El integrador español Cad&Lan anunció recientemente un acuerdo de distribución con la multinacional estadounidense Graphical Networks para comercializar su solución DCIM –denominada netTerrain– en España.

Desde DCD hemos querido hablar con los portavoces de ambas compañías con el objetivo de conocer, desde su punto de vista, cómo se garantiza la seguridad en el segmento de la monitorización y el DCIM.

A continuación están las respuestas que al respecto nos han dado Jan Durnhofer, CEO de Graphical Networks, y Javier Ascunce, director de planificación y desarrollo de Cad&Lan.

 

En su opinión, ¿puede verse sometido el DCIM a algún tipo de ciberataque o amenaza?

Jan Durnhofer: Cualquier software (inclusive sin estar en la web) es susceptible de ataques. Un sistema DCIM como software que tiene una interfaz web (cosa que es una ventaja) en principio puede sufrir los mismos ataques que cualquier otro sistema basado en la web.

Javier Ascunce: En este sentido, nuestra labor como especialistas en TI es proporcionar un entorno de alta seguridad, tanto en las aplicaciones como en la implementación de las tecnologías anti intrusión.

 

Si se llegara a producir un ataque a un sistema DCIM, ¿cuáles podrían ser las consecuencias para ese data center?

JD: Las consecuencias  dependen del grado de integración que tenga el sistema DCIM con el data center y del tipo de ataque. El sistema DCIM puede llegar a controlar equipos en el centro de datos, inclusive apagar servidores o equipos de potencia, con lo cual en principio es posible que se caiga el data center.

 

¿En qué punto de la cadena del DCIM se producen esos ataques: en los sensores/dispositivos, en los protocolos de comunicación o en el software DCIM?

JD: En todos. Si el ataque se produce directamente desde el exterior contra los dispositivos entonces no estaría involucrado el DCIM, pero un ataque contra un data center (más allá de que se involucre el DCIM o no) se puede producir en cualquier punto vulnerable: spoofing de comunicaciones, intrusión a través de un protocolo de gestión (por ejemplo utilizando la write community string de SNMP) y por supuesto en el DCIM hackeando la entrada al sistema (detectando passwords no encriptadas) o utilizando SQL injection para atacar la base de datos y más.

 

Teniendo todo esto en cuenta, ¿cuál es la mejor manera de hacer el DCIM más seguro?

JD: Visto desde un punto de vista de sistema integral, el entorno DCIM se debe asegurar a tres niveles: tecnología, implementación y prácticas (o procedimientos).

- Tecnología: que el sistema DCIM mismo tenga una arquitectura de software y diseño de tal modo que, al menos en principio, se pueda proteger de forma razonable contra cualquier tipo de ataque.

- Implementación: que el entorno DCIM se configure de tal manera que las funcionalidades tecnológicas asociadas a seguridad, tanto del DCIM como de la infraestructura que lo soporta, estén implementados.

- Prácticas: que se implementen procedimientos y buenas prácticas orientadas a que el personal que interactúa con el DCIM opere dentro de parámetros seguros.

En general un usuario DCIM puede controlar los puntos 2 y 3, pero están a merced de la tecnología soportada por el proveedor DCIM (punto 1).

 

¿Cómo garantizan desde Graphical Networks ese nivel de seguridad?

JD: Para ilustrar mejor este punto, que es muy importante, utilizo el ejemplo de Graphical Networks, que emplea en forma vasta un DCIM para sus operaciones y a su vez es el fabricante de ese mismo DCIM (netTerrain). 

- Tecnología: netTerrain soporta SSL, Active Directory, es FIPS compliant y fabrica su software de arquitecturas robustas (como por ejemplo una arquitectura en capas adecuada, securización del acceso inclusive a nivel de las APIs, parametrización adecuada para prevenir SQL injection, etc.) y estándares de seguridad como OWASP top 10. Debido a que netTerrain es utilizado en bancos, agencias gubernamentales de seguridad, hospitales y otros entornos que demandan alta seguridad, su pedigrí ya es tal que desde el punto de vista arquitectónico el software mismo es muy seguro.

- Implementación: el DCIM netTerrain podrá ofrecer mecanismos de seguridad, pero de nada sirven si no se implementan. En la red de Graphical Networks estos mecanismos están implementados de tal manera que partes críticas de la red están aisladas en capas. Solamente se puede acceder al sistema a través de un proceso de doble autenticación, en donde primero hay que entrar a una red primaria a través de una conexión VPN securizada y luego desde ahí a una segunda red interna corporativa que contiene los elementos más críticos, con varios esquemas de protección. Además, desde el punto de vista de la gestión, el DCIM colecta información, dentro de lo posible, utilizando protocolos seguros.

- Prácticas: las prácticas dentro de Graphical Networks existen en varios niveles:

     · Personal/humano: no distribuir el acceso a personal que no tiene absoluta necesidad de entrar al sistema, no ingresar a un sistema desde ninguna red pública, la utilización de claves fuertes (en donde clave fuerte no significa el estándar común de variedad de caracteres, sino un esquema mucho más robusto basado en frases), rotar las claves, etc.

     · Infraestructura: desactivar acceso a equipos que no lo necesitan, no utilizar configuraciones default en los equipos, no utilizar o exponer protocolos que no son necesarios, desactivar puertos innecesarios, configurar en forma estricta los firewalls, mantener a los sistemas operativos y las aplicaciones (incluyendo el DCIM mismo) siempre actualizados, etc.

