Programa COOPERA

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

Hacking RFID, rompiendo la seguridad de Mifare (III)

Con el permiso de Roberto, voy a continuar con la serie sobre seguridad en Mifare Classic que él comenzó hace unos meses (véase I y II).

En las anteriores entradas, se han comentado los ataques contra la comunicación lector-tag, donde era necesario capturar el momento de la autenticación. Además era necesario el uso de hardware relativamente caro, el PROXMARK III (240€).

En este post y el siguiente, vamos a ver como es posible recuperar la información de un tag usando hardware barato y ataques contra el tag. En primer lugar vamos a presentar el hardware:

Se trata del lector de touchatag, un lector basado en el ACR122U de ACS. La gran virtud de este lector es la posibilidad de usar las librerías libres libnfc, que han permitido a la comunidad desarrollar aplicaciones sin necesidad de pagar los costosos SDK’s privados.

La otra gran virtud es el precio, 40€ aproximadamente con portes e impuestos incluidos.

[Read more…]

Nueva vulnerabilidad en Windows puede causar nueva era de ataques a través de USB

En los últimos días se ha hecho pública la existencia de una vulnerabilidad ”crítica” en Windows que abre las puertas a un nuevo modo de ejecutar código cuando se introduce un dispositivo extraíble (bien sea una llave o disco USB, o cualquier otro dispositivo, incluyendo las tarjetas de memoria de móviles y cámaras de fotos) y que ya estaba siendo utilizada por algunos troyanos para expandirse por la red.

Pues bien, ayer se hicieron públicos todos los detalles de esta vulnerabilidad junto con una prueba de concepto, y la situación actual es bastante comprometida para Microsoft, ya que están afectadas todas las versiones actuales de Windows (desde el XP hasta el 7 con cualquier service pack, tanto en versiones de 32 como 64 bits, incluyendo también las versiones 2003 y 2008 para servidores).
Entrando en un poco más de detalle, esta vulnerabilidad permite la ejecución de código por el tratamiento incorrecto que se hace al icono asociado a los accesos directo de windows (archivos con extensión .lnk). Si el icono asociado no es un icono sino otro tipo de archivo (como por ejemplo una dll, que en general pueden contener también iconos, pero en este caso específicamente diseñada), se puede llegar a ejecutar código, evitando todas las restricciones introducidas tanto por Microsoft como por terceras partes para evitar la ejecución automática de código en unidades extraibles.

En este nuevo escenario ya no resulta suficiente deshabilitar la ejecución automática de unidades extraíbles, puesto que nos podemos infectar únicamente navegando hasta la carpeta que contenga el código malicioso, ya que el explorador de ficheros de windows, al intentar cargar el icono asociado al enlace, ejecutará el código malicioso, infectando nuestro equipo. Parece claro entonces que la solución pasa por deshabilitar la carga de iconos para los accesos directos, lo que produciría que todos los accesos directos del escritorio, menú inicio y barras de tareas pasarían a tener el icono por defecto, con la consiguiente pérdida de funcionalidad y comodidad de uso para el usuario final.

Esta modificación ya ha sido publicada ya por Microsoft como solución temporal mientras se realiza el parche de seguridad correspondiente, y se puede seguir en el siguiente enlace (en el apartado de Workarounds). Este es un duro varapalo a Microsoft, que tendrá que forzar la máquina para distribuir el parche correspondiente si no quiere ver mermada de nuevo su imagen debido a las oleadas de nuevos ataques que se prevé aparecerán en los próximos días aprovechando esta vulnerabilidad.

Para finalizar, no está de más repetir una vieja premisa, que hoy debemos volver a recordar y cumplir más que nunca: hay que desconfiar de las unidades extraíbles cuya procedencia no está específicamente comprobada, así como de cualquier equipo sobre el que no tengamos control antes de introducir alguno de nuestros discos USB en él, si no queremos acabar con un virus o un troyano sin darnos cuenta.

Más información: CSIRTCV, Hispasec, Microsoft.

La importancia de la experiencia

Hoy en día cada vez se intenta acudir más a estándares del mercado y a estándares de facto para poder abordar la problemática TIC de la empresa. Para una gran parte de las organizaciones es excesivamente costoso realizar sus propios desarrollos para cubrir las necesidades del negocio, tanto en tiempo como en esfuerzo y dinero, así que por norma se recurren a los principales proveedores del mercado, que en cierta manera aportan una seguridad desde el punto de vista tecnológico. Todos conocemos gigantes de bases de datos, colosos de los sistemas operativos de escritorio, o de la electrónica de red, etc. Al final ponemos nuestra confianza y nuestros negocios en quien creemos que tiene más experiencia en resolver nuestro problema. Porque las dos palabras fundamentales son estas: confianza y experiencia.

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?

Pero hay un eslabón que solemos dejar por el camino, que es el del implantador. Gran parte de las soluciones al final dependen de un partner que es quien parametriza y adapta las soluciones para poder ajustarlas a la problemática local. Evidentemente, cuanto mayor sea la experiencia con clientes similares, mejor será la implementación y habrá mas oportunidades de éxito. Y es aquí donde muchas soluciones flojean, en la experiencia local y en los profesionales que tienen esta experiencia. Porque la normativa legal no es la misma (retención de datos, LOPD, etc.), porque la problemática no es la misma (¿ataque de una potencia extranjera o disponibilidad de servicio?), porque las necesidades no son las mismas, las soluciones deben estar probadas en la problemática local…

Y los implantadores y su experiencia es el punto clave: ¿cuántas implantaciones con éxito ha realizado el equipo? Porque hay soluciones con mucho nombre y mucho arco, con tres profesionales en España, y ningún partner con más de dos implantaciones de éxito; otras empresas hablan de cabinas de almacenamiento y monitorización en el mismo paquete, y luego dicen que no tienen ni 20 implantaciones en este país; incluso hay quien vende soluciones que ya están obsoletas y han dejado de ser mantenidas por el creador de la solución… y así, miles y miles de ejemplos…

A fin de cuentas, ¿dejarías tu contabilidad en manos de cualquiera? ¿Entonces por qué le pides a alguien sin experiencia que implante, monitorice o gestione lo que no conoce? Bajo mi punto de vista lo mejor, como siempre, es ponerse en manos experimentadas y seguras, tengan el nombre que tengan.

El President de la Generalitat inaugura las instalaciones de S2 Grupo

logoS2GrupoMañana jueves, 15 de Julio de 2010, el President de la Generalitat, D. Francisco Camps, inaugurará las nuevas instalaciones en Valencia de S2 Grupo. La Generalitat muestra así su apoyo a una empresa innovadora, especialmente tras el reciente arranque del proyecto de investigación FastFix, dentro del 7º Programa Marco de la Comisión Europea.

Rogamos a nuestros lectores que nos permitan sentirnos honrados y orgullosos y que agradezcamos a nuestros clientes su confianza y a los miembros de nuestro equipo el trabajo y el esfuerzo realizado. Ellos tienen todo el mérito.

Software original… o cualquier otra cosa

Normalmente, cuando alguien adquiere un nuevo software y procede a instalarlo, la primera acción que se suele llevar a cabo es revisar la documentación existente en el CD y una vez revisada, proceder a instalar el software.

Son ‘raras’ las veces en que, oculto en el software a instalar, viene alguna sorpresa no deseada y más raro parece, cuando el CD original, en lugar de contener el software que hemos adquirido, contiene algo totalmente distinto. En nuestro caso, nos hemos llevado una sorpresa al abrir varios CDs de Cisco Systems originales y comprobar que, en lugar de contener el software cliente de VPN que indicaban, contienen un total de 12 tracks de musica mexicana de Diego Rivas ‘El Compa’.

Investigando por Internet, hemos encontrado un post del 2008 donde ya hablaban de esta ‘sorpresa’ y donde indican que los CDs erróneos pueden ser identificados por tener el codigo “MX21511/4”. También hemos podido comprobar que en el propio CD aparece una anotación que indica ‘Recorded in Mexico’ en lugar de ‘Recorded in USA’; lógico, tratándose de música mexicana. Otro ejemplo curioso que comentan en esta página, es un caso anterior donde Linksys imprimió en las cajas de sus productos como número de soporte el numero de una linea erótica en lugar del teléfono de soporte tecnico real.

Esta anécdota debe hacernos reflexionar acerca de la seguridad del software que adquirimos y no solo pensar que, por ser un CD adquirido de forma legal y de una gran empresa como en este caso, estamos a salvo de que contenga un posible troyano, un virus, o vaya usted a saber qué.

Asegur@IT… y OpenBTS

El pasado día 9 tuvieron lugar en Valencia las conferencias Asegur@IT en su octava edición, evento que contó con la participación de empresas como Microsoft, Wintercore, Informatica64, Taddong e Hispasec, además de representantes del blog Security By Default. Y varios representantes de S2 Grupo estuvimos presentes.

