En esta entrevista comentamos ‘tips’ para que puedas proteger de una manera fácil y económica tus servidores con tecnologías ‘Open Source’.
Con este objetivo en mente, decidí platicar con María Fernanda Suárez, quien tiene 24 años y es Software Developer en Kriptos. Es graduada en la Escuela Politécnica Nacional, donde cursó la carrera de “Analista de Sistemas”. Es una gran amante del mundo de la programación, de la actuación y de la lectura.
Mafer, como le dicen sus más allegadas amistades, nos comentó que es importante tomar en cuenta medidas para proteger los servidores (ya sean físicos o en la nube) debido a que en estos se maneja y se almacena la información de los usuarios. De igual manera es importante que la información viaje y se almacene de manera segura. “El open source nos ayudará a acelerar la transformación digital” asegura.
Existen recomendaciones sencillas para proteger la información que viaja desde y hacia el servidor. Algunas de ellas son:
-Utilizar SSH o Secure Shell. Un protocolo y programa cuya principal función es el acceso remoto a un servidor por medio de un canal seguro. El beneficio de utilizar esta herramienta es el viaje cifrado y seguro de la información.
-Utilizar Linux, el cual es muy sencillo de instalar “sudo apt-get install openssh-server”. Linux cuenta con su propio firewall, por este motivo es importante mantenerlo activado y así evitar el acceso no autorizado a los servidores. También aplicar las reglas de iptables a los filtros de entrada, paquetes salientes y reenvío.
-Si utilizamos Windows, las herramientas como Putty o Bitvise nos permiten establecer una conexión de forma remota a los servidores de manera segura por ssh (OpenSSH).
-Se recomienda no instalar paquetes que no sean necesarios para así evitar las vulnerabilidades que estos pueden tener.
-Se recomienda mantener actualizado el sistema, almacenar los datos cifrados y comprobar puertos de escucha de red.
¿Qué tecnologías ‘open source’ existen actualmente para proteger nuestros servidores?
María Fernanda comenta que una de las mejores maneras para protegerse consiste en ‘atacarse’ a sí misma (como lo haría un ethical hacker) con el afán de descubrir las debilidades que existen y fortalecer los aspectos vulnerables.
En la actualidad existen tecnologías para la protección de nuestros servidores, entre ellas, María Fernanda recomienda:
-Kali Linux: ayuda a detectar vulnerabilidades del sitio del servidor
-Nessus: protege el servidor de ataques descubiertos por Kali Linux, es decir que trabaja de forma complementaria con la primera herramienta.
Otra forma en la que podemos proteger la comunicación entre servidores y clientes consiste en agregar certificados de seguridad. Para lograrlo se recomienda utilizar la herramienta llamada Letsencrypt (Para cifrar o encriptar la comunicación entre servidores y clientes).
Finalmente, se recomienda utilizar Firewalls, los cuales ayudarán a bloquear el acceso no autorizado a servidores. Buenos ejemplos de firewalls son: Iptables y Shorewall.
¿Qué tan confiable son las tecnologías open source versus softwares licenciados?
Para María Fernanda todo depende de las necesidades que tengan la empresa y las capacidades del equipo con el que se esté trabajando.
Ambas tecnologías están en la mira de quienes desean encontrar inseguridades en ellas, sin embargo, hay varios usuarios que están constantemente colaborando para robustecer las tecnologías open source. Este es un esfuerzo colaborativo en el cual se buscan vulnerabilidades para cerrar brechas.
El hecho de tener acceso al código fuente, en el caso de tecnologías open source, hace que podamos verificar si en realidad los datos del servidor se están protegiendo. El control del código significa saber el destino de los datos y también de las medidas de seguridad más recomendables para el caso.
Con respecto a los softwares licenciados la ventaja que existe es que tenemos la garantía de que alguien nos dará soporte en el caso de que tengamos algún problema con su tecnología.
Por el contrario, la desventaja de tener un software licenciado es que no podemos tener la certeza de si nuestra información se encuentra protegida o si en el código fuente de aquella solución existen vulnerabilidades que nos puedan perjudicar.
¿Bajo qué circunstancias se recomienda implementar tecnologías ‘open source’ para proteger nuestra infraestructura?
Cuando buscamos desarrollar de forma rápida, es mejor utilizar tecnologías ‘open source’. En el caso de start-ups por ejemplo, donde el desarrollo es muy veloz, la recomendación es utilizar tecnologías open source. El hecho de utilizarlas permite mayor flexibilidad cuando nos enfrentamos a la decisión de cambiar de tecnologías o proveedores repentinamente. Es importante también tomar en cuenta que detrás de esa tecnología existe una comunidad activa que contribuye constantemente con la evolución herramienta.
¿Qué recomendaciones podrías dar a una empresa que desea implementar una solución ‘open source’?
Se recomienda determinar qué funcionalidades se necesitan incorporar para que la tecnología sea útil. De forma adicional, hay que tomar en cuenta el tiempo que tardaría implementar una solución ‘open source’. Y definitivamente hay que analizar la relación tiempo, esfuerzo y costo.
Adicional a lo antes mencionado, es importante considerar en qué lugares se puede obtener acceso a este tipo de tecnología. La página GitHub es un gran recurso donde se puede determinar cuál es la mejor opción para cada situación, tomando en cuenta aspectos como: ¿Cuántos usuarios lo están editando?, ¿Qué programas usa? e identificar la licencia, de esta manera estar seguros de que tendremos una tecnología firme y confiable.