El "Security Reference Monitor" verifica si un usuario tiene derecho a acceder a un objeto y ejecutar la acción solicitada. Además, es el responsable de los mensajes de auditoría. Con el diálogo permisos del Administrador de archivos (si se encuentra en NT 3.51) o el Explorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de la mayoría de los objetos. Por ejemplo, la activación y el acceso al objeto servidor del DCOM (en Windows NT 4.0) están completamente integrados con el modelo de seguridad de Windows NT.
Aparte de la seguridad de los objetos, el NT permite controlar, y monitorizar funciones de sistema. Con el Administrador de usuarios podrá controlar qué cuenta de usuario o grupo puede, por ejemplo, añadir estaciones de trabajo a un dominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema, iniciar una sesión localmente, gestionar las registros de auditoría y seguridad y cerrar el sistema.
Administración de cuentas: Autentificación de inicio de sesión A un nivel general, un dominio NT es una colección de máquinas, a las cuales el controlador de dominio administra como si se tratase de una única máquina, compartiendo una misma base de datos de seguridad. Dicha base de datos mantiene información de todos los usuarios y grupos de ese dominio. Una cuenta de dominio, llamado de otra forma cuenta global, tiene el formato dominiousuario. Si iniciamos una sesión en una máquina del dominio e intentamos conectarnos a una unidad de red, tendremos que introducir nuestros datos con ese formato.
Las cuentas de usuarios o grupos en esas máquinas locales tiene el formato maquinausuario y serán exclusivas de esa máquina.
La herramienta básica para administrar los usuarios y grupos de un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios. Windows NT Workstation incluye una versión reducida de este programa y permite la gestión únicamente de esa máquina. Seguridad e Internet A diferencia del bien definido sistema de seguridad del NT, el modelo de seguridad de Microsoft respecto a Internet se encuentra sometido al continuo proceso de cambio al que a su vez se encuentra la misma Internet. El ISF (Internet Security Framework) es hoy por hoy más un compendio de protocolos que una definición de normas de seguridad.
ISF ofrece diversos protocolos de red especializados sobre el estándar de criptografía CAPI de Microsoft y sobre lo que Microsoft denomina Authenticode, un sistema de verificación por firma de objetos instalables, que garantizan que estos módulos u objetos no han sido manipulados y que tienen un autor determinado que de alguna forma,responde de la actuación de dicho objeto software. Los protocolos IFS incluyen:
PPTP (Point to Point Tunneling Protocol), el cual permite establecer redes seguras sobre segmentos de redes inseguras, creando líneas seguras virtuales.
SSL (Secure Sockets Layer) y su versión ampliada PTC (Private Communications Technology) que ofrecen autentificación de servidores, encriptación e integridad de datos.
SET (Secure Electronic Transaction) que permite autentificación y confidencialidad de tarjetas de crédito, vendedores y clientes. SET dispone de un amplio soporte por parte de la industria (Microsoft, IBM, Netscape, etc ) y las últimas especificaciones están disponibles en los sitios web de VISA (http://www.visa.com) y Mastercard (http://www.mastercard.com) PFX (Personal Information Exchange) que transfiere información personal entre ordenadores y plataformas.
ISF encripta todos los paquetes de la red. De todas maneras, las aplicaciones pueden disponer de funciones de encriptación adicionales. Por ejemplo, con el código que Microsoft ha licenciado de Nortel (antes Northern Telecomm) y de RSA, Microsoft Exchange puede proteger el correo electrónico con firma/encriptación. La versión estadounidense de MS Exchange también puede utilizar encriptaciones de 56 bits o hasta encriptaciones de 64 bits. Otras versiones, como la española, únicamente pueden utilizar encriptación de 40 bits.
Estrategia de Seguridad
Una metodología para definir directivas y controles de seguridad.
Predecir ataques/evaluar riesgos Para cada tipo de amenaza (por ej: ataque mal intencionado) Para cada tipo de método de ataque (por ej: virus) Estrategia proactiva Predecir posibles daños Determinar vulnerabilidades Minimizar vulnerabilidades Implementar plan y elaborar directivas y controles de seguridad Elaborar planes de contingencia Estrategia reactiva Evaluar daños Determinar la causa del daño Reparar daños Implementar plan y elaborar directivas y controles de seguridad Documentar y aprender Implementar plan de contingencia Examinar resultados/hacer simulación Examinar eficacia de directiva Ajustar directiva en consecuencia
Auditoria de Windows
Auditorías
El sistema de Auditoría de Windows NT permite rastrear sucesos que ocurren en una máquina NT, tanto servidor como estación de trabajo. Las auditorías son esenciales para mantener la seguridad de los servidores y redes. Además de permitir un seguimiento de las actividades realizadas por los usuarios. La política de auditorías se establece en cada máquina NT. Se pueden realizar tres tipos de auditorías en NT
Auditoría de cuentas de usuario
Rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en Administrador de usuarios en dominios/ Directivas/Auditoría/Plan de auditorías. Los sucesos que se pueden auditar son:
Inicio y cierre de sesión.
Acceso a ficheros, directorios o impresoras.
Ejercicio de los derechos de un usuario.
Seguimiento de procesos.
Inicio, reinicio y apagado del sistema.
Auditoría del sistema de archivos
Rastrea sucesos del sistema de archivos. Esta opción se activa en Propiedades, tras pulsar con el botón derecho sobre el fichero o directorio que se desee auditar y luego seleccionando Seguridad/ Auditorías. Los sucesos que se pueden auditar son: Lectura, Escritura, Ejecución, Eliminación, Cambio de permisos y Toma de posesión.
Auditoría de impresoras
Primero se establece la política de auditorías pinchando dos veces en la impresora en cuestión, dentro del menú Impresoras, y luego seleccionando Seguridad/Auditorías. Algunos de los eventos que se pueden auditar son: Uso de la impresora, Cancelar trabajos de impresión, Control total, etc. Se debe tener derechos de administrador para configurar propiedades de auditoría. Una vez que se activa una auditoría se utiliza el Registro de seguridad del Visor de sucesos que se encuentra dentro del menú de Inicio Herramientas administrativas, para ver los eventos auditados. Se debería tener cuidado y proteger los archivos de auditoría que están almacenados en el directorio %SystemRoot% system32 config, en los archivos: APPEVENT.EVT: Registro de sucesos de aplicaciones. SECEVENT.EVT: Registro de sucesos de seguridad. SYSEVENT.EVT: Registro de sucesos del sistema. Algo muy importante a la hora de mirar los registros es que la máquina tenga la hora correcta, ya que si tenemos que comparar sus registros con los de otras máquinas: si ambas no están sincronizadas será muy difícil. Para esto debería usar NTP (Network Time Protocol) que sirve para poner en hora ordenadores y mantenerlos sincronizados
Seguridad en Red
Protocolos de Red
Debemos instalar sólo los protocolos que vayamos a necesitar. En principio y salvo que tengamos necesidad de usar más protocolos, deberíamos usar uno de estos dos:
NetBEUI
TCP/IP
NetBEUI es un protocolo de red no enrutable, solamente útil para redes de pequeño tamaño. TCP/IP es el líder indiscutible en cualquier tipo de red. Con cualquiera de estos dos protocolos el servicio que estamos ofreciendo a la red es el llamado SMB (Bloques de Mensajes de Servidor), de Microsoft, también conocido como Cliente de redes Microsoft, y que básicamente proveen servicios de archivos y red. Estos servicios están instalados por defecto normalmente. Los servicios TCP/IP de Internet como servidores Web y FTP, se pueden instalar de modo opcional en Windows NT. Conviene tener abiertos el menor número de servicios posibles. Al ser estos opcionales, no vienen instalados por defecto y hay que instalarlos a posteriori. Salvo que se necesiten y que se sepa lo que se está haciendo, conviene no instalar ninguno. También se pueden configurar las opciones de seguridad TCP/IP para permitir o bloquear la dirección del o los puerto (s) que se necesiten según los servicios que se quieran utilizar. Para hacer esto, sde deben seguir los siguientes pasos:
1) Panel de Control/Red/Protocolos/Protocolo TCP/IP/Propiedades/ Avanzadas 2)Marque Activar seguridad 3)Pulse el botón Configurar 4)Seleccione el adaptador correspondiente y marque el número de puerto/s del servicio/s que quiera permitir.
Service Pack's
Los Service Pack (SP) no son más que un conjunto de parches que Microsoft saca de vez en cuando para solucionar fallos, dar nuevas funcionalidades, etc. Lo bueno de estos parches es que de una sola vez se aplican todos (a veces más de 100) rápida y fácilmente. El sistema es muy similar a los clusters de parches recomendados de Sun. Todo NT debería tener instalado al menos el penúltimo SP. En el momento de escribir este trabajo para auditoria y seguridad de sistema, el último Service Pack que es el 6a. Microsoft se ha comprometido a sacar un Service Pack 7 que resuelva aún más fallos. Los Service Pack's son independientes del tipo de NT 4.0 que haya instalado, por lo que son los mismos para Workstation, Server, Server Enterprise, etc. Si después de instalar un Service Pack instala algún servicio, controlador o programa que altere de forma significativa Windows NT (Microsoft Office, sistemas de bases de datos, etc.), es muy recomendable que reinstale el Service Pack para asegurarse de que la aplicación no ha sobreescrito ningún fichero con una versión anterior. Un consejo Nunca instale un SP en otro idioma que no sea el de la instalación del sistema operativo. Tendrá que reinstalar el sistema.
Cortafuegos (FIREWALL)
Cuando se conecta un sistema Windows a Internet existe el peligro potencial de los protocolos SMB. Si hay carpetas compartidas SMB en la red que conecta a Internet, potencialmente cualquiera de los usuarios de Internet puede acceder a las carpetas o secuestrar sesiones. Además, hay problemas de seguridad intrínsecos a los protocolos. A continuación se describe como desactivar estos servicios apropiadamente: 1)Panel de Control/Red/Enlaces. 2)Seleccione Todos los servicios en la caja de texto correspondiente a Mostrar enlaces. 3)Expanda las opciones TCP/IP bajo las cabeceras: NetBIOS, Server y Workstation. 4)Seleccione el adaptador a desactivar y pulsar el botón Desactivar.
Consideraciones generales
No conviene que NT esté instalado en una máquina con arranque dual, ya que esto haría que muchas de sus garantías de seguridad perdieran efectividad. Es casi obligado que la partición del sistema sea NTFS. No hay ningún motivo por el que NT haya de instalarse en una partición FAT. Conviene dar a cada uno de los usuarios del sistema unas ciertas normas sobre el uso de la máquina que podría empezar con la frase de "Todo lo que no esté explícitamente permitido, está prohibido" y continuar explicando todo lo que está permitido. Si se dejan las cosas claras desde un principio, nos ahorraremos muchos quebraderos de cabeza. Administrador no hay más que uno. Aunque NT permite que haya varios administradores para tareas determinadas, es muy importante delimitar estas tareas al máximo si más de una persona administrará la máquina o dominio NT. A medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.
Los usuarios solo deben tener los privilegios necesarios para ser usuarios. En un exceso de celo, podemos cometer el error de limitar demasiado los privilegios de los usuarios. Esto hace que el usuario no pueda usar la máquina normalmente y perdamos de vista el objetivo por el que hacemos todo esto. Por otro lado, si los usuarios tienen excesivos privilegios (algunos administradores irresponsables lo permiten para no tener que hacer las cosas ellos y que las hagan los usuarios) nos podemos encontrar que por desconocimiento, experimentación o maldad se cause daño al sistema
El auditor profesional tiene claro lo que necesita saber a partir de las politicas de la empresa, y el por qué. Sus cuestionarios son vitales para el trabajo de análisis y síntesis posterior, el auditor conversará y hará preguntas "normales", que en realidad servirán para la completación sistemática de sus Cuestionarios, de sus Checklists, los cuales serviran para tomar medidas si fuesen necesarias o para aplicar plnes de contingencias.
