Chat y seguridad

en RedSL el 30 de mayo de 2007

--Ricardo Pluss
All por el 2003 en el Ministerio de Educacin se consideraba al software para chatear, como el
Messenger, inconveniente desde el punto de vista de la seguridad, y por tal razn ese servicio
fue cerrado.
Estamos interesados en saber si este criterio sigue siendo el predominante, o se ha
flexibilizado, ya que creo que hoy en da es una herramienta de comunicacin mas que de
recreacin.
--Eduardo Spotorno
Mi estimado Ricardo, hola a todos, les cuento cual fue mi experiencia y mi punto de vista:
a) El MSN es tan til como una lnea telefnica, todos lo quieren, algunos lo necesitan. Yo estoy
por la de brindar el servicio entre otros tantos, ya que informtica _es_ un rea de servicios.
Negarlo es como decir "no tengo central telefnica para que los empleados no charlen por
telfono".
b) Al igual que una central telefnica, debes indicar quienes tienen acceso interno y externo.
Para esto hay que implementar un servicio tipo LDAP y as poder configurar un modelo
granular en cuanto a la autentificacin del Cache-Proxy (pieza fundamental en toda red) que
en definitiva, este ser quien permita comunicarse con el exterior o no.
c) Sumando los firewalls, se puede denegar la transferencia de archivos d) Con wrappers, se
puede logear todas las conversaciones y poder dejarlas a disposicin de auditoria interna. Se
puede hacer esto o no? Hablo de su viabilidad no su validez.
e) Ni que hablar de utilizar SL para poder saber con exactitud realmente que hace una
computadora, o por lo menos que terceros lo hagan por nosotros, pero jams software oscuro
como el propietario que manda permanentemente logueos que lo que hacemos en nuestras
computadoras, por mas que nos prometan que esto no es as.
f) Una poltica de seguridad informtica que tenga su respaldo dentro del contrato laboral que
pueda ligar una infraccin informtica a una sancin disciplinaria como cualquier otra.
Este ultimo punto es fundamental y tiene que ver con la realidad de la seguridad informtica
en general. El otro da hablaba con un experto en seguridad y coincidamos que la seguridad
informtica es una quimera absoluta. Suena a un presagio pesimista pero tmenlo
positivamente: es como una "verdad revelada". Con el advenimiento del procesamiento
distribuido a travs de servicios web que inundan nuestro escritorio, el acceso al MSN es menor
al lado de todas las aplicaciones web que irn apareciendo sin control en los prximos aos.
Hoy circulan por Internet infinidad de nmeros de tarjetas de crdito con sus nmeros de
validacin (despus te llaman de VISA para preguntarte "UD compro en el sitio web tal por el
monto tal..." as que de ecommerce eso no tiene mucho) es por esto lo que digo.
Aqu si, entonces, hay que agregar:
a) responsabilidad de los empleados, por consenso o fuerza. No hay firewall que funcione para
un empleado que por 100 pesos vende un padrn con informacin sensible. La seguridad
informtica es una realidad del comportamiento humano como cualquier otro, un poco mas
sofisticado pero nada ms.
b) buenas prcticas de seguridad, por lo menos para no caer en negligencia.
As que bueno, ah les mando un poco desordenadas y seguramente incompleta una lista de los
aspectos mas destacables del MSN y la seguridad informtica en general a mi punto de vista y
parecer.
Guido Lorenzutti:
Problema de seguridad para mi es, principalmente porque no encontr una forma de prohibir la
transferencia de archivos va msn, con todo lo que eso implica.
Para mi la mejor opcin es poner un cliente de mensajera interna, donde se evite la recepcin

de archivos de internet o en su totalidad la transferencia de los mismos. Por ej: jabber.

--Pablo Rizzo:
No solo sigue siendo igual de inseguro, sino que adems consume recursos increbles de
internet, sumado al problema de la no confidencialidad de lo que se trasmite y los mltiples
mtodos de robo de contraseas. En el Municipio de Berazategui instalamos un servidor XMPP
(eJabberd) que no tiene estos inconvenientes y la instalacin y configuracin es sumamente
simple, no toma ms de una o dos horas. El eJabberd adems de comunicarse con cualquier
otro servidor XMPP, como ser los servidores Jabber.org o Google Talk, tiene pasarelas para
interconectar con redes MSN, Yahoo y otras.
--Guido Lorenzutti:
Pablo! Qu versin de ejabberd usan?
Nosotros tambin usamos ejabberd y como tenemos muchos usuarios en distintos nodos,
estbamos analizando poner un servidor de jabber x nodo... que los servidores jabbers hablen
entre ellos y no todos los clientes contra un servidor central.
Tienen experiencia con un jabber de 2000 usuarios y la posibilidad de multinodo, para realizar
lo antes expuesto?
La idea es que el jabber siga operativo ante la cada de alguno de los enlaces con el servidor
central, tienen su nodo local de jabber y por lo menos pueden seguir hablando entre ellos.
--Ernesto Mislej:
Una pregunta, lo necesitas para mensajera interna o para comunicarte con amigos / colegas /
familiares en el exterior?
De necesitar la primera, te recomiendo el jabber que es de muy fcil instalacin, te permite
colgarte de un directorio LDAP y usar varios clientes tanto en linux como windows.
Ahora, si necesitas salir de tu organizacin, no me parece una buena idea colgarte a la MSN.
Quiz porque es muy mucho ms cerrada que la XPMM (la del jabber que tambin usa GTalk) y
a cada rato aparece un bug del MS Messengger.
Las pasarelas que habla Pablo, no las prob
--Eduardo Spotorno:
Si se puede: tal vez no con un firewall clsico pero si con un IDS que maneje las conexiones
(PDS era, Guido?), que basado en reglas inhiba el inicio de una transferencia, analizando las
huellas que esto produce. De cualquier forma, no es tan sencillo y costoso: no se si el Snort
puede hacer esto, otros firewalls de marca si. Me hiciste acordar que es fundamental
incorporar este tipo de dispositivos en las redes.
Interesantes las propuestas de usar clientes de SL para el MSN y la
mensajera interna, acompaando eso, la necesidad de auditar cada
conexin basadas en servicios web.
--Pablo Rizzo:
Tenemos instalada la versin 1.1.2-6
--Guido Lorenzutti:
Mira ... intent, pero el protocolo del msn cambia demasiado seguido y aparte no nos
olvidemos que el msn como aplicacin que se instala en un windows no es el nico medio para
utilizar la mensajeria. Hoy el uso del webmessenger permite utilizar el servicio desde una
pagina web y CREO que tambin podes hacer transferencia de archivos.
Siendo a partir de ese momento la transferencia de archivos va http, adis IDS, PDS, etc.

Igualmente... CREO que se pueden transferir archivos va web.

El snort lo hace, lo de denegar las transferencias de archivos va MSN .. o dice hacerlo, confieso
no haberlo probado. Pero no desde un webmessenger... meebo, e-messenger, etc.. porque
estoy casi seguro que lo interpreta todo como trafico http.
No tuve tiempo de sentarme a verlo en detalle...
--Eduardo Spotorno:
Bueno, pero por eso: cualquier pgina web te permite subir un archivo. Como haces para
limitar eso? Por eso, no es el problema en si el MSN: son todos los servicios web.
--Pablo Rizzo:
Esto no es tan problemtico, porque el archivo tiene que pasar por el proxy y all puede ser
escaneado, el problema es cuando el archivo pasa en forma transparente mediante el
protocolo de msn.