Seguridad en Cloud computing Por Dami Soler, 10 de septiembre de 2010 | He decidido poner el trmino Cloud computing en el titulo del

post para tener mas visitas, ya que es un termino de moda, pero si me disculpan la pequea trampa, en su lugar voy a hablar de la seguridad en Infraestructuras compartidas, que es un tema tanto o ms interesante en seguridad. Cuando hablamos de Infraestructuras compartidas nos referimos a la serie de infraestructuras TI que en cualquier organizacin son compartidas por diversos proyectos. Por ejemplo es habitual que se comparta la infraestructura de red, el almacenamiento en una cabina de discos, o los mismos servidores fsicos mediante virtualizacin; si es un proveedor de servicios el que ofrece la infraestructura, estos elementos estarn compartidos adems entre diversos clientes que en si mismo son organizaciones diferentes (vamos, el servicio de hosting de toda la vida). As pues, vamos a comentar diversas vulnerabilidades que con las medidas adecuadas estn contempladas y en teora resueltas, pero que son en todo caso posibles vulnerabilidades que pueden aparecer cuando se comparten infraestructuras. Infraestructura de red compartida: No es difcil imaginar un escenario donde tenemos varios servidores conectados a la misma infraestructura de red, donde, si todo se configura bien no deberan haber problemas, pero si se configura mal, pueden pasar entre otras las siguientes cosas: (1)

Sniffing: Un equipo puede ver el trafico del equipo de al lado; esto puede pasar si estn conectados al mismo switch y no se han tomado las necesarias precauciones (arp posisoning). DOS: Al estar un equipo prximo a otro, puede atacarlo con un gran ancho de banda o un gran numero de conexiones. Interceptar/sustituir: Es posible que un equipo pueda suplantar a otro (p.e. cambiando la IP) para interceptar el trafico o suplantar respuestas. Atacar: Es posible que al compartir una misma infraestructura de red, desde dentro de la misma red (por ejemplo dentro de la misma DMZ) los equipos puedan atacar a los otros, teniendo mas visibilidad de servicios que desde el exterior estn cerrados. Una descripcin de cmo hacer esto pueden encontrarla aqu.

Estn las infraestructuras de red compartidas convenientemente independizadas en los servicios de hosting y de Cloud? Infraestructura de disco compartida: En cualquier infraestructura TI, es habitual que se disponga de una cabina de disco (SAN/NAS) a la que se conectan todos los servidores (desde servidores internos, hasta servidores de la DMZ)(2)

Acceso a datos (no autorizados): Tcnicamente es posible que un servidor se conecte al disco de otro servidor si comparte cabina, con lo que podra leer o incluso

alterar los datos. Las cabinas de disco normalmente limitan qu servidor puede conectar a qu parte de disco, basndose en la direccion MAC (se llama WWN) de la tarjeta. Podra un hacker cambiar esa direccin? Tenemos hard-zoning para evitar este ataque? Aun no he visto ninguna instalacin en que se configure hardzoning ya que es bastante mas incmodo. Si piensa que es muy raro que todos los servidores tengan acceso a los mismos discos, piense en todos sus servidores host de virtualizacion que pueden acceder a todos los discos del cluster. DOS/Carga: Qu pasa si un servidor monopoliza todos los recursos? Acceso a datos borrados: Qu pasa si montamos una unidad de disco en el servidor de un cliente y luego la conectamos a otro servidor de otro cliente? Si leemos el disco vemos los datos del otro cliente? Muchos me diris que es una posibilidad muy extraa ya que las cabinas de discos limpian las LUNs antes de asignarlas, pero esto se le paso a Amazon Ec2.

Estn las infraestructuras de almacenamiento convenientemente independizadas en los servicios de hosting y de Cloud? (3)

Virtualizacin: Cualquier entorno TI de hoy en da dispone de servidores virtualizados, ya que es una de la manera mas efectivas de compartir recursos, garantizar la disponibilidad, ahorrar energa y muchas otras cosas. Numerosos sistemas Cloud (IAAS) estn basados fundamentalmente en sistemas virtualizados, con APIs de autoprovisionamiento. Veamos algunos de los ataques que se pueden realizar en este tipo de entornos. o Ataques de guest a host: Ya han aparecido vulnerabilidades mediante las cuales un guest ha podido ejecutar cdigo en el espacio del host, y por lo tanto desde un servidor virtual es posible atacar a otras maquinas virtuales. Vase este enlace para ms detalles. o Consolas remotas compartidas (el control panel del cloud): Si tenemos un sistema de virtualizacin compartido, al cual accedemos desde una consola de gestin remota a travs de Internet, qu pasa si esta consola de gestin tiene alguna vulnerabilidad y alguien coge el control? Pueden haber muchos posibles problemas, desde vulnerabilidades de la aplicacin de gestin remota (XSS para robo de sesin sera un ataque viable) a posibles prdidas de credenciales. La autenticacin de estos sistemas por ahora es simple y sin dispositivos robustos. Otro vector de ataque pueden ser las APIs de gestin de ofrecidas por los servicios de cloud, ya que mediante estas APIs se pueden crear o destruir servidores; seguro que no hay vulnerabilidades mediante las cuales se puedan crear o destruir servidores de otro cliente? o Carga/DOS/QOS: Qu pasa si un cliente monopoliza todos los recursos? o Vulnerabilidades del host (desde fuera, o desde los guests): El host es otro sistema que puede ser atacado, bien desde donde sea accesible (consola de gestin p.e.) o bien desde los propios guest que debido a alguna vulnerabilidad son capaces de coger control de host. Dicho de otra forma, aunque uno pueda tener su servidor web y sus aplicativos securizados, quiz el host que los alberga no lo est.

Servidores web/servidores de aplicaciones compartidos: Es habitual compartir el mismo servidor de aplicaciones entre diversos proyectos, pero hay que contemplar los problemas que nos podemos encontrar:(4) o Tienen acceso al mismo almacenamiento. o Son el mismo usuario de maquina/BBDD/memoria. o QOS: Puede un usuario degradar el rendimiento de todos los usuarios. Un ejemplo de estos servicios en la nube son: Windows azure o Google Application Engine.

Estn las infraestructuras de virtualizacin convenientemente independizadas en los servicios de hosting y de Cloud? Hosting/Aplicaciones SAAS compartidas: Dentro de lo que est tan de moda del cloud, tambin se incluyen de alguna manera las aplicaciones compartidas modelo cloud (SAAS). En el fondo, ste es el modelo mas antiguo de hosting, en el que las aplicaciones originales eran servidores web, servidores de correo compartidos entre diversos clientes. Hoy en da se ofrecen aplicaciones mas elaboradas que ofrecen ms valor a las organizaciones. Veamos qu problemas nos podemos encontrar en estos modelos. Imagnese que comparte aplicacin entre perfiles o clientes. Es posible que dos usuarios de la misma aplicacin, por algn error de diseo de sta, tengan acceso a lectura o modificacin de otro usuario. Por ejemplo, recordarn que hace poco sucedi que un usuario de facebook poda ver cualquier conversacin del chat de otro. As pues, si usamos de manera compartida una aplicacin SAAS, nos podemos encontrar con posibles problemas si no sta no est bien implementada. Podra pasar que en nuestro CRM en SAAS por un error de programacin pudiramos ver los clientes de otra empresa tambin albergada en este SAAS? Facebook tuvo una vulnerabilidad con la que podas ver los chats de otros usuarios. Estn las aplicaciones convenientemente independizadas en los servicios de hosting y de Cloud? (5) Mira por dnde, sin quererlo, he acabado hablando de Cloud Computing, nada nuevo respecto a lo que ya conocemos en cuanto a infraestructuras compartidas, pero sin duda una novedad en cuanto a que est todo junto, con las ventajas que esto aporta, pero con el aadido que hay que considerarlo todo conjuntamente. Por repasar los tipos de Cloud existentes:

IAAS, Infraestructure as a service: bsicamente podramos decir que tenemos una macroplataforma virtualizada bajo demanda (1)(2)(3). PAAS, Platform as a Service: tenemos una especie de servidor de aplicaciones distribuido y autoescalable (4). SAAS, Software as a Service: tenemos una aplicacin general la cual nos da servicio (5).

En este post hemos revisado algunas vulnerabilidades desde un punto de vista tcnico que aparecen si compartimos infraestructuras. Desde el punto de vista de control sobre los servicios externalizados y concentrados en datacenters de megacorporaciones tambin hay mucho que hablar, y por otro lado los proveedores de sistemas virtuales estn redefiniendo sus productos haciendo que cada vez se parezcan mas a una nube privada en cuanto a que se dispone de unas infraestructuras compartidas autogestionadas. Todas la posibles vulnerabilidades mencionadas slo son posibles puntos de fallo por donde aparecern vulnerabilidades, que aunque en principio ya estn contempladas y cubiertas, debemos contar que irn apareciendo nuevas vulnerabilidades causadas por compartir infraestructura. Si dicha infraestructura es slo compartida entre proyectos internos de la organizacin los riesgos son unos, pero si la infraestructura es compartida con no sabemos quin, y disponible en Internet los riesgos son mayores. Esto es lo que hay que saber valorar. A pesar de ello, los servicios en Cloud son la evolucin lgica de hosting (infraestructuras compartidas de toda la vida). Todo lo que tuviera sentido en ese entorno ahora lo puede tener en la nube; en todo caso los proyectos que necesitan una grandsima escalabilidad normalmente estn asociados a accesos desde Internet, en cuyo caso la nube tiene todo el sentido del mundo, ya que nos permite acceder a proveedores con grandes capacidades de almacenamiento, ancho de banda y servidores. Es ms, me atrevera a apostar que los proveedores serios de Cloud s tienen en mente que todos los recursos compartidos deben estar independizados, y probablemente sean ms conscientes de estos riesgos que los provedores de hosting ms tradicionales, con aproximaciones ms ligeras al Cloud.

url: http://www.securityartwork.es/2010/09/10/seguridad-en-cloud-computing/

mydlink Cloud, cmaras IP para vigilar la casa por Internet

Dejar la casa sola o a nuestros hijos al cuidado de otros son cuestiones que inquietan a muchos. Poner cmaras en casa no es una solucin nueva. Muchas empresas de seguridad ofrecen adems la posibilidad de poder ver las imgenes en directo o diferido a travs de Internet. Slo hay un problema, estos servicios son caros, mucho ms de lo que realmente puede valer la pena el servicio. D-Link ofrece tres cmaras de vigilancia dentro de su gama de productos my dlink Cloud Services. Es bsicamente la opcin hgalo usted mismo. Obtenemos las mismas prestaciones que con un servicio de vigilancia de una empresa. Podemos ver las imgenes en directo de lo que sucede en nuestros hogares, pero el mantenimiento y la instalacin la hacemos nosotros. Y es gratis claro. Las cmaras son mucho ms que una webcam. Son autnomas y no necesitan estar conectadas a un ordenador para funcionar. A travs de nuestra conexin a Internet inalmbrica se conecta a la red. As, podemos acceder a las imgenes que estn registrando con un ordenador, smartphone, tableta o cualquier otro dispositivo con conexin. D-Link ofrece tres modelos con diferentes capacidades. Desde la ms bsica, D-Link DCS930L a otras ms avanzadas como la D-Link DCS-932L o la DCS-942L. La segunda incorpora grabacin con infrarrojos, de tal manera que podamos saber que es lo que pasa cuando las luces estn apagadas. La DCS-942L puede grabar las imgenes independientemente de un ordenador, en una tarjeta micro SD. La seal de vdeo de las otras tambin puede ser grabada, pero se necesitar un dispositivo externo.

El funcionamiento es sencillo. Una vez conectada la cmara tenemos que descargar una aplicacin en nuestro telfono o tableta. Esta app es gratuita y la provee el mismo fabricante de las cmaras. A travs de ella, y tras identificar nuestro dispositivo, podemos

echar un ojo a lo que pase en el saln de casa desde cualquier parte. Las aplicaciones estn disponibles para iPhone o iPad, as como para dispositivos Android. Estas cmaras pueden dar mucha tranquilidad para ver lo que pasa en casa o segundas residencias. Otro de sus potenciales usos es la oficina, controlando que hacen los empleados o por si se producen robos fuera del horario laboral. Lo bueno es que hacen lo mismo que los servicios de vigilancia que proveen las empresas, pero sin cuotas de mantenimiento ni de instalacin. Los precios de las cmaras varan segn sus capacidades. El modelo ms sencillo, el DLink DCS-930L, cuesta 100 euros. El modelo intermedio, D-Link DCS-932L con grabacin nocturna, alcanza los 130. El ms avanzado, DCS-942L, que tambin graba por la noche y puede almacenar las imgenes, tiene un precio de 200 euros. Pueden parecer algo caras, pero es importante tener en cuenta que es lo nico que pagaremos del servicio de vigilancia.

http://www.tuexperto.com/2012/06/14/mydlink-cloud-camaras-ip-para-vigilar-la-casa-porinternet/