En general, las charlas fueron de un gran interés; desde Chema Alonso presentando La Foquetta hasta Sergio de los Santos hablando de malware, pasando por Rubén Santamarta hablándonos sobre Bindiffing Patches y Alejandro Ramos sobre seguridad en archivos PDF, entre otros. Pero la charla que mas llamó mi atención fue la que impartieron David Pérez y José Picó, de Taddong, sobre “Nuevas amenazas en dispositivos móviles”, en la que nos mostraban a través de pruebas reales que los dispositivos móviles, elementos críticos de acceso a información sensible, cada vez más son acechados por nuevas amenazas, y que si no se protegen adecuadamente dentro de poco serán una de las vías de ataque favoritas por los delincuentes.

El experimento en cuestión trataba sobre la creación una falsa estación base de Telefonía móvil mediante el uso de OpenBTS. Pudimos ver mediante varios vídeos cómo suplantar la identidad de una estación base Movistar dentro de un entorno creado expresamente para dicho experimento, el cual consistía en una jaula de Faraday “autoconstruida”. El efecto jaula de Faraday provoca que el campo electromagnético en el interior de un conductor en equilibrio sea nulo, anulando el efecto de los campos externos (se pone de manifiesto por ejemplo al meternos con nuestro teléfono móvil en los ascensores o en edificios con estructura de rejilla de acero). Con una simple tela especial -de tipo mosquitera de alambre- podemos fabricarnos de forma casera una caja y simular una jaula de Faraday. En el caso, claro está, que no se disponga de una cámara anecoica en condiciones, que eso es un pelín mas complicado de conseguir :)

Dentro de la jaula, evitando señales externas provenientes de la legítima estación base, se introdujo la falsa estación de telefonía, que se configuró para emitir en la frecuencia deseada (imaginamos que en la banda de frecuencias de uso, 900/1800 Mhz) y con los parámetros adecuados, de forma que el teléfono móvil “víctima” acabó reconociendo esta falsa estación base como auténtica y se registró contra ella. De ésta forma el control del teléfono lo tiene la estación falsa, permitiendo control de llamadas entrantes y salientes, modificación de mensajes, etc. Podríamos plantearnos que si en nuestro radio de búsqueda de cobertura, nuestro teléfono encuentra antes una estación falsa (porque emita con más potencia, por ejemplo) se podría registrar contra ella y no contra la auténtica. Me quedé bastante impresionada con esta charla y la relativa facilidad a la hora de suplantar una legitima estación base de telefonía por una falsa, dejando bastantes preguntas abiertas sobre este tema, además de plantearnos una línea más de investigación sobre la seguridad en éste ámbito y, en general, sobre las comunicaciones móviles.

Dejando un poco a un lado el tema de la seguridad me empecé a plantear el hecho de la posibilidad de construcción de mi propia red móvil e indagué un poco sobre OpenBTS y los proyectos que había relacionados, encontrando bastante información (un link y otro, a modo de ejemplo).

OpenBTS propone un sistema de comunicación móvil con un coste menor, ideal para zonas rurales, o apartadas (como por ejemplo las plataformas petrolíferas). OpenBTS es una aplicación Unix de código abierto que usa el Universal Software Radio Peripheral (USRP), que presenta una interfaz de aire GSM para teléfonos GSM estándar y que usa el software Asterisk para conectar llamadas entre los conmutadores o PBX. La combinación de la interfaz de aire GSM con una distribución de voz sobre el protocolo VoIP sería la base de un nuevo tipo de red celular que podría implantarse y operarse con un coste mucho menor que las tecnologías existentes. Hasta ahora la construcción de semejante red móvil es tan sólo una promesa, y está abierta a iniciativas y colaboraciones. Sin embargo ya se probó su funcionamiento en el festival Burning Man en Black Rock Deserte de Nevada (USA) y en la isla de Niue, en el Pacifico Sur. Los usuarios de teléfonos móviles dentro de este tipo de red pueden hacer llamadas entre sí y, si la red está conectada a Internet, también a personas en cualquier parte del mundo; para ello se necesitaría un periférico de radio de software universal (pieza de hardware barata y fácil de comprar por Internet que se puede ajustar para proporcionar varios tipos de señales de radio; se usaría para enviar y recibir transmisiones de radio entre la estación base y el teléfono de un usuario móvil), el software Asterisk (ya que OpenBTS corre sobre él), una conexión IP (los usuarios de teléfonos móviles en un red OpenBTS pueden comunicarse entre ellos incluso si el sistema no está conectado a Internet, aunque para comunicarte con alguien fuera de la red se requiere obviamente conexión a Internet), una fuente de alimentación (se han hecho diversos experimentos y los resultados obtenidos han demostrado que la alimentación que se consume es muy baja, por lo que una estación base podría funcionar con energía eólica o solar), un teléfono GSM y una antena de acuerdo al rango que el operador de red quiera alcanzar. Como vemos, material muy asequible económicamente y fácil de conseguir…

