h1

Una de sistemas… seguros

agosto 13, 2013

No se me había ocurrido hasta ahora incluir en este “blog” una entrada relacionada con mi perfil profesional, pero lo cierto es que llevo desde 1984 embelesado con la que yo denomino “ciencia de las ciencias”, así que creo que va tocando 🙂

Para mi la informática más que una afición es toda una pasión. Por más años que lleve dedicándome de forma profesional a esto, parece que nunca dejo de disfrutar con cada nuevo descubrimiento. En lo relativo a esta entrada quiero hablar un poco del sistema FreeNAS en su última versión que incorpora el maravilloso sistema de ficheros ZFS versión 28, una gozada para todos los que tengáis experiencia en sistemas Solaris y derivados. Tras una pequeña pelea en su actualización desde la “release” 8.3.1, conseguí poner en marcha de nuevo el servicio de “directorio activo”, ya que ahora es necesario seleccionar el servicio de directorio en la pestaña de “settings”, de no hacerlo jamás podrás activar el servicio:

settings_freenas

En esta nueva versión disponemos de segregación de roles en la configuración avanzada del directorio activo, de modo que podemos apuntar a diferentes servidores para balancear mejor la distribución de la carga de trabajo. Hasta ahora lo más que podías hacer era apuntar a un servidor de dominio. Un buen truco era apuntar al nombre del dominio (en formato DNS) y así los registros SRV que son dinámicos asignaban en cada momento la IP al servidor con menos carga de trabajo. Ahora con estos nuevos campos avanzados podremos personalizar algo más la configuración. Además para redes que tienen cierta latencia podemos aumentar el “timeout” tanto para DNS como para directorio activo, lo cual nos vendrá muy bien si por ejemplo tenemos un túnel IPSec con otra sede.

A lo que iba, si algo me ha mosqueado en esta nueva “release” de FreeNAS es la escasez de información, dando por supuesto que todos sabemos de todo y que por tanto averiguaremos cosas como que ahora hay que seleccionar el servicio de directorio y no como antaño, que simple y llanamente configurabas el servicio de directorio que te interesaba y lo activabas en la pestaña de servicios. Supongo que la razón es que algún que otro cafre debió configurar varios servicios LDAP y ello pudo causar un conflicto a Samba. Ahora hay que elegir y activar forzosamente un sólo servicio. Sea como sea me gusta y tan sólo he encontrado varios problemillas de fácil resolución:

  • El NTP por motivos desconocidos ha fallado en dos ocasiones con la configuración por defecto, así que he optado por seguir las recomendaciones y sincronizar contra el servidor de dominio.
  • No olvides añadir una entrada estática en el DNS que apunte al servidor NAS.
  • FreeNAS  no lleva demasiado bien eso de que activemos los requisitos de firma LDAP en las políticas de dominio. Tengo pendiente experimentar con esta nueva versión. En la 8.3.1 funcionaba bien a nivel Samba, pero el interfaz web no permitía seleccionar usuarios de dominio para los “datasets” ZFS, dando un error de un “script” de Python.

Además ¡por fin!, permiten desde la interfaz web incluir “scripts” “pre init” y “post init”, muy cómodos para personalizar cosillas como por ejemplo el Syslog, ya que es un coñazo que por defecto FreeNAS tenga un nivel “info” y no te permita ajustarlo desde la interfaz web.

Finalizaré con un detalle muy importante: la seguridad…
No mola nada que la aplicación web no sea capaz de interactuar con los usuarios de dominio si se activan los requisitos de firma LDAP. Pero lo peor no es eso, si no que te pidan alegremente que almacenes la contraseña de un usuario “administrador de dominio” para simple y llanamente enlazar con el dominio y validar sus usuarios/grupos. Esto es especialmente grave ya que el sistema utiliza “Kerberos” como protocolo de autenticación de clientes y realmente no debería precisar de una cuenta con semejante nivel de privilegio. Ante esta tesitura y siendo como soy responsable de seguridad en mi empresa, me he planteado la política de “mínimo privilegio” para la cuenta que utilice FreeNAS para enlazar con el dominio y sincronizar usuarios/grupos. Tras experimentar sin éxito la “delegación de control”, opté por emplear un grupo “BuiltIn” que nos ofrecen los servidores de dominio: “Operadores de cuenta”. Haciendo que la cuenta que utilice FreeNAS sea simplemente “Invitado de dominio” y agregando la misma al grupo “Operadores de cuenta”, restringiremos bastante el potencial destructivo de un posible atacante que pudiera acceder al dominio con los permisos de este usuario.  En seguridad es siempre mejor pecar de paranoico que lamentar las consecuencias de una brecha de seguridad causada por un “0day”. Ale, espero que no sea la última entrada de esta temática 🙂

(Actualización 17/09/2015) A fecha de hoy la versión 9.3 de FreeNAS ha mejorado muchísimo todos estos aspectos, a los cuales en parte hemos contribuido usuarios que como yo lucharon “manualmente” activando SSL desde la configuración de Samba y forzando vía GPO la conexión segura a los servidores de dominio.

El nuevo configurador del servicio de directorio requiere:

  • Certificado público de la CA de tu dominio en “System / CAs”.
  • Seleccionar dicho certificado en el apartado “Directory / Active Directory”.
  • Utilizar la cuenta “invitada de dominio” miembro de “operadores de cuentas” que designéis para el “bind”.
  • Especificar “seal” que es la modalidad más segura de comunicación con los controladores de dominio.
  • Encryption SSL.

En la última actualización ya se han resuelto muchos problemas como el “timeout” que siempre daba problemas ya que el “script” de enlace al dominio es tremendamente complejo y cualquier mínimo retardo en las comunicaciones daba al traste con el enlace al dominio. Por lo demás, una vez unido al dominio el servidor NAS irá de maravilla con todos los usuarios y ACLs de Windows bajo Samba, que cada vez hacen más integrable el servidor con redes Windows.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: