Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Durmiendo con el enemigo

Posted by Sebastián Criado en Domingo, noviembre 19, 2006 23:56

SeguridadLa seguridad perimetral parece ser la única preocupación que las empresas tienen, siendo que la mayoría de las incursiones (o mejor dicho ataques) comienzan en el interior. Una serie de medidas podrían salvar a la organización de dolores de cabeza futuros.
Segurisar implica un análisis exhaustivo de los riesgos, los puntos de acceso, las medidas de prevención físicas y las actividades de la organización.

Comenzando con los puntos de acceso a redes se tiene que evaluar cuales son y como se utilizan. Es común disponer de Internet por medio de un acceso permanente como un ADSL o una punto a punto. También es posible que se acceda a otras redes por otros sistemas como radio o modem.

En este punto hay que tener especial cuidado con los puestos de trabajo que disponen de modems integrados en las placas base. De nada sirve tener un super-ultra-archi-firewall si un empleado puede conectar el modem de su computadora y acceder a internet con ella. Se preguntaran por que quería hacer esto y un ejemplo puede ser que existiendo medidas preventivas de acceso a internet desde el punto de acceso principal (proxy restringido) un usuario quiera acceder a un sitio el cual o está restringido o no quiere que nadie se entere. Aun siendo sin intención este empleado podría estar poniendo en peligro a la red interna de la organización dado que se estaría conectando con una máquina la cual no tiene las medidas de seguridad necesarias para evitar infecciones de virus, gusanos o troyanos que pueden obtener información que podrá ser usada por un atacante.

La forma de resolver esta situación es simple. En caso de tener un modem integrado, desactivarlo desde la BIOS y ponerle password a la misma, en caso de que el modem no sea uno integrado, sacarlo.
Puede pasar que sea necesario el acceso por modem a otra red y a su vez que se pueda tener acceso a la red interna.

Para solucionar el problema, el equipo tendría que se colocado en un área desmilitarizada (DMZ) y solo dejar que se conecte a la red interna a los equipos y puertos que necesite. Igualmente, la mejor forma de controlar una situación como esta es dejar al equipo fuera de la red interna y que se accedan a servicios mediante una VPN autenticada y cifrada.

Con respecto a la seguridad física se tiene que tener especial cuidado en la estructura de conexión a la red interna (cableado, switch, etc) y la ubicación de los servidores. Con el tema del cableado una medida simple es no tener pacheados los conectores que no van a ser usados, de esta forma evitamos que cualquiera pueda conectar su equipo. También se tendrían que tomar medidas con los switch usados buscando que los mismos permitan hermanar MAC’s con el puerto que se conectan de forma que no puedan ser usadas por otras máquinas.

Existen switch que permiten autenticación antes de dejar que se utilicen recursos de la red, de está forma se pone una barrera más para algún tipo de atacante.

El cableado a utilizar tendría que quedarse dentro de la organización , donde pueda vigilarse, y los mismos tendrían que estar empotrados y no expuestos. Hacer conexiones por el exterior es un peligro si no pueden controlarse ya que alguien podría estar “pinchando” el cable sin que nos demos cuenta.
Una medida que puede avisarnos cuando alguien a conectado un equipo sin nuestra autorización, es el uso de herramientas como Arpwatch, la cual nos avisara si hay actividad ethernet que no tengamos registrada.

Segmentar la red intena en multiple rede conectadas por medios de gateway nos permitirá tener un mayor control ante accesos no autorizados. Ej. Si planta no tiene que conectarse con ninguna máquina de tesorería, entonces para que permitirle hacerlo.

La ubicación de los servidores tiene que ser en un lugar con acceso restringido. Si no se cuenta con espacio para una sala de servidores, el uso de una jaula hecha a la medida necesaria, permitirá restringir el acceso de personal no autorizado. Aunque no tenga que ser a propósito, no va a ser la primera vez que se hace un DoS por que alguien necesitaba conectar algún artefacto y no tenía enchufe libre.
También evitaremos que alguien que quiera venganza, descargue su furia a masasos contra los server de la organización.

Los servidores tendrían que tener un firewall también para su conexión a la red interna, cone el mismo daremos acceso a los servicios del servidor a quienes lo tengan que tener y evitar que accedan a los que no queres.

Si se cuenta con una sala (data center), la misma tendrá que tener medidas especificas de seguridad como detectores de humo, matafuegos de gas alón o FM–200 (este último más recomendable ya que no daña la capa de ozono) los cuales no dañan los componentes electrónicos como los extintores de polvo. También sería necesario contar con un ambiente controlado el cual no tenga una elevada temperatura. Para esto puede usarse un equipo de aire acondicionado común, pero es más recomendable la compra de equipamiento de control de ambiente especifico para un área de servidores los cuales no queda apagados cuando se corta la energía eléctrica.Las UPS son imprescindibles si se quiere tener funcionando los servidores cuando falla la energía.

Las actividades de la organización tienen que ser conocidas para saber que es lo que se tiene que securisar y los riesgos que se tienen. No es lo mismo un banco que una fábrica.
También se tienen que conocer las actividades de los empleados de la organización a fin de ver cuales son sus costumbres de ingreso a internet y como acceden a ella. Se tiene que tener especial cuidado con los puestos que tengan medios para sacar información de los equipos. Discketeras, grabadoras de CD/DVD, conectores USB, etc.Se tendría que contar con un sistema de detección de intrusos (IDS) tanto para el punto de acceso a otras redes como Internet como con la red interna. De esta forma, con una serie de reglas, podremos ver si se esta realizando un acceso no autorizado desde la propia red interna.

Aquellas personas que no necesiten tener que usar estos dispositivos, tendrían que tenerlos desconectados o mejor, que no existan en el equipo.
Todo esto no es más que un resumen y como puede verse, las medidas necesarias para securizar una red son mucho más que poner un buen firewall o un antivirus centralizado y en estaciones de trbajo.

La seguridad implica un trabajo arduo y que siempre necesita tener alguien que le este echando un ojo.

Las barreras de ayer podrían ser fácilmente franqueables mañana.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: