IMtrevista con Jorge Carvajal
Juan José Mena: Hola Jorge, buenos días
Jorge Carvajal: como te va!!
JJM: Muy bien, gracias... agradecido por el tiempo que me regalas dentro de tus múltiples actividades de soporte con los clientes. Sé que eres consultor de Binaria, pero me gustaría que les cuentes a nuestros lectores un poco de ti y tu trayectoria.
JC: Bueno te cuento que soy Ing. Electrónico pero entré en el área de sistemas en el Banco del pichincha en el 2001. Ahí estuve casi 4 años encargado de la administración del directorio activo y servidores de Exchange, en el 2005 entré a trabajar a Binaria a cargo del área de servicio Microsoft donde me encuentro al momento. Dentro de Microsoft soy MCSE, y MCSA con mención en mensajería todo en la versión 2003 estoy actualizándome a 2008 en este momento.
JJM: Amplia experiencia. La idea de esta entrevista es conversar principalmente sobre temas de seguridad con Exchange y también sobre PKI. En base a tu experiencia nos puedes compartir sobre estos dos temas?
JC: Hace algunos años se habilitaron los certificados digitales para trabajar en Exchange con Outlook en el Pichincha pero nada masivo, realmente mis tareas sobre Exchange se refieren más a alta disponibilidad, movilidad, y migraciones desde otras infraestructuras Microsoft y no Microsoft
JJM: Entiendo, pero eso conlleva también conocer los esquemas de seguridad, entiendo...
JC: Pues si
JJM: tienes información para compartirnos respecto a los principales beneficios de seguridad que tiene Exchange?
JC: Bueno de las principales características es que toda las comunicación desde el internet ahora se realiza a través de HTTPS utilizando certificados públicos o emitidos dentro de la organización, esto te permite que el tráfico vaya encriptado y de una manera mucho más segura. Adicionalmente servicios como Outlook anywhere tiene dos ventajas. La primera es que al no requerir VPN es más liviano en enlaces lentos y la otra es que no se requieren abrir puertos en el firewall adicionalmente del 443.
JJM: Me saltan dos inquietudes a partir de tu última respuesta. La primera: Al no requerir un VPN, no se vuelve más insegura la data, a pesar de estar encriptada la información?
JC: Pues no necesariamente, si buscas una analogía las transacciones bancarias hechas por internet usan HTTPs mas certificados digitales para encriptar la información enviada de igual manera Exchange encripta la información entre cliente y servidor para evitar que usuarios no autorizados tengan acceso a la misma
JJM: Genial, me queda claro... la segunda inquietud, me gustaría conocer sobre los riesgos de abrir los puertos en el Firewall y cuál es el mecanismo para que el puerto 443 esté siempre seguro?
JC: el abrir un puerto es permitir que desde el exterior cualquier usuario pueda tener acceso a tu servidor, es por eso que se trata de reducir esta superficie de ataque lo más posible. Ahora dependiendo del servicio tu vas abriendo los puertos por eso abres el puerto 25 para comunicación SMTP para reducir el riesgo de ataque a la información Microsoft creó un nuevo rol que es el de Edge transport que maneja la sanidad de los mensajes (SPAM VIRUS) y como ningún sistema es infalible en caso de un ataque realmente no atacas a un servidor que contenga los datos de tus clientes, el objeto de Exchange es proteger la información sobre todas las cosas. Sobre el puerto 443 en cambio existe otro rol que es el CAS (Client Access Server) el cual publica un acceso vía Web o Outlook Anywhere (antiguamente RPC sobre HTTP) es un rol que puede estar sobre un equipo independiente que nuevamente, en caso de un ataque, no va a afectar la información de un usuario ni contendrá datos que puedan ser robados.
JJM: El decir que el el objeto de Exchange es proteger la información "sobre todas las cosas" es un amplio espectro, podrías explicarme con un poco mas de detalle a que te refieres?
JC: A nivel de Exchange hoy tienes varios esquemas de disponibilidad y de copia de la información de modo que en caso de falla del equipo puedes recuperar tu servicio, entre ellos está el standby continuous copy o el continuous copy cluster e incluso el local continuous copy todos estos enfocados en disponibilidad y tener una copia de las bases de Exchange
JJM: Muy claro.. gracias por compartirlo.
JC: de nada
JJM: Para terminar, y aprovechando de tu experiencia, cual piensas que debe ser una estrategia de las empresas para fomentar internamente los procesos de seguridad y que acciones de deberían tomar a nivel de las áreas tecnológicas y del equipo humano?
JC: Estoy convencido que el tema de seguridad en una empresa es tema de educación a que me refiero para fomentar internamente procesos de seguridad se debe educar al usuario final pero inicialmente no desde un tema técnico sino concientizando de todas las amenazas externas que existen los diferentes medios de propagación que estas amenazas toman y como identificar una. Si al usuario final le enseñamos como identificar una amenaza, es más beneficioso que enseñarle a utilizar un antivirus que inclusive para un técnico suele ser complicado. Desde el punto de vista técnico mas se deben preocupar en tener infraestructura de seguridad desde la frontera hacia el interior y aplicar políticas basadas en estándares ya en eso existen varios por ejemplo los estándares de la IEEE
JJM: Pero si el usuario no tiene conciencia, inclusive tener todos los sistemas de seguridad tiene sus falencias
JC: Claro por eso mismo es que al usuario hay que educarlo con lenguaje no técnico mucho menos explicando la infraestructura de la empresa al usuario lo que le sirve es simplemente saber identificar una amenaza y como proceder con eso ya se ha hecho suficiente el resto de procesos deben ser transparentes para el usuario por ejemplo la ejecución programada de un antivirus o la descarga de actualizaciones
JJM: muchas gracias por toda tu ayuda, creo que ha sido realmente muy valiosa para todos nuestros lectores
JC: con gusto cualquier novedad me la haces saber
JJM: Listo, estamos en contacto
JC: De acuerdo. Adiós..
Comments
- Anonymous
January 01, 2003
A continuación presentamos la agenda del SET 2009 (conforme los eventos vayan ocurriendo cada sección