Finalmente es importante contar con un esquema de disaster recovery. Un esquema de backups para sistemas críticos en un entorno DCIM replicable, ya que el mismo contiene “las llaves para entrar al reino”.



¿Existen protocolos de comunicación más seguros?

JD: Sí, existen protocolos más seguros que otros en cada nivel de la arquitectura OSI y estos, en general, afectan a un sistema DCIM, con lo cual es importante contar de nuevo con la tecnología adecuada que los soporte, la implementación adecuada y la disciplina en las prácticas y procedimientos.

Dos ejemplos concretos: en la capa 7, por ejemplo, https es mucho más seguro que http. Es importante que el sistema DCIM pueda configurarse en el servidor con SSL habilitado para que un usuario se comunique vía https. En la capa 5 SSH es más seguro que una conexión remota normal. Muchos DCIM permiten el acceso a equipos desde el software mismo, entonces el DCIM debe poder trabajar con SSH.

A nivel gestión inclusive existen muchas diferencias: por ejemplo CMIP o SNMPv3 son mucho más seguros que SNMPv2 o 1. El DCIM debe poder realizar discovery utilizando SNMPv3.

Sin embargo, que existan estas tecnologías no implica automáticamente mayor seguridad. Volviendo al caso de gestión, si los equipos que están en la red soportan SNMPv3 pero se configuran con SNMPv2 (algo que es muy común), o SNMPv3 está configurado pero los flags de autenticación y encriptación están OFF, se pierde la eficacia en materia de seguridad.

No todos los componentes de un CPD se pueden securizar. Es muy común que existan tecnologías más viejas que no soporten ciertos estándares de seguridad, ya sea a nivel de protocolos de comunicación, sistemas operativos u otros aspectos, con lo cual el único remedio en ese caso sería reemplazarlos o de alguna manera protegerlos a través de algún tipo de gateway, si esto último aplica.

 

En cuanto al software DCIM, ¿cómo se puede garantizar la seguridad para evitar accesos no autorizados?

JA: Una garantía absoluta no existe, ya que siempre está el factor humano que afecta a los procedimientos y a las prácticas. Pero lo mejor para maximizar la seguridad es aplicar una adecuada política de seguridad  y crear, como comentamos en los puntos anteriores, un entorno de seguridad auditado constantemente. Esto, junto con el enriquecimiento de los diferentes niveles de seguridad que podemos aplicar a los perfiles dentro de la herramienta, evitará esos accesos no autorizados.

 

¿Han crecido las amenazas en el entorno industrial?

JA: Efectivamente es así, cada vez vivimos en un mundo más conectado y accesible, donde la tecnología es indispensable y, por tanto, todo pasa porque entendamos que es igual o más importante una máquina de clima para el CPD que un servidor y que apliquemos a ambos la misma capa de seguridad.

JD: Sin lugar a dudas. Esto es evidente por el simple hecho de que cada vez más equipos están conectados y proveen estadísticas accesibles a través de la red. Equipos que antes solamente tenían acceso al sistema a través de, por ejemplo, puertos seriales que necesitaban de un hardware dedicado para acceder al mismo, hoy se pueden comunicar vía IP en una red. Desde el punto de vista de la gestión, equipos que siempre se consideraron “bobos” hoy ya se pueden gestionar a través de SNMP. A su vez, más software está siendo implementado en los ambientes CPD e industriales y cada vez más software es web y accesible desde fuera. Todo esto se potencia más todavía por el hecho de que una cantidad de servicios se están implementando en la nube, interactuando sin embargo con el resto del entorno corporativo a través APIs, por lo que, por definición, esto los hace, en principio, accesibles desde cualquier parte del mundo.

 

¿Considera a grandes rasgos que el segmento DCIM es un entorno seguro?

JD: No sé si el entorno DCIM puede predicar demasiado en materia de seguridad. Como fabricantes de un DCIM que le da importancia cabal a la seguridad a veces nos sentimos bastante solos en este tema. Muchos fabricantes de DCIM tienen plataformas que se basan en una mezcla de tecnologías adquiridas, arquitecturas obsoletas, esquemas cerrados y, francamente, ingeniería pobre. Basta con mirar la enorme cantidad de implementaciones fallidas.

Hay otro problema también a nivel implementación, y es que DCIM como concepto todavía gravita mucho hacia la infraestructura y menos hacia TI, e históricamente el personal de infraestructura encara el tema de seguridad desde un punto de vista anticuado. Más aún, es raro que el personal de seguridad industrial siquiera se siente a hablar con el personal de TI que está más al tanto de los problemas modernos de vulnerabilidad.

Esto es así porque las redes industriales solían ser entes aislados, pero con la proliferación de gestión sobre IP para cualquier dispositivo y con IoT las redes industriales se empezaron a mezclar con el resto y pasan a ser más vulnerables.

Si miramos a DCIM desde en punto de vista integral como la unión de la gestión TI con la infraestructura del CPD, y el software DCIM es robusto y está bien integrado con buenas prácticas, se pueden extrapolar recomendaciones hacia al mundo industrial y IoT. Esas recomendaciones no difieren de lo que se habló antes: a nivel tecnológico, reemplazar sistemas obsoletos que no tengan mecanismos adecuados de seguridad, implementar los elementos de un IoT dentro de un entorno securizable e implementar mejores prácticas alrededor de su operación.