Servidores seguros usando Software Libre Por Manuel Dávila Sguerra [email protected] Publicado en Computer World en Abril de 2007 Los expertos en seguridad informática hacen énfasis en la diferencia entre “la seguridad” y “la sensación de seguridad”. Como ejemplo se sabe que en Bogotá hay menos homicidios que en Washington pero a pesar de esa realidad, la sensación de inseguridad es mayor en Bogotá que en la otra capital. Esa paradoja entre la realidad, las sensaciones de una persona y la divergencia entre la verdad de cada una de ella es parte de la neurosis de la cual hay unas definiciones muy psicoanaĺiticas que con mentalidad de Ingenieros entendemos que tiene que ver con pensamientos que crean una sensación alejada de la realidad. En el mundo empresarial existe una “neurosis” respecto de este tema cuya gravedad pasa desapercibida para muchos directivos porque las cualidades invisibles de los datos no generan una percepción de peligro. Solo cuando leen un artículo como este o escuchan a los expertos de seguridad aparece una preocupación que no existía antes la cual es preferible hacérsela evidente para que no suceda como cuando uno observa que un amigo va caminando hacia un precipicio pero no se le dice nada para no asustarlo.... Las redes de por si son inseguras, pero existen tecnologías abiertas que permiten configurar servidores más seguros que disminuyan la inseguridad y aumentan la sensación de seguridad. Estas tecnología aplicadas a un servidor Linux comienzan por tener un servicio bien configurado de DNS o Domain Name Server que direccione adecuadamente los IP's de la red pues este servicio es el que traduce los nombres de dominio como “empresa.com” en el número IP, único, asignado en Internet al sitio en referencia. Para conectarse a la web se necesita un programa que maneje adecuadamente el protocolo http como lo hace Apache el cual va ya por el 70% del mercado de servidores a nivel global. Pero lo anterior no asegura que los datos se transmitan de manera encriptada es decir “disfrazados” para que no sean entendidos por entes externos ya que la configuración inicial de los servidores de web transmiten los datos de manera de texto, es decir plana, que al ser interceptados por terceros pueden ser leídos. Esto hace que cuando un ejecutivo envíe por la web un correo con el título de confidencial esto no es sino el título porque de confidencial no tiene nada. Para lograr ese encriptamiento existe Open SSL que implementa al protocolo SSL o Secure Socket Layer permitiendo que el servidor se convierta en un Agente certificador a través del cual se puedan solicitar certificados de seguridad los que, de manera “notarial”, ayudan a asegurar que el usuario se está conectando con el sitio que es. Adicionalmente permitirá transmitir los datos encriptados bajo cualquiera de los algoritmos existentes. El acceso remoto que antes se hacía con telnet se hace ahora con SSH o Secure Shel de manera encriptada. Otros niveles son GNU PGP o Pretty Good Privacy para cifrar documentos, asegurando la confidencialidad en el envío de los correos y a niveles de la capa de aplicación, herramientas como el Proxy server Squid para optimizar el acceso al Internet y el Firewall Iptables para el filtrado de paquetes que nos ayudan a definir políticas de acceso tanto por su origen, su destino, su contenido o el uso permitido o no de los servicio de nuestros servidores ofrecen.