Blog

Servidor de empresa en la nube más seguro que en la oficina

Punto de partida

En muchas empresas nos encontramos con escenarios en los que los ordenadores, el wifi y el software de facturación están protegidos mediante contraseña. Con este sistema las empresas creen tener garantizada la mayor seguridad posible para su servidor y el sistema en su conjunto. Más aún, si cabe, cuando todo ello viene acompañado del cumplimiento de la LOPD certificado por las auditorías y del la realización diaria de la copia de seguridad en un disco duro externo USB (que permanece en la misma oficina para que sea fácil de localizar)

Pero nada más lejos de la realidad:

  • La contraseña del wifi se puede obtener mediante ataque con programas relativamente sencillos de usar y que dan buen resultado en muchos de los casos.
  • Resulta que el ordenador con contraseña está compartiendo el disco duro completo (no una carpeta concreta) por toda la red en modo invitado. Es decir, puedo acceder a todos los archivos sin contraseña ninguna.
  • Debido a que el software de facturación es antiguo, sin importar el hecho que cuando entras al programa te pide usuario y contraseña, podemos hacernos con toda la información de la empresa muy fácilmente. Esto es debido a que la base de datos reside en unos archivos fáciles de identificar y de copiar que no tienen contraseña alguna.

Ladrón de contraseñas

Imaginemos una persona con conocimientos de informática, en la sala de espera de clientes o aparcado en doble fila en el exterior del negocio, obteniendo fácilmente la clave de la wifi, que le da acceso a la red local, donde encuentra compartidos sin contraseña todos los archivos de base de datos (que tampoco tienen contraseña) de manera que consigue acceso a TODA la información sobre el negocio.

Lo peor es ver que este conocimiento informático ni lo tiene, ni lo quiere tener, el chico que viene a hacerte la “auditoría” de tu sistema informático y de copia de seguridad según reza en tu guía de seguridad sobre la LOPD. Normalmente se ha quedado satisfecho al ver que se cambia de contraseña del Windows98 cada 6 meses y que se ha hecho firmar un contrato de confidencialidad al proveedor informático (al que tampoco le importa mucho que tu sistema sea “a prueba de balas”)

La alternativa

Usando una instancia de Ubuntu Server en Amazon EC2 tenemos un sistema cuya directiva de seguridad por defecto sólo responde al puerto 22 para conexiones SSH (protocolo seguro de comunicación remota cifrada) para las cuales tengamos el archivo clave ( Key pair proporcionado por Amazon).

Menu de Amazon Elastic Cloud - Panel de control - Dashboard

Al conectar al servidor Ubuntu para administración sólo veremos la consola de comandos. Como no todo el mundo sabe usarla supone un filtro de seguridad “natural”.

Consola comandos linux

Una vez instalemos OpenERP y hayamos establecido una contraseña para la base de datos tendremos que:

  • Nadie puede conectar a nuestros datos porque el puerto de la base de datos no responde a conexiones “externas”
  • Aunque el puerto respondiera no sabrían el usuario y la contraseña
  • Por descuidados que seamos en nuestra oficina con los virus, troyanos, sistemas operativos, etc… nuestro servidor está aislado y no es vulnerable

Configuración puertos escucha AWS EC2

¿Crees que en tu empresa se podría virtualizar el servidor en la nube?

Dinos tu valoración