RareGaZz nº19:(rgz_0B):27/03/2002 << Back To RareGaZz nº 19
: :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: : : : : RGZ_0B Sistemas NT Seguros? Opinion NT Angel Protector : :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: 1. Prologo 2. Introduccion 3. Simplicidad y Comodidad 4. DESinformacion 5. Capacitacion / Conocimiento 6. NT o NT+Aplicaciones? 7. Conclusiones 8. Notas 1. Prologo ~~~~~~~~~~ Atencion, el presente texto bajo ningun punto de vista deberia ser tomado como un texto tecnico acerca de Sistemas NT. El mismo solo intenta expresar la opinion de su autor acerca de conceptos y preconceptos vertidos habitualmente acerca de las caracteristicas de los sistemas windows (Especificamente NT) respecto a su seguridad y confiabilidad. De la misma forma el debate iniciado en el presente texto debera considerarse el prologo de una serie de articulos que comenzaremos a desarrollar en los proximos numeros, tanto conceptuales como practicos estos si de indole netamete tecnicos. Cabe aclarar que todo lo mencionado en este articulo presupone una instalacion al menos con SP4 instalado... bueno que esperaban??? mmm esta claro que un NT sin *al menos* un Service Pack 4... digamos que... no es un sistema operativo... 2. Introduccion ~~~~~~~~~~~~~~~ Aun escucho retumbar en mis oidos las carcajadas de mis colegas al intentar explicar hace aproximadamente tres a~os atras mi punto de vista respecto de la siempre polemica lucha UNIX/LINUX vs Windows NT. Por aquellos dias, al igual que en muchos ambitos en la actualidad, la seguridad en sistemas operativos iba en camino completamente contrario a Windows NT, y todo el que opinara en contra evidentemente era un Lamer. Lo cierto es, para ser sinceros, que todos mirabamos a NT como algo totalmente descalificador a la hora de implementar sistemas seguros. Por aquella epoca, lo que me sobraban (Al igual que hoy..) eran dudas principalmente referidas a la veracidad de los dichos de aquellos que descalificaban sin mas las plataformas Windows NT. Como era de esperar guiado por esa mala costumbre de ir contra la corriente que me persigue desde la infancia, solo *para ver que sucede*, inverti gran parte de mi tiempo en el aprendizaje e investigacion de plataformas Windows NT. Hoy, ya lejos de aquel primer avistaje y con poco mas de trescientas implementaciones Windows NT en mi haber y algun que otro logro escrito en papel, he vuelto al punto inicial para dejar sentado mi punto de vista acerca de la seguridad de dichos sistemas operativos. Como todo punto de vista, el mismo tan solo intenta reflejar mi experiencia en dicho campo, e imagino que desencadenara una serie de opiniones encontradas en aquellos que lean este articulo, lo cual no hace mas que alentarme a seguir con el, pues estoy convencido que esta es la forma de avanzar hacia el futuro, intercambiando opiniones y marcando aquellas coincidencias que puedan generar conciencia o colaborar de una u otra forma con nuestra comunidad informatica. 3. Simplicidad y Comodidad ~~~~~~~~~~~~~~~~~~~~~~~~~~ Si NT tubo un enemigo desde sus comienzos (Aparte del propio Microsoft... obvio), este fue sin lugar a dudas la aparente *simplicidad* de su instalacion y puesta en marcha (sumado al marketing que apuntalaba dichas ventajas?) Puesto que en mi opinion este es uno de los puntos fundamentales por el cual la plataforma Windows ha sido (Y sigue siendo) tildada como insegura por el publico en general, es que he decidido comenzar este articulo, enumerando como este punto colabora al mal comun. Haber, para empezar, digame... conoce a algun usuario basico, por ejemplo uno que haya instalado alguna vez un Office o cualquier otro software, que no sea capaz de presionar el ENTER despues de insertar un cd de instalacion de Windows NT? que? te parece estupido lo que digo? pues es asi de sencillo.. haber .. repasemos: --- Representacion ---------------------------------------------------------- a.Bootear con el CD de Windows NT para que el setup arranque en forma automatica (En la mayoria de los casos) b.Presionar ENTER luego que NT reconozca nuestros discos, SCSI, etc. c.Presionar ENTER luego de que NT presente la configuracion de hardware detectada. d.Configurar las particiones (O aceptar la que se propone por defecto) e.Seleccionar el tipo de File System y luego el directorio de instalacion. f.Esperar a que termine la copia de los archivos al server para luego Bootear. g.Seguir paso a paso las instrucciones del wizard (?) el cual solicitara la obtencion de informacion: -Nombre de la