Por si a alguno se le pasa por la cabeza probar todo esto… RECORDAD que el espectro radioeléctrico se trata de un bien de dominio público cuya TITULARIDAD, GESTIÓN, PLANIFICACIÓN, ADMINISTRACIÓN Y CONTROL CORRESPONDE AL ESTADO. O sea, que es ilegal emitir en el espectro radioeléctrico a no ser que se realice en un entorno concreto y controlado. En la ETSIT de la UPV disponíamos de una cámara anecoica que quizá, bajo un proyecto interesante y justificado, nos dejarían usar para pruebas, pero es sólo una idea… :)

La importancia de las pruebas de restauración (II)

(Continuamos hoy con la entrada de ayer, sobre la importancia de las pruebas de restauración en dispositivos de red)

Backup del sistema

Según nuestra política de seguridad, lo habitual es que se realicen copias de seguridad periódicas de los sistemas, incluyendo por supuesto, la electrónica de red, de forma que, ante una caída, sea posible restaurar el sistema en el mínimo tiempo posible para garantizar el menor impacto a la organización. El proceso de backup del sistema depende del operativo sobre el cual hemos instalado Firewall-1, no obstante, a través de la variable de entorno FWDIR, es posible acceder al directorio donde el sistema esta instalado, siendo <systemroot>\fw1 en sistemas Windows y /opt/CPfw1-65 (dependiendo de la versión) en sistemas Unix/Linux.

Aunque la política de seguridad corporativa especifique que se deben realizar copias periódicas de los elementos de red, es posible que éstas no se realicen correctamente, por lo que, ante un problema con los equipos, el impacto sería crítico para la organización.

Para nuestro ejemplo de recuperación en caso de desastre, vamos a basarnos en una arquitectura distribuida de Firewall-1. Al tener una instalación distribuida, los Enforcement Modules mantienen la última política de seguridad instalada (actualizada), sin embargo, el SmartCenter Server tiene una política obsoleta y todas nuestras copias de seguridad del propio SmartCenter Server están corruptas.

[Read more…]

La importancia de las pruebas de restauración (I)

Habitualmente, cuando realizamos una auditoría de seguridad es muy poco común encontrarse con empresas que no realizan copias de seguridad de sus sistemas, siendo lo común encontrar empresas que realizan copias periódicas (ya sea mediante procesos manuales o software dedicado). No obstante, muchas empresas se quedan ahí; creen que teniendo copia de seguridad de sus sistemas están protegidos ante un desastre, y no nos equivoquemos, en parte, tienen razón. Sin embargo, nada es seguro al 100%, nuestro sistema no iba a ser menos, y en caso de que lo fuera, tranquilos que aparecería Murphy darnos más dolores de cabeza.

Puesto que en nuestra política de copias no podemos incluir a Murphy, tenemos que pensar que realizando copias periódicas, por ejemplo en cinta, manteniéndolas en varias ubicaciones (alguna de ellas fuera de la oficina), protegidas de su deterioro, controlando la caducidad de los soportes y realizando pruebas de restauración periódicas de varios sistemas, estamos protegidos. Y sí, todo esto es correcto, aunque lo ideal sería además, mantener todos nuestros sistemas replicados y sincronizados en un CPD de respaldo, pero claro, cuanto más azúcar más dulce, o dicho de otra forma, cuanto mejor es la solución, más cara de implementar resulta, por lo tanto, nos conformaremos con la situación anterior.

Este tipo de políticas de backup es habitual encontrarlas en empresas de mediano y gran tamaño, donde disponen de equipos para poder hacer pruebas de restauración o incluso sistemas virtuales donde levantar una imagen de un equipo suele ser algo trivial. No obstante, si llevamos este planteamiento a la electrónica de red, la visión es totalmente distinta. La mayor parte de las empresas no suele hacer copia de las configuraciones de sus equipos de comunicaciones (firewalls, switches, routers,..) salvo en contadas ocasiones, y éstas las hacen de forma periódica (mensualmente, trimestralmente), ya que ven muy complicado disponer de hardware donde restaurar la copia de seguridad y comprobar que todo el proceso es correcto.

Recientemente, he tenido la desgracia de encontrarme de frente con un problema de este tipo: una implantación de un cluster Firewall-1 de Checkpoint, con el propio firewall alta disponibilidad y del cual se realizan copias de seguridad periódicas. No obstante, ante un problema software del sistema de gestión del firewall, se ha detectado que las copias, aunque se realizaban periódicamente, no llevaban asociadas tareas de restauración debido al alto coste que supone duplicar los elementos de la infraestructura.

En este post y en los sucesivos, se va a realizar una pequeña descripción de Check Point Firewall-1, tratando de describir mínimamente las características principales y el proceso de recuperación del sistema de gestión realizado, contando únicamente con la información almacenada en el propio firewall, que como se podrá ver a continuación, difiere del resto de sistemas. Lógicamente, Firewall-1 dispone de herramientas propias de backup y restaurado de sus sistemas, por lo que partiremos de la premisa de que el dispositivo en funcionamiento posee la configuración actualizada, y la estación de gestión una copia obsoleta de la misma, no pudiendo recuperarla de las copias periódicas realizadas.

Introducción a FW-1

Firewall-1 es un Firewall desarrollado por la compañía israelí Check Point Software Technologies Ltd.. Firewall-1 se ejecuta sobre diferentes sistemas operativos, tanto Unix/Linux, como servidores Microsoft Windows, o incluso sobre appliances propietarios, por ejemplo la desarrollada por Nokia, cuyo sistema operativo (IPSO) esta basado en FreeBSD. En sus inicios, el sistema Firewall-1 funcionaba únicamente como sistema cortafuegos y concentrador VPN, no obstante, el sistema ha ido evolucionando con el paso del tiempo, convirtiéndose en un sistema UTM, el cual incluye módulos para el filtrado de contenidos, IPS (smartdefense) o QoS (Floodgate-1).

Arquitectura de FW-1

Firewall-1 posee una arquitectura modular basada en tres componentes:

  • Smart Clients: son un conjunto de aplicaciones para gestionar de forma gráfica la infraestructura global de seguridad. La principal aplicación es SmartDashboard, la cual gestiona las políticas de toda nuestra infraestructura.
  • SmartCenter Server: constituye la estación gestora de la infraestructura. Como tal, contiene todos los objetos definidos en el sistema (redes, hosts, servicios, horarios), la base de datos de usuarios, los registros de log del sistema y las políticas del sistema. Los objetos creados son comunes para todas las políticas de seguridad del sistema.
  • Enforcement Module: constituye el propio firewall que implementa la política de seguridad. Tiene dos componentes principales: Inspection Module y Security Server.

El funcionamiento de la arquitectura es sencillo: a través de la aplicación SmartDashboard, nos conectamos al SmartCenter Server donde definimos y almacenamos los distintos objetos y la política de seguridad. Finalmente, el SmartCenter Server realiza una compilación de la información y la distribuye entre los distintos Enforcement Module de la red.

SmartCenter Server define la política de seguridad en un lenguaje propietario llamado INSPECT y la representa como un ‘inspection script’. Dicho fichero es generado para cada Enforcement Module, donde el módulo de inspección (Inspection module) analiza el tráfico y realiza las acciones acorde a la política de seguridad.

Tipos de arquitecturas

Firewall-1 soporta dos tipos de arquitecturas, llamadas standalone y distributed:

  • Standalone: el SmartCenter Server y el Enforcement Module se ubican en el mismo sistema físico.
  • Distributed: el SmartCenter Server y el Enforcement Module residen en sistemas distintos.

De momento hasta aquí, estos son los conceptos básicos de FW-1. En la siguiente entrada veremos en detalle aspectos propios del backup y la recuperación del dispositivo: Backup del sistema, recuperación de objetos y recuperación de la política. Manténganse a la escucha, y si tienen algún comentario, estaré encantado de responderlos.

DNI electrónico (2 de 2): Seguridad

Cerramos con este post, segundo y último, el primer acercamiento al DNI-e, ahora ya hablando no de generalidades sino de la seguridad que posee y de las posibilidades que ofrece al ciudadano o la administración; para empezar, teniendo en cuenta los objetivos principales del documento (acreditar la identidad de su titular electrónicamente y posibilitar la firma electrónica), la información electrónica que almacena el chip del DNI es la siguiente:

  1. Certificado electrónico de componente, que no contiene ninguna información del titular del DNIe.
  2. Certificado electrónico de identificación / autenticación que permite que el titular del DNIe pueda acreditar su identidad electrónicamente.
  3. Certificado electrónico reconocido para firma electrónica, que permite al titular realizar la firma electrónica de documentos.
  4. Datos del titular que aparecen en la superficie de la tarjeta.
  5. Huella dactilar digitalizada, una fotografía también digitalizada y el IDESP.

[Read more…]