Los Checklists deben o pueden ser contestadas oralmente, o solo seran un control no verbal de solo ticks, verificando en "terreno" si secumplen las normativas.
El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado para mas tranquilidad de él, lo que genera un clima mas relajado, pero dependiendo de la política de la empresa podría darse que un cuestionario conste de cruces ,marcas, cuestionarios en su presencia.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios adaptación correspondientes en las preguntas a realizar.
En nuestro caso podríamos aplicar el siguiente checklist, por ejemplo:
Políticas de Passwords :
El Administrador puede forzar a los usuarios a cumplir ciertas reglas en la configuración de sus cuentas. Algunas de las medidas más utilizadas son:
Longitud máxima y mínima de la contraseña.(cumple el largo dterminado) Duración máxima de la contraseña.(por ejemplo 6 meses) Histórico de la contraseña.(se guardan las contraseñas en desuso?) Bloqueo tras sucesivos fallos de login.
Combinación de caracteres en la contraseña. Otros objetivos del checklist podrian ser:
1) Auditoría de cuentas de usuario:
Inicio y cierre de sesión.
Acceso a ficheros, directorios o impresoras.
Ejercicio de los derechos de un usuario.
Seguimiento de procesos.
Inicio, reinicio y apagado del sistema.
2) Auditoría del sistema de archivos:
Rastrea sucesos del sistema de archivos
Los sucesos que se pueden auditar
Cambio de permisos y Toma de posesión.
3) Auditoría de impresoras:
Registro de sucesos de aplicaciones.
Registro de sucesos de seguridad.
Registro de sucesos del sistema
4) Seguridad en Red
Tipo de protocolos:
NetBEUI
TCP/IP
5) Y los mas basico es:
Cuenta por lo menos con la penúltima versión de Service Pack's
6) Cortafuegos
Tipo y características del cortafuego
La auditoria de Windows tanto NT como las otras versiones nos permiten descubrir intentos de acceso no autorizados. Tendrá que buscar un equilibrio ente los costos y beneficios derivados de la utilización de la auditoria, la cual oued estar a cargo de un auditor o encargado del area en cuestion, para salvaguardar los activos de la empresa. Los costos incluyen el impacto en el rendimiento(por ejemplo: a medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.) del sistema y en el espacio del disco. La herramienta básica de la auditoria de Windows NT es el visor de eventos. permite auditar eventos tanto fallidos como efectuados, como además de lo eventos relativos a los derechos de los usuarios.
Con el programa USRMGR.EXE podemos activar o desactivar la auditoria sobre los inicios y fin de sesión, acceso a objetos y archivos y uso de los permisos de los usuarios, gestión e usuarios y grupos, cambios de la directiva de seguridad , reinicializacion y apagado de sistema y rastreo de los procesos del mismo. Obviamente si no se asigna los derechos para "administrar los registros de auditoria de seguridad", no se podrán realizar ningún cambio.
Todo esto con el fin de, en caso de errores, filtracion de inflormacion, manipulacion incorrecta de datos, poder poner en marcha los planes de contingencia, tomar contramedidas ya preestablecidas, poniendose en el caso ¿qué pasaria si ?, lo cual estara a cargo de la gerencia y por supuesto, del encargado del departamento de informatica.
En fin, también podemos concluir que por muy seguro que sea Windows NT, a pesar de que podria eventualmente tener fallas, por esa razon mencionamos los Service Pack's, la seguridad depende del encargado del sistema, de la buena administrcion que pueda hacer la persona que este a cargo (que de permisos adecuados a la informacion , que verifique las claves, etc, cosa que se debe verificar con la auditoria), que por lo demas debe ser una persona calificada. De esta manera la auditoria se realizaria con mayor facilidad, eficacia y eficiencia, y con ello ver si los objetivos de control se cumplen o no, para asi determinar que recomendacion plantear a la gerencia y al departamento en cuestión.
Autor:
Victor Manuel Cerda Uribe.
vitorino00[arroba]hotmail.com
Página anterior | Volver al principio del trabajo | Página siguiente |