organizacion. -Modo de licenciamiento. -Nombre de computadora. -Tipo de Servidor (PDC/BDC/MEMBER) -Seteo de la cuenta de administrador local. -Generacion de los Emergency Repair Disk. -Componentes adicionales. i.Continuar con la instalacion de Networking. -Seleccion del tipo de conexion (Conectar o no a la red, tanto sea local o remota) -Solicitud de instalar IIS. -Seleccion de la NIC. -Seleccion de protocolos. -Seleccion de servicios de red. -Ajuste de los bindings ente los protocolos y las nic. -Solicitud de union al dominio. j.Instalacion finalizada... mmm... en realidad falta solo configurar la placa de video, las propiedades de Time Zone y Date/Time. h.Instalar algun Service Pack (Al menos el 4!!!!!!!) Bueno.. no fue nada complicado no es cierto? ok.. reconozco que para que al menos el server quede *operativo* se requerira conocer algo de networking para setear lo que tenga que ver con conectividad (Placa de red y Protocolos), pero no crea que hara falta algo mas que esto. Ahora bien.. acto seguido.. agarramos una terminal windows 9x instalamos el cliente para redes Microsoft y... estamos conectados... ja ok ahora ya estamos en condiciones de compartir el disco del server para poder acceder facilmente a todos los recursos!!. Mmmm... seleccionamos el disco del server, boton derecho... compartir.. ponemos el nombre del recurso compartido... listo... a conectarse!! Ups.. ahora le toca el turno a nuestra intranet.. ok.. haber... como dice el manual mmmm... no muy complicado... haber... algun how-to ... a si este... *como instalar su web server en cinco minutos* bien!. Sip... entro aqui... Internet Information Server... haber... sitio por defecto... aleluya... si pongo un html aqui.. ya puedo browsearlo desde la red!!! perfecto... listo... a no ... ahora tendre que ponerlo bonito... ok... trabajaremos con ello... mmm haber... extensiones de front page... si, bueno... ahi quedo... eso si habra que mantenerlo... el trabajo que nos dara embellecer esta Home Page!!. (sic) --- Fin Representacion ------------------------------------------------------ Bien, obviamente los parrafos anteriores son una satira aunque... les puedo asegurar que inspirada plenamente en hechos reales. La sencillez tipica de los entornos Windows no hacia/hace otra cosa que incentivar a mucha gente a animarse a realizar tareas de instalacion, administracion y mantenimiento de redes cuando verdaderamente no estan capacitados para ejercer dicha funcion o realizar este tipo de tareas. Pero.. entonces?? todos las empresas que eligieron Windows NT como sistema operativo padecen las mismas circunstancias? bueno.. por supuesto que no, siempre hay excepciones, aunque por lo que solemos ver a diario, quizas sean mas los administradores de sistemas NT que no poseen el conocimiento adecuado para el perfil solicitado, que los encontrados en otras plataformas. Haber... ejemplos.. para que se entienda el punto de vista, es muy comun que aquellas empresas en las que se encuentra un departamento de sistemas de informacion reducido, alguno de los miembros tome (O le asignen) como *parte de sus tareas*, la administracion de los servidores NT, cuando en contraposicion a esto y debido inicialmente al tipo de empresas a las que estan o estaban orientados los sistemas UNIX ven como inevitable la inclusion dentro del staff de tecnologia, de personal idoneo en la administracion de estos sistemas. Aun le suena raro lo comentado en los parrafos anteriores? 4. DESinformacion ~~~~~~~~~~~~~~~~~ Como no podia ser de otra forma, otro flagelo que apuntala la creencia acerca de lo inseguro de los sistemas NT, se basa ni mas ni menos en la DESinformacion que posee gran parte de la comunidad informatica en general y la de NT en particular. Si ya se... seguro estara diciendo... pero como puede ser? si yo estoy informado... que dice este tipo... bueno... a las pruebas me remito... citemos solo un caso... todos recordaran los famosos Nimda, Code Red, Code Blue, Unicode/Decode, etc... usted me creeria que aun hoy... despues de pasada la tormenta aun se sigan encontrando sistemas vulnerables respecto a estos temas? bueno... lo invito a comprobarlo personalmente... vera que me dara la razon (Es mas... seguramente tambien se divertiran un poco...) Dicho esto... me pregunto... solo es culpa de Microsoft y de NT??? bueno lamento desilusionarlo... pues la respuesta es NO. Errores se encuentran y encontraran en TODAS las plataformas (UNIX/LINUX/WIN/AS) y la verdad es que las empresas suelen lanzar los correspondientes parches o arreglos o workaround con bastante rapidez (Aunque para nosostros nuca sea demasiado rapido) Lo que sucede, y esto esta totalmente comprobado, es que el delay que se produce entre el lanzamiento de un parche y la implementacion del mismo, en la mayoria de los casos es superior al tiempo sucedido desde la misma publicacion del bug a la emision del correspondiente arreglo por parte del proveedor del software. Lo cierto es que continuando con lo expresado en el parrafo anterior, creo que debemos considerar al administrador como parte totalmente responsable al momento de evaluar la seguridad de un sistema en si. 5. Capacitacion / Conocimiento ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Bueno... veo que estamos llegando al fin de este articulo... o al menos a una de las bases de todos los cuestionamientos. Seguramente, ninguna empresa aeronautica, dejaria a un piloto con pocas horas de vuelo volar un avion de linea, o si? y entonces por que se contratan administradores sin experiencia? Tampoco creo que empresas dedicadas al consumo masivo no capaciten a sus empleados en tecnicas de venta... pero... se asigna presupuesto en capacitacion a los empleados de un departamento de IT? en que medida? Convengamos en que no se necesita poseer certificaciones Microsoft (MCSE, MCSE+I, MCP, MCP+i, MCA, etc) a la hora de administrar sistemas windows, de la misma forma que no se necesita estar certificado en CISCO para configurar la linea *8xx Series* o *Catalyst 2xxx* pero seguramente ira todo mejor estando capacitado en las tecnologias a implementar, que siendo un entusiasta o un improvisado al momento de tomar este tipo de responsabilidades. Este es otro punto que se relaciona inevitablemente con lo expuesto a lo largo de este texto. Es que...mmm haber... muchas empresas y profesionales independientes consideran que al ser Windows un sistema operativo de interfaz grafica el mismo puede ser administrado con un minimo de conocimientos, y esto no pasa en entornos UNIX... sus profesionales estan cultivados en otro ambito, por lo general es gente con una filosofia diferente, producto de la evolucion misma de los sistemas UNIX/LINUX en los ultimos tiempos... solamente el hecho de haber tenido que editar cientos de archivos de configuracion o armar montones de ascii conteniendo ipchains, hace que uno deba conocer mas a fondo lo que esta haciendo. Creer que un profesional que administra plataformas windows, no debe preocuparse por conocer el *funcionamiento interno* del mismo, es una tremenda estupidez!! que lamentablemente sucede mas a menudo en la comunidad Windows que en el resto. Solo porque hay lindos desplegables que nos lleven a bonitas pantallas y que hagan muchas cosas por nosotros en forma automatica, no es excusa para no conocer la estructura interna de la registry, las herramientas del resource kit, los conceptos de dominio o AD, la funcionalidad de ISAPI, las reglas manuales a aplicar en un Proxy, las vulnerabilidades respecto de los sistemas de contrase~as heredados (Lan Manager), netbios y sus contras, la implementacion de politicas y perfiles, la implementacion de parches, el cierre de puertos,uff... no se, tantas cosas... En definitiva, es mas que obvio que los conocimientos plenos de las herramientas nos dan a nosotros mismos la seguridad que solo brinda el saber, y dicho conocimiento puesto sobre Windows/Unix/Linux o lo que fuera... siempre dara sus frutos 6. NT o NT+Aplicaciones? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Muchas veces oimos que tal o cual sistema NT es vulnerable o tiene determinado fallo de seguridad... ahora... alguna vez se puso a pensar si tecnicamente es un fallo de NT o de alguna de las tantas aplicaciones instaladas sobre el software de base?? Es muy importante que quien implementa sistemas NT conozca en detalle los pasos a seguir para actualizar sus sistemas con las diferentes aplicaciones que comunmente se montan sobre ellos (SQL, EXCHANGE, PROXY, etc) pero realmente los Administradores se preocupan por esto? Lamentablemente Windows como tantas otras plataformas (O quizas mas) tiene cientos de workaround... es decir... muchas veces se requiere instalar componentes en un orden predeterminado (Muchas veces el mismo es inexplicable!). Una instalacion que no se realiza en el orden adecuado termina abriendo muchas veces una serie de brechas de seguridad, las cuales en algunos casos no tienen solucion salvo reinstalando todo (sip todo...) nuevamente pero en el orden adecuado. He aqui otro complemento que muchas veces hace que sistemas NT que en determinados momentos fueron seguros, luego de instalar sobre el alguna nueva aplicacion, se enciendan como arboles de navidad!! (Y ojo... esto en algunos casos llego a suceder incluso con los propios parches enviados por Microsoft!!!... si escucho bien lamentablemente esta empresa pareceria llevar la delantera en lo que a *regresion de vulnerabilidades* se refiere). Lo que intento exponer en este apartado, no es ni mas ni menos que cada aplicacion en particular (MS-Proxy, MS-Exchange, MS-SQL, software antivirus corporativo, sistemas IDS, etc) cuenta con sus propias vulnerabilidades, mas alla del sistema operativo, las cuales deben ser cuidadosamente estudiadas por cualquier administrador de sistemas... pues... bueno... convengamos que no habria nada mejor que un especialista en cada aplicacion... pero en que cantidad de empresas se encuentra esta situacion? es por eso que en la mayoria de las veces el asegurar una plataforma no depende necesariamente del sistema operativo, sino de tomar la palabra *sistema* con la amplitud que esta merece. 7. Conclusiones ~~~~~~~~~~~~~~~ A continuacion y habiendo comentado alguno de los puntos que a mi entender tienen mas incidencia en la comentada inseguridad por parte de lo sistemas Windows, indicare algunos puntos a modo de resumen. - Los sistemas NT pueden ser tan seguros como cualquier otro sistema operativo, depende de las manos en las que caiga. - Un sistema windows NT antes de SP4 (minimamente) es un agujero en si mismo. - Si me pregunta que es lo que me gustaria para windows en el futuro y bueno... so~emos... creo que lo que mas necesitaria Windows seria una comunidad de usuarios como la que tiene Linux (Admirable) y por supuesto ... el open source!! (Que mas?) - NT (Al igual que cualquier sistema operativo) requiere ser administrado por ADMINISTRADORES con conocimientos. - A pesar de que los tiempos de respuesta de Microsoft respecto a los fallos detectados, en muchas ocasiones deja mucho que desear... el verdadero riesgo se da en el tiempo que los administradores tardan hasta llevar a cabo el procesamiento del correspondiente arreglo!! - A pesar de lo sencillo que pueda parecer a simple vista, Windows es un sistema sumamente complejo en su concepcion lo que hace que no alcance con saber lo basico para administrarlo correctamente. - No se puede considerar administrador de NT si no utiliza el Microsoft Resource Kit (Tambien llamado Microsoft Hacking Kit, ya veremos por que en otro articulo). - Ningun sistema NT (o cualquier otro) estara nunca cien por cien seguro... eso lo sabemos... pero menos si el administrador no lo mantiene o se mantiene actualizado (foros, listas de distribucion, etc..) - No existen buenos y malos. Se debe ser lo suficientemente profesional como para discernir el sistema operativo a aplicar segun las circunstancias y la solucion a brindar. Asunto para el cual es necesario ser abierto y poseer conocimiento al menos, de los sistemas operativos mas utilizados, lo cual no suena facil verdad?. - Por muy extra~o que a algunos le parezca, Windows incorpora en su estructura y desde su creacion, una serie de features de seguridad muy ventajosas para quienes saben aprovecharlas. Se sorprenderia al saber lo poderoso que puede ser un sistema NT bien configurado. Permisos NTFS, seguridad orientada a objetos, utilidades de refuerzo de contrase~as (estas ultimas en el resource kit), aislado de procesos en memoria y tantas otras caracteristicas y funcionalidades, estan esperando ser utilizadas de la forma correcta, no desaprovechemos esta oportunidad. - La tarea de asegurar un sistema NT requiere verificar TODAS y cada una de las aplicaciones montadas sobre el. No alcanza con instalar los SP de NT si luego arrojamos encima un IIS mal configurado... 8. Notas ~~~~~~~~ - El presente texto podria estar plagado de evaluaciones de terceros acerca de la funcionalidad, seguridad, caracteristicas y demas comparativas entre los sistemas windows/Unix-linux. Lo cierto es que no es esta, la intencion del presente articulo. Seguramente se podran encontrar unos cuantos links en donde se se~ale como ganador (?) a uno u otro contendiente (?) pero... debe haber en realidad un ganador?? puede haberlo?? Bueno.. igualmente quien guste de comparativas, seguramente podra obtener unas cuantas utilizando su buscador favorito bajo la clave *Linux vs Windows*. - Espero recibir su comentario en mi casilla de correo, o mejor aun quizas nos encontremos en el irc para atender vuestros puntos de vista. Angel Protector <<::RareGaZz::>>