[Guía] Vamos a bastionar…
Hola a todos,
en los últimos meses he tenido esto algo parado, y creo que nunca he puesto algo verdaderamente útil. Uno de mis objetivos con el blog era el de compartir conocimientos, hacer guías que pudieran ayudar a alguien, etc. Claro que para eso hace falta tiempo… y todos andamos más bien escasos 
En las próximas semanas pretendo ir sacando guías de bastionado de sistemas. ¿Qué es esto de bastionar? Bueno, en SecurityByDefault hubo un “debate” acerca de si está palabra es adecuada o no. Podríamos decir que un sinónimo es fortificar un sistema o servicio. Para que nos entendamos, pondremos un ejemplo. Muchas veces las aplicaciones o incluso los sistemas operativos o de electrónica de red vienen con una configuración por defecto bastante insegura (servicios abiertos que no son necesarios, permiten acceso remoto, etc.). Mediante el bastionado se “securiza” (joder, espero que no me lea ningún fanático de la RAE) un sistema/servicio configurándolo con las opciones y parámetros adecuadas. Yo suelo decir que el bastionado es la securización de un sistema sin añadir capas de seguridad adicionales, con las propias opciones que nos dan los sistemas. Muchas veces se añaden aplicaciones de seguridad para solucionar un problema que se puede arreglar configurando el sistema operativo de forma correcta. ¿Como que qué problema hay? Toda comprobación que se realiza consume potencia de cómputo de los equipos, que a la larga puede resultar en problemas de rendimiento. Realmente no tiene sentido hacer la misma comprobación varias veces.
La siguiente pregunta debería ser ¿por qué el bastionado? ¿Qué aporta? ¿Cuándo se debería realizar? En la empresa donde trabajo se tiene una visión según la cuál una arquitectura de seguridad debe construirse siguiendo unos pasos. Por ejemplo, se empezaría realizando un análisis de riesgos, y estableciendo unas políticas y unas métricas de seguridad. Los siguientes pasos serían la implantación de diferentes controles de seguridad y aplicaciones de compliance con el objetivo de llegar a conseguir un cuadro de mandos de la seguridad de la información. Pero reflexionemos un poco. ¿Vamos a empezar a implantar soluciones de seguridad sobre una plataforma base insegura? ¿De qué nos sirve tener la mejor seguridad perimetral o la mejor suite de seguridad endpoint si mi sistema operativo es inseguro? Es como empezar a construir la casa por el tejado. Antes de hacer nada, lo que recomendamos (y como nosotros muchos otros profesionales de seguridad, que no hemos inventado nada) es bastionar los servicios y sistemas existentes. De este modo ya se reduce el riesgo y, en base a este riesgo residual, se puede afrontar de forma más realista la securización de la infraestructura, en una segunda fase. Hay que tener en cuenta que ya se haría sobre una plataforma que se considera “segura” hasta donde se puede; lo que falta es reducir los riesgos que no se puede con las opciones que traen los sistemas (como pueden ser los virus, etc.).
Esta es la principal ventaja del bastionado. Existen muuuuchos libros y guías que hablan del tema. Intentaré reunir una lista con las fuentes de información más fiables y explicar el procedimiento de bastionado de algunos sistemas y servicios. Todos los post dentro de este ciclo irán con el tag “guias_bastionado”. Al finalizar, en un post dentro de unos meses (por que la paso que voy…), comentaré como se puede automatizar la comprobación del cumplimiento de bastionado y, a fin de cuentas, de cualquier tipo de política de seguridad. Adelanto ya que yo uso Babel Enterprise.
Saludos, y nos vemos en los bastiones 
Related posts
Leido 253 veces
(No Ratings Yet)