de lo que en mi red sucede y no de lo que solamente bloquea sin saber si es necesario.
Finalicemos con las VPNs y Firewall, quien mas ejemplar que el propio OPENBSD, el sistema operativo más seguro del mundo….como no sabemos cuáles son usadas por algunos fabricantes, razones que entiendo pero que no comparto, por lo mismo de lammer y script-kiddie (pues siempre resulto ser el malo), creo que es de todos los fabricantes, en fin, imaginemos que el UTM tenga dentro un openBSD, por tal razón sus políticas de firewall, NAT, etc, no son más que la configuración de un archivo que se llama pf.conf y que en realidad funciona muy bien, las VPN como tal son estándares y no tenemos nada que inventar, el aporte está en la facilidad para el administrador en la configuración de los túneles y en las restricciones de la red; por ejemplo sin el equipo pertenece a una empresa de abogados en el Distrito Federal, si el 99.9 % de ataques `provienen de ASIA pues es hay en donde están los verdaderos hackers o eso tengo entendido, es bien fácil para un administrador usando las direcciones IP de Asia, bloquear accesos desde o hacia esas redes, este contexto no permite pensar que el Firewall por si solo resuelve muchas de las bondades que como UTM`s ofertamos….Quedo a sus comentarios.
Para finalizar este relato, quiero expresar luego de este año de lo que ya comentamos, mis más sinceras felicitaciones a todo el equipo de fortinet, brillante, ingeniosos y sobre todo comercial, en el buen sentido de la palabra; ellos han llevado una carga muy grande y lograron posicionar su marca, algunas ideas han cambiado y espero que este post nos ayude a cambiar de estrategia a la hora de vender, pues, ya podremos refutar muchas de las teorías que se usan a la hora de vender el producto. Su labor tiene que ser reconocida y espero que el futuro depare nuevas ofertas, nuevos desarrollos y que sobre todo sigamos siendo esa gran familia que un día conocí como el extreme-team.
Saludos a todos,
Yamidt Henao
No hay comentarios:
Publicar un comentario