Descargar

Introduccion a implementaciones de seguridad

Enviado por Edmundo Diego Bonini

  1. Área de infraestructura
  2. Área de seguridad
  3. Sistema de gestión de seguridad informática (SGSI)
  4. Área de sistemas

Asegurar la información es tan importante como la seguridad informática.

El mayor activo de una organización es la información.

Ante el avance de las nuevas tecnologías es necesario contemplar las tendencias. Considerando que hoy es más lucrativo y menos riesgoso ser un cyber delincuente que un narcotraficante; que las actividades terroristas se trasladaron a la nube, y las amenazas de cuarta generación nos ponen en jaque; no se puede dejar pasar por alto el más mínimo detalle. Un interesante trabajo, publicado por el MIT: http://sdm.mit.edu/news/news_articles/webinar_081213/iheagwara_081213.pdf

Vamos a lo nuestro:

Primer paso: rechazo de plano las siguientes cuestiones: Software ilegal, share ware, y el increíble paradigma "mi programador nunca se equivoca", esto no existe; todos nos equivocamos; y bastante. (Cosa que hay que contemplar en el plan de contingencia…o no?

Segundo paso: veamos un modelo de organización.

Organización:

Gerencia de sistemas y TI: Define las políticas generales y supervisa el cumplimiento de las mismas.

Subdividida en:

  • a) Área de infraestructura

  • b) Área de seguridad

  • c) Área de sistemas

  • 1) Sub área de análisis

  • 2) Sub área de desarrollo

3) Sub área de testing

4) Sub área de producción.

Cada uno de los responsables de estas áreas, llámese gerencias, jefaturas, o como se quiera, son justamente los referentes y responsables, valga la redundancia, de cada componente de la estructura. Puede darse el caso que una misma persona cumpla mas de un rol, sin embargo tratándose de una empresa mediana-grande debieran ser personas distintas, aunque no tengan empleados propios y trabajen con servicios de terceros. Pero tienen que ser responsables de las políticas establecidas.

Área de infraestructura

Debe tener a su cargo el mantenimiento de toda la red tecnológica. Esto incluye, desde lo básico:

Cableado estructurado certificado. CAT 5e, o CAT 6 si es posible (para lograr trasmisiones en gigabit puro) y enlaces de fibra si las distancias lo justifican y se necesita mayor velocidad entre switches distantes. (Igual es bueno tener la posibilidad de un enlace de fibra y otro de Cat6 por si el primero se cae. Obviamente se debe evaluar las distancias para cat6, o usar repetidores). Tiene que estar certificada; he visto cables utp "estrangulados con precintos para cables", he vistos jacks y plugs pegados con cinta y armados con "los dientes", he visto cables con un plug conectado directamente a la terminal, sin usar una caja con sus jacks y patchcords como corresponde, Incluso en lugares como el instituto FLENI…vergonzoso.

Instalación eléctrica normalizada y certificada. Con monitoreo de voltaje-amperaje en línea; y en caso de haber trifásica, usar un selector de fase automático.

Centralizada en una o varias ups. Generalmente prefiero usar una batería de ups de 3 a 6 kva que alimentan distintos sectores de la empresa. Por dos motivos: primero una ups de gran potencia cuesta una fortuna; y hasta 6 kva tienen precios razonables. Si se cae una, por problemas de circuitos, la saco de servicio y dejo conectada la "línea" en forma directa, con las precauciones del caso.

El cambio de baterías se debe hacer cada dos años (luego de eso, comienzan a despedir ácidos y causa deterioros del equipo y perdida de confiabilidad); pero este se hace siempre on-site y en caliente; con lo cual basta tener el soporte técnico adecuado. Sin ánimo de hacer propaganda, APC lo tiene en Argentina y es muy eficiente.

Las ups deben ser monitoreadas con el software correspondiente (hoy las ups tienen conectividad Ethernet, y si no, por puerto serie o USB. Pero en este caso tienen que tener una pc cerca); para saber fecha de instalación de las baterías, vencimiento de las mismas, carga, autonomía, etc.

No quiero explayarme demasiado sobre las opciones de administración de las UPS, pueden verlo en: PowerChute http://www.apc.com/products/family/index.cfm?id=127&ISOCountryCode=ES

Teniendo en cuenta que este software provee varias funciones importantes, como el cierre de aplicaciones y apagado controlado de los dispositivos conectados; esto es podemos configurar que al quedar un 30% de carga en las baterías emita un alerta a todas las estaciones avisando que las aplicaciones van a cerrarse en pocos minutos. Cuando queda un 20 % de carga comienza la secuencia de cierre y apagado de los servidores. Al cerrarlos en forma normal, evitamos daños en las configuraciones, las bases de datos y en el hardware.

