Protegiendo la red: Todos para uno, uno para todos

El ejercicio es proteger los servidores donde están todas las webs, todos los correos y, en definitiva, todos los activos digitales de los miles de clientes de Tecnocrática. Esto incluye Neodigit, VirtualPyme, Digital3Host,…

Hay mil soluciones para mejorar la protección de estos importantes activos digitales, muchas de ellas populares y que emplea todo el mundo. Estas soluciones, eficaces y conocidas, no ameritan demasiada atención en un artículo que pretende divulgar lo mejor que hacemos.

Sin embargo, entre todas las medidas de protección que empleamos en Tecnocrática, hay algunas que por su eficacia o por su sofisticación sí que merecen describirse un poco más.

La protección empieza, lógicamente, por la detección. Para detectar actividad malintencionada, como por ejemplo criminales intentando acceder al correo de los usuarios, existen soluciones tanto comerciales como gratuitas en gran variedad.

Hay un software que desde hace años forma parte del arsenal de cualquier servidor que se precie: fail2ban. La idea tras fail2ban es sencilla. Cuando desde una determinada dirección IP, se intenta acceder a una cuenta de correo, o enviar correo, o cualquier otra cosa que necesite una autorización, y se falla varias veces en corto espacio de tiempo, cabe asumir que tras esa dirección IP no hay un usuario intentando leer su correo, sino un programa de un criminal intentando lo mismo.

Detectada la actividad y localizado al menos el origen (la dirección IP) de la misma, se puede pasar al siguiente paso: Reaccionar. ¿Qué hace fail2ban en estos casos? Sencillo: Introduce una regla en el cortafuegos local (el del propio servidor) que, durante un ratito (10 minutos es un tiempo típico) rechaza cualquier cosa que venga de esta dirección IP.

Este enfoque tiene la belleza de la sencillez. Es útil para pequeñas y grandes empresas de alojamiento, incluso las que dispongan de un solo servidor, o unos pocos, y está demostrado que reduce la cantidad de intentos de adivinar una contraseña por “fuerza bruta” y, por tanto, las posibilidades de éxito de los criminales. Es trivial de instalar y configurar, y da pocos problemas.

Pero los criminales, que tienen muy automatizado su proceso, no descansan. Cuando un servidor deja de atenderles, siguen intentando el siguiente, y luego otro, las 24 horas del día, todos los días del año. Es una mera cuestión de estadística que acaben por encontrar por fuerza bruta la clave de algún usuario.

En Tecnocrática tenemos a gala que no gestionamos una pila de servidores, sino una infraestructura, en la línea de las mejores prácticas de la industria. Y esto nos da la capacidad necesaria para escalar las cosas. A nivel industrial.

Hemos desarrollado una especie de fail2ban colaborativo y distribuido, específicamente para nuestra infraestructura. Cuando un servidor detecta intentos fallidos de autorización, lo que hace es informar de ello a un servicio central. Este servicio central, con toda la información de todos los (miles) de servidores, toma decisiones sobre las direcciones IP que están intentando acceder infructuosamente a recursos protegidos, como cuentas de correo. Esta toma de decisiones es en tiempo real, y tiene en cuenta cosas como el país de origen de las direcciones IP, la cantidad de intentos, la cantidad de servidores diferentes afectados, y otros datos.

El servicio central puede decidir que lo que está viendo es simplemente un usuario que ha olvidado su clave, en cuyo caso no toma ninguna acción. O puede decidir que lo que está viendo es el programa de un criminal sondeando, intentando “pescar”. En cuyo caso, manda la dirección IP a las Minas de Moria: Durante cierto tiempo (también decidido en función de la actividad exacta), esta dirección IP no podrá intentar conectarse. No solamente al servidor o servidores en que se haya detectado su actividad: No podrá conectarse a ningún servidor que haya en la red de Tecnocrática.

Por supuesto, la puesta en marcha de este sistema no ha estado exenta de tener que resolver interesantes problemas. Pero una vez afinado, ha dejado la eficacia del conocido y respetable fail2ban muy atrás. Los servidores presentan una reducción medible en el uso de recursos. Lógicamente: Ahora emplean menos tiempo en responder a peticiones de “criminales” Por tanto, los servidores van más ligeros y con ello, las webs van mejor.

Subsiguientes iteraciones del sistema, empleando técnicas de aprendizaje artificial, refinarán aún más la seguridad obtenida. Todo ello, gracias al uso de todos los datos que generan constantemente los ataques de los criminales. Hay una bella simetría en el fondo de todo.

Por el momento, una estadística sencilla: En un momento cualquiera del día, no hay menos de 8.500 direcciones IP de las cuales rechazamos todo el tráfico en toda la red.