Identificador del artículo: FS-FBS-20140220-I01
Última verificación: 20 de febrero de 2014
Versión: 1.0


Protección de las conexiones de red en los sistemas de archivado de datos

Durante cualquier tipo de transmisión de red, existe el riesgo de revelar datos confidenciales y la infraestructura de la red está expuesta a ataques. En el caso de las soluciones de copia de seguridad, el riesgo es mayor, porque durante el archivado se envían grandes cantidades de datos importantes para la empresa. Al atacar una solución de respaldo no segura, un atacante puede obtener acceso a información confidencial.

El uso de soluciones de respaldo de datos sin la protección adecuada de la red puede dar lugar a la divulgación de datos confidenciales o facilitar un ataque y bloquear la posibilidad de realizar copias de seguridad. Un atacante puede obtener acceso a información confidencial estableciendo una conexión con computadoras archivadas, leyendo copias de seguridad almacenadas en un servidor de copia de seguridad o escuchando a escondidas las transmisiones. Sin embargo, un ataque DDoS puede provocar el bloqueo del servicio del servidor de copia de seguridad.

Para mitigar estas amenazas, se deben aplicar las medidas de seguridad descritas en este artículo además de las medidas de seguridad integradas en la capa de aplicación, es decir, en la solución de copia de seguridad misma . La protección integrada en Ferro Backup System es:

Amenazas

En el caso de las conexiones de red, existen peligros como:
  1. conexión del cliente a un servidor no autorizado,
  2. el servidor acepta una conexión con un cliente no autorizado,
  3. espiar las transmisiones entre el cliente y el servidor.
La primera de las situaciones descritas puede ocurrir si una computadora (por ejemplo, una computadora portátil de la empresa) está conectada a una red ajena, en la que se iniciará un servidor de respaldo falso con la misma dirección IP que el servidor de respaldo autorizado. Esta situación también puede ocurrir si el atacante logra deshabilitar el servidor de respaldo real en nuestra red local y sustituye su propia computadora con la misma dirección IP.

La segunda situación no es tan peligrosa (no permite el robo de datos), pero expone el sistema a un ataque DDoS. Tal amenaza ocurre cuando el atacante tiene acceso a la red donde se encuentra el servidor de respaldo.

La tercera situación puede conducir a la divulgación de datos enviados entre la estación de trabajo y el servidor de respaldo. Eliminar esta amenaza es especialmente importante si la comunicación entre el cliente y el servidor se realiza a través de una red pública (por ejemplo, Internet) sin una red privada virtual (VPN).


Protección

La protección contra estas amenazas se puede implementar de muchas maneras. A continuación, presentamos la protección IPSec, que permite tanto la autenticación informática como el cifrado de transmisión.

Los propósitos del uso de reglas IPSec en sistemas de copia de seguridad de datos:
  1. bloquear las conexiones del cliente de copia de seguridad con un servidor de copia de seguridad no autorizado,
  2. bloquear las conexiones entrantes al servidor de respaldo de un cliente no autorizado,
  3. evitar espionaje en transmisiones cliente-servidor usando encriptación (opcionalmente).
La seguridad IPSec está integrada en Windows. La configuración se basa en reglas. Las reglas están hechas de filtros y acciones. En nuestro escenario de seguridad, necesitamos crear dos reglas: la primera para el servidor de respaldo y la segunda para todas las estaciones de trabajo que pertenecen al sistema de respaldo.

Ferro Backup System se basa en la arquitectura cliente-servidor. El cliente (FBS Worker) se conecta al servidor de respaldo especificado (FBS Server) utilizando el protocolo TCP en el puerto 4531. Esta es la única conexión entre la estación de trabajo y el servidor de respaldo, por medio de la cual se realizan las tareas de respaldo y recuperación de datos. Las reglas que protegen esta conexión se enumeran a continuación.

La siguiente configuración se puede realizar mediante el complemento Configuración de seguridad local (secpol.msc) o a través de GPO.


Implementación de la seguridad en el servidor de respaldo

El objetivo es crear una regla IPSec que restrinja las conexiones entrantes al puerto TCP4531 solo a computadoras confiables y cifre toda la transmisión (opcional); las llamadas de computadoras no autenticadas serán rechazadas.
  1. En la consola MMC "Configuración de seguridad local", seleccione la rama "Políticas de seguridad IP de la máquina local", luego seleccione la acción "Administrar listas de filtros IP y acciones de filtro".
    1. En la pestaña "Administración de la lista de filtros IP", haga clic en "Agregar..." y cree un filtro con los parámetros dados:
      1. nombre: por ejemplo, "conexiones entrantes FBS",
      2. descripción: por ejemplo, "conexiones entrantes de estaciones de trabajo,
      3. duplicación: Sí,
      4. protocolo: TCP,
      5. puerto de origen: CUALQUIERA,
      6. puerto de destino: 4531,
      7. nombre DNS de origen: CUALQUIERA,
      8. dirección de origen: CUALQUIERA,
      9. máscara de origen: 0.0.0.0,
      10. nombre de destino: Mi dirección IP,
      11. dirección de destino: Mi dirección IP,
      12. máscara objetivo: 255.255.255.255
    2. En la pestaña "Gestión de acciones de filtro", haga clic en "Agregar..." y cree una acción con los parámetros dados:
      1. nombre: Requerir Seguridad,
      2. método de seguridad: "Negociar protocolo de seguridad: ",
      3. tipo: personalizado,
      4. integridad AH: Ninguna,
      5. confidencialidad ESP: 3DES,
      6. integridad ESP: SHA1,
      7. vida útil: 0/0,
      8. aceptar comunicación no segura: NO,
      9. permitir comunicación no segura: NO,
      10. Perfecta confidencialidad del reenvío de claves de sesión: NO.
  2. En la consola MMC "Configuración de seguridad local", seleccione la rama "Política de seguridad IP de la máquina local", luego seleccione la acción "Crear política de seguridad".
    1. En el asistente de nueva regla, proporcione un nombre (por ejemplo, "Conexión FBS segura"), deshabilite la opción "Habilitar regla de respuesta predeterminada", luego termine editando la regla recién creada.
    2. En la ventana "Propiedades: Conexión FBS segura", haga clic en "Agregar..." y luego configure los ajustes como se muestra a continuación:
      1. en la pestaña "Lista de filtros IP", seleccione "Conexiones entrantes desde estaciones de trabajo",
      2. en la pestaña "Acción de filtro", seleccione "Requerir seguridad",
      3. en la pestaña "Métodos de autenticación", agregue el método "Clave compartida" con el valor, por ejemplo, "Mi contraseña secreta".
  3. En la consola MMC "Configuración de seguridad local", seleccione la rama "Política de seguridad IP de la máquina local", la política "Conexión segura de FBS" y luego seleccione la acción "Asignar".
En el caso del servidor de respaldo, es muy importante, además de la seguridad descrita anteriormente, y en relación con el propio sistema de respaldo, asegurar el acceso a las copias de respaldo que se pueden leer utilizando otros protocolos, como por ejemplo, .SMB/CIFS, FTP, iSCSI, RDP.


Implementación de seguridad en las estaciones

El objetivo es crear una regla IPSec que limitará las conexiones salientes al puerto TCP 4531 solo a un servidor de respaldo confiable y cifrará toda la transmisión (opcional); se bloquearán las conexiones a un servidor de respaldo no autenticado.
  1. En la consola MMC "Configuración de seguridad local", seleccione la rama "Políticas de seguridad IP de la máquina local", luego seleccione la acción "Administrar listas de filtros IP y acciones de filtro".
    1. En la pestaña "Administración de la lista de filtros IP", haga clic en "Agregar..." y cree un filtro con los parámetros dados:
      1. nombre: por ejemplo, "Llamada saliente de FBS",
      2. descripción: por ejemplo, "Conexión saliente al servidor de respaldo",
      3. duplicación: Sí,
      4. protocolo: TCP,
      5. puerto de origen: CUALQUIER,
      6. puerto de destino: 4531,
      7. nombre DNS de origen: Mi dirección IP,
      8. dirección de origen: Mi dirección IP,
      9. máscara fuente: 255.255.255.255,
      10. nombre de destino: CUALQUIERA,
      11. dirección de destino: CUALQUIERA,
      12. máscara de destino: 0.0.0.0.
Todos los demás pasos son idénticos al ejemplo del servidor de copia de respaldo.

Las reglas de IPSec anteriores deben tratarse como ejemplos que pueden usarse en las pruebas. En un entorno de producción, es bueno especificar los rangos de direcciones IP especificando las máscaras adecuadas. También debe cambiar el método de autenticación de clave precompartida a certificados o Kerberos. Si las computadoras están en un dominio, Kerberos será el mejor método de autenticación.


Resumen

La implementación de las protecciones IPSec descritas garantizará que las estaciones de trabajo solo se conecten a nuestro servidor de respaldo autenticado. Se bloquearán las conexiones al servidor de respaldo sustituido. Nuestro servidor de respaldo solo aceptará conexiones de estaciones de trabajo autenticadas y las conexiones de la computadora del atacante serán bloqueadas. Además, se puede encriptar toda la transmisión entre los clientes y el servidor.


Literatura

[1] Copias de seguridad de datos en redes de área amplia (WAN)
[2] Seguridad de protocolo de Internet (IPSec)
[3] Redes privadas virtuales
[4] Administración del sistema de copia de seguridad