Network shutdown http://www.apcmedia.com/salestools/SJHN-9D9PDZ/SJHN-9D9PDZ_R0_EN.pdf

NOTA: periódicamente efectuar un "corte de corriente" para probar la normal prestación de las ups. Mejor si no hay nadie trabajando. Si las maquinas están apagadas, el wake on lan es una buena medida para encenderlas. Pero este chequeo hay que hacerlo.

Ubicación centralizada de servidores y equipos de comunicación. En caso de ser muy importante, tener dos ubicaciones físicas distantes, con redundancia de servicios. Pero esto es raro que se use.

Protección y detección de incendios, de humedad y de temperatura; contando con los dispositivos adecuados para paliar estas situaciones.

También es importante que los servidores cuenten con fuentes redundantes, y homologadas.

Acondicionamiento y mantenimiento de los diversos host, sean terminales, impresoras de red, fotocopiadoras conectables, scanner, switches, print servers, puntos de acceso inalámbricos, proyectores, plotters de gran formato, robots de corte, tornos, dispositivos RFID, e infinidad de modulos.

Disponer de los ambientes de hardware para desarrollo y testing, lo mas aislados posibles del entorno de producción; que en definitiva es el 90 % de la infraestructura. Si bien la separación puede ser únicamente "lógica" por definirla de alguna manera. Con la mas mínima y supervisada conectividad con producción; cuando ha superado los estándares de calidad y se ha aprobado su implementación.

El responsable de esta área tiene que tener las características de lo que hoy se comienza a denominar TI Generalista, porque con la inmensa cantidad de dispositivos o cosas(es correcto) que se pueden conectar a Internet of Things, Internet de las cosas, es necesario saber, conocer, estudiar y analizar que "cosa inteligente" se va a conectar…a Internet…y a mi red, sobre todo la wi-fi. Hoy es un tema delicado el fenómeno llamado BYOD, que es más del área de seguridad, pero el área de infraestructura tiene responsabilidad compartida.

Pensemos que cuando yo comencé a trabajar y estudiar sistemas, lo único Smart que conocía, era Maxwell (el Súper Agente 86) y hoy tenemos un cepillo de dientes que se conecta a internet por medio de un Smart phone (http://www.infobae.com/2014/01/06/1535261-presentan-un-cepillo-dientes-inteligente-que-busca-reinventar-el-cuidado-bucal), una locura, es para reírse. Pero la risa, no es joda, hoy se te conecta cualquier cosa.

Área de seguridad

La puse en el "medio" de las tres áreas que componen mi gerencia imaginaria, no por una cuestión de jerarquía, sino por el hecho que tiene que interactuar con infraestructura y con sistemas. Y sus políticas deben ser consensuadas con ambas, pero con autoridad absoluta sobre el resto.

Quede claro que "admin", por llamarlo así; esta absolutamente restringido a los administradores; es decir el control total de los dispositivos. Incluso a algunos solo le daría control de monitoreo, y que informen al responsable para que realice modificaciones de configuración. Jamás a los usuarios.

Veamos las distintas pautas:

Firewalls, detección y prevención de intrusos, control de navegación, balanceadores de carga.

Utilización de hardware adecuado para cumplir estas funciones. En un primer nivel de filtrado, con políticas no absolutamente permisivas pero que no interfieran con el normal desenvolvimiento de la organización. En general los dispositivos de hardware tienden a limitar (o no) a toda la organización, y esto no siempre es útil desde el punto de vista de la productividad. No permiten filtrar por rangos de ip, dominios o perfiles, sino que permiten políticas generales. Pero un primer cortafuegos debe como mínimo impedir ataques relacionados con: IP explicit path, Land Attack, SYN Flood, TCP Port scan, TCP Flags check; Header Lengts, UDP Flood, UDP Port scan, Smart Wins, Smart DNS, Smart DHCP, ICMP Attack, ICMP Filter, Smart Arp, Os detection; y/o bloquear IP Options, Land, Smurf, Trace Route, Fraggle Attack, Tear Drop, Ping of Death, Unknown Protocol.

A nivel de este primer firewall se debe ser muy cuidadoso con la DMZ, estar muy seguro que se va a dejar en esta "área lógica", normalmente servidores web. Y también tener una buena política a la hora de definir la Network address traslation (NAT), permitiendo y abriendo puertos de ips privadas hacia afuera. También definir las tablas de ruteo. Y el balance de carga, suponiendo que se disponen de numerosas ips publicas; como es el caso de una empresa como la del ejemplo teórico. Supongamos 8 ips publicas, 4 sincrónicas y 4 asincrónicas (Para mi, lo ideal, para asegurar los servicios hacia internet o VPNS (esto es mas crucial), y la navegación interna.

Esta protección la dejo habilitada, por más que la vuelva a activar en el firewall por soft que ya mencionare en el SGSI. En el resto de las políticas seria bastante permisivo, definiendo políticas más estrictas en los perfiles del SGSI.

Vpns:

Por hard o por software. En el caso de empresas de retail, con varios locales; la solución ideal son vpns por "hard", utilizando routers en ambos extremos que permitan mantener una vpn permanente. Me parecen más estables que las hechas por software, aunque igual de seguras.

Vlans:

Las virtual lans son la mejor forma de separar o aislar lógicamente distintos sectores de una organización (incluso sobre subredes distintas) como una "capa lógica", como es el caso citado (desarrollo, testing, producción) o bien dentro del entorno de producción, por ejemplo las áreas de administración y fabricación (por dar un caso). Si bien son una solución lógica, se configuran en dispositivos (routers, switches) físicos, lo que las hace muy robustas y confiables.

DHCP:

DHCP Resererved: es una buena solución para fijar la misma ip siempre a cada nodo, en vez de fijarla en el mismo. Esto permite mantener un orden a los efectos de control y mantenimiento remoto.

DNS:

En caso de utilizarse nombres de dominio internos es el servicio que nos permite mejorar la comunicación entre sectores. Aplicable en caso de tener muchos puestos de trabajo, y las prestaciones adecuadas.

WI-Fi

Estrictas políticas de cifrado y seguridad. Filtrado de mac. Dhcp reserved. Siempre el mas alto nivel de seguridad posible, con contraseñas cifradas.

Separar con otro isp una red wi-fi para uso de invitados-proveedoresclientes-auditores-inspectores-asesores-cartoneros…(ya van a venir con una Tablet!!!) y cuanto personaje molesto quiera conectarse. Que tenga su propio isp (ya lo dije) modemrouteraccess point-repeater… y un nivel de seguridad sensata, al menos wep-wap-wap2 y una contraseña robusta. Con tal que no se conecte con la red empresaria me basta.

Pautas de respaldo:

Copias de seguridad de las bases de datos. El respaldo tradicional en medios magnéticos no debe faltar, y debe ser retirado de la empresa todos los días. Tiene que haber un responsable de sacarlo y dejarlo a buen recaudo. Se debe hacer diariamente, y el de cada cierre de mes depositarlo en la caja de seguridad del banco, por ejemplo. Dependiendo del tipo de medio magnético utilizado, se puede reutilizar después de 30 días.

Otra opción es guardarlo en una caja ignífuga, aunque personalmente tengo mis dudas que pueda resistir las altas temperaturas en caso de un incendio.

El mismo respaldo debe hacerse durante la noche en forma desatendida en algún servidor en la nube, sincronizando los cambios.

También es muy buena solución usar un sistema de réplica en un servidor distante o en la nube; que se sincronice automáticamente durante la jornada. Esto puede hacer un poco más lenta la operatoria, pero puede lograrse que no sea significativo.

Estos dos últimos puntos no reemplazan al back-up tradicional descrito en el primer párrafo, son adicionales.

Respaldo del software de apps y SO instalados, configuraciones de estaciones y servidores.

Como planteamos la no utilización de software ilegal, entonces tenemos los originales de cada SO. Los mismos deben estar guardados fuera de la empresa, y solo se los trae en caso de una inspección de software legal. Trabajar siempre con copias. (No distribuirlas, claro).

Pero el problema no es este, el problema es la infinidad de configuraciones que tenemos hechas en cada servidor o estación de trabajo critica. Documentarlo por escrito es una opción, pero bastante laboriosa, y a la hora de recuperar, es demasiado lenta y poco confiable. Lo mejor es tener habilitado un mirror en cada uno de los servidores; cuestión que si un disco sale de servicio, rápidamente se recurre al "espejo" previniendo un desastre. Tres o cuatro veces por año efectuar una imagen de los discos de los servidores, o clonarlos, y sacar de la empresa este material, igual que con el back-up.

Respaldo de configuraciones de dispositivos

Todos los dispositivos permiten salvar una copia de su configuración. Cada vez que se modifique algo en ellos, debe generarse un respaldo de la configuración; y guardarlo en un repositorio o carpeta que a su vez este incluida en el back up diario o copia de seguridad de las bases de datos.

NOTA: periódicamente hay que hacer una restauración (en ubicación distinta) para verificar que los respaldos funcionan!!

Recursos compartidos:

Compartir recursos de hardware solo a los usuarios que realmente lo necesiten. Con permisos de acceso según el caso. Hay recursos, como por ejemplo las impresoras de red, los NAS, y los mismos servidores que no todo el mundo puede usar. Debe establecerse que usuarios o sectores utilizan estos recursos, y no que todo el mundo tenga acceso.

Compartir recursos de software solo a los usuarios que realmente lo necesiten. Con permisos de acceso según el caso. No todo el mundo debe tener derecho a "borrar", incluso no todos a escribir. Consultas de búsqueda y solo lectura son posibles. Lo mismo ocurre con las aplicaciones, no todo el mundo tiene acceso a Internet, no todo el mundo puede acceder al sistema de sueldos, o a las aplicaciones financieras, etc. Se deben asignar permisos efectivos tanto en el SO como en la App, para compartir bases de datos o para efectuar procedimientos. Ej.: no cualquiera puede generar un pago, y mucho menos operar con los bancos.

Ver nota sobre administración de identidad y accesos de cuarta generación.

Permisos de usuarios:

Política rigurosa de acceso a todo tipo de recursos por usuario con contraseñas cifradas, y permisos efectivos para manejar datos y gestionar operaciones. Es bueno practicar una auditoria de accesos a recursos e ingresos a funciones del sistema de gestión.

Cifrado de datos:

Establecer solidas políticas de cifrado de contraseñas y datos de acceso público, especialmente. Utilizar encriptado de paquetes para todo aquello que viaje por la red publica. Una VPN es una excelente solución, pero no siempre es posible utilizarla.

Limitaciones de aplicaciones no autorizadas:

Este punto es mas critico en estaciones de trabajo. Pero se soluciona haciendo que cada usuario sea "Limitado" y creando directivas de usuario para evitar modificaciones, hasta de los fondos de escritorio, si hace falta. Un ejemplo, a mi no me gusta que los monitores "descansen", prefiero siempre encendido; pero configuro el apagado de discos después de 1/2 hora de inactividad (duran mas los discos); tampoco me gusta que la maquina hiberne. Por que: porque cuando el personal se retira piensa que la estación esta apagada, y la deja encendida y con aplicaciones abiertas. Cuestión que muchas veces dificulta la copia de respaldo y otras actividades de mantenimiento. Igual se olvidan de apagarla, pero en menor cantidad. Una vez que configuro la maquina como a mi me parece adecuado, limito el usuario y establezco directivas; para que no puedan instalar ni modificar absolutamente nada, Solo el administrador puede hacerlo.

Limitaciones a recursos potencialmente peligrosos:

Puertos USB, lectores de memorias, unidades ópticas. Primero que nada deshabilitar el autorun para todos estos dispositivos. Y luego ver quienes realmente lo tienen que usar si o si; y al resto se los bloquea por software. Algunos sistemas de gestión de seguridad permite habilitarlos y deshabilitarlos desde la consola.

Protección de la red:

Utilizar protocolo SSH o similar, para cifrar toda la información que viaja por la red, y al exterior. Utilizar claves RSA es una buena práctica. Casi diría indispensable.

Protección de servidores:

Siempre utilizar certificados para permitir acceso a los servidores. Tener en cuenta los distintos niveles de acceso posibles; públicos, privados. Yo no dejaría accesos públicos a servidores privados, tendría un servidor (virtual) para cada función. Y dentro de los accesos privados distintos niveles de certificación y con permisos rigurosos.

Protección de estaciones de trabajo:

Ya casi he descrito la mayor parte de las opciones para proteger las estaciones, accesos, limitaciones, respaldos. También es posible y deseable instalar certificados para cifrar los datos de la estación o los usuarios confidenciales.

Actualizaciones de SO y Apps

Debe contarse con las últimas actualizaciones de los sistemas operativos y de las aplicaciones. Debe monitorizarse este tema en forma permanente, sobre todo en los servidores, pero no por eso se deben descuidar las estaciones. Todo lo que se descuida, es una puerta de acceso a las amenazas informáticas.

Software libre y software propietario:

Doy por aceptado que en el caso de software libre es necesario chequear el código fuente, testear y verificar el origen. Pero carezco de experiencia en esto. En cuanto al software propietario, parte lo mencionamos en el punto anterior, parte hace a la forma de licenciamiento de cada producto. Las mismas deben renovarse a su vencimiento para poder seguir contando con actualizaciones y soporte.

Contraseñas robustas:

Pagina para verificar contraseñas por ataques de fuerza bruta https://howsecureismypassword.net/

Chequeen sus contraseñas habituales, y sepan cuanto tiempo tarda un ataque de fuerza bruta en averiguarla. Ej: "3556" tardan: 0.0000025 seconds en descubrirla. EJ: "UTNcurso#1de_seguridad-informatica" tardan: 109 quattuordecillion years.

Así que cuidado con las contraseñas como "admin" "123456" etc.

Sistema de gestión de seguridad informática (SGSI)

Este es el punto donde quería llegar. En esto hay mucho para decir, pero voy a tratar de ser sintético, enumerando puntos y utilizando hipervínculos para ver ejemplos en este mismo documento. Obviamente, voy a describir el que yo conozco y domino; sin ánimo de hacer propaganda comercial; hay numerosos productos en el mercado que son tan buenos o mejores que este. Lo que para mi es valioso, es el concepto de funcionalidad que permite. Administrable desde la nube, permite gestionar recursos estando en cualquier punto del planeta.

Administración centralizada y por perfiles, que deben ser correctamente definidos según una sectorización de la organización, pero enfocada exclusivamente a la seguridad. Generalmente difiere de las utilizadas con otros propósitos.

Anti-Amenazas: (llamarlo antivirus, me parece obsoleto). Protege contra todos los virus conocidos, herramientas de hacking y PUPs, Phishing y herramientas maliciosas, gusanos, espías, troyanos, etc. Tanto en archivos, como en correo y navegación web. Análisis de inteligencia colectiva.

Firewall: Tanto para estaciones como para servidores. Configurado en modo restrictivo, creando reglas de excepción para los casos necesarios para programas y puertos. Prevención de intrusiones.

Control de dispositivos: permitir o bloquear dispositivos usb, bluetooht, CD/dvd.

Exchange: protección completa de virus y spam, análisis de inteligencia colectiva.

Control de acceso a páginas web: bloqueos por categoría, por url, y excepciones. Listas negras y blancas, según se prefiera. El filtro por categoría es una magnifica herramienta, si la paginas estuvieran bien categorizadas!!!. Por ejemplo, la Anses está categorizada como "Política"…en ese caso o desbloqueas esa categoría o generas una excepción.

Área de sistemas

Se dedica a relevar y analizar, desarrollar, testear y poner en producción el soft requerido por la empresa. No voy a detenerme en el quehacer de estas áreas y sub áreas porque no hacen al planteo de seguridad; pero si al funcionamiento eficiente de una gerencia de sistemas y tecnologías de la información.

edu.red

Lo que sigue es una breve descripción (solo un 10 %) de las posibilidades de gestión y seguridad que brinda un buen SGSI. Solo a titulo informativo, para que los que gusten adopten este tipo de servicio que agiliza el mantenimiento del parque y permite controlar los niveles de seguridad.

ANEXO SGSI

SYSTEM MANAGEMENT:

Es importante contar con una buena herramienta para realizar inventario de recursos de software y hardware, que permita monitorear, modificar configuraciones de las estaciones, lanzar aplicaciones, lanzar auditorias, ….

Ejemplos:

  • 1) Administración de actualizaciones del sistema operativo de las estaciones.

  • 2) Vista general del dispositivo

  • 3) Servicios de Windows (o Linux).

  • 4) Administrador de tareas remoto.

  • 5) Transferencia de archivos.

  • 6) Editar registro de Windows.

  • 7) Visor de eventos.

  • 8) Buscar otros hosts.

  • 9) Otras funciones.

Administración de actualizaciones del sistema operativo:

edu.red

edu.red

VISTA GENERAL

edu.red

Servicios de Windows.

edu.red

Administrador de tareas remoto

edu.red

Realizar transferencias de archivos.

edu.red

Monitorear y modificar el registro de Windows.

edu.red

Visor de eventos.

edu.red

Buscar otros hosts en los distintos dominios:

edu.red

Otras funciones.

edu.red

 

 

Autor:

Edmundo Diego Bonini