Embed Size (px)
Citation preview
Centro de Estudios Tecnológicos Industrial y
Servicios No. 127/ Servicios de seguridad /
Daniel Valdez
Seguridad corporativa Políticas de seguridad
.Qué son y cómo se aplican las políticas de seguridad
Las políticas de seguridad son reglas establecidas para el dominio de nuestra empresa. Existen políticas de:
• usuarios • máquinas.
Las primeras restringen las acciones de los usuarios una vez que ingresan en la red.
Al aplicar políticas de máquinas, tenemos la opción de estandarizar las propiedades de las PCs de escritorio y los servidores para que tengan una configuración general única; es decir que cualquier usuario que use la máquina tendrá las mismas configuraciones.
En muchos casos, deberemos crear estas reglas por pedido de los departamentos de Seguridad o de Recursos Humanos.Utilizamos la herramienta denominada GPMC {Group Policy Management Consolé) de Microsoft para efectuar esta tarea.
Como instalar la consola GPMC
1.- Conéctese al equipo que sea controlador de dominio (Active Directory), vaya al botón Inicio y abra el Panel de control. Ingrese en la opción Activar o desactivar las características de Windows.
2 - Para continuar, oprima el botón derecho del mouse sobre la opción llamada Características del árbol y elija Agregar características.
3.- Marque la opción Administración de directivas de grupo para agregar la nueva función que le permitirá administrar las políticas de! dominio.
4.- Oprima el botón instalar para comenzar la instalación y espere unos minutos.
5.- Luego, compruebe que la instalación se realizó con-ectamente expandiendo el árbol debajo de Característica/Administración de directivas de grupo.
La consola conocida como GPMC se conectará a un controlador de dominio para mostrar la configuración del dominio Active Directory.
Las políticas se aplicarán a todos los objetos que estén en la OU configurada.
La carpeta se denomina Objetos de directiva de grupo. Una vez creada una política, se puede conectar o desconectar de distintas OU que necesitemos. Las políticas aplicadas a una máquina pueden chequearse desde la línea de comandos de la siguiente manera:
C:\>GPRESULT IR
Este comando muestra un listado con las configuraciones de políticas de cada máquina y las configuraciones de políticas de usuario que tenga la PC o el servidor en donde se ejecute.
En ciertos casos, deberemos reiniciar el equipo para lograrlo. También podemos forzadas a actualizarse usando el siguiente comando:
C:\>GPUPDATE
A continuación, aprenderemos a publicar un paquete de software para todas las máquinas de la red y a configurarlo para que se instale al iniciar el sistema mediante una política de seguridad. En el Netlogon podemos publicar scripts y paquetes de instalación para que sean accedidos por cualquier usuario de la red. Para acceder al Netlogon y copiar un archivo, sólo será necesario que escribamos el comando \\nombredominio.com\netlgon en el menú Inicio del sistema operativo, desde la opción denominada Ejecutar.
m
j
Debemos crear un script de instalación, guardarlo en la misma carpeta del Netlogon y, como último paso, crear una política que corra el script al inicio del sistema desde la consola GPMC. El script debe crearse utilizando un editor de textos.
Crear una política y conectarla a una OU
1.- Vaya al menú Inicio/Ejecutar y escriba el comando notepad.exe, para abrir el editor de texto.
2.- Para continuar, será necesario que escriba el siguiente texto en el editor de notas del sistema operativo: @echo off. Luego escriba (para el ejemplo que mencionamos más arriba):
\\nombredominio.com\netlogon\carpetaaplicacion\aplicacion.exe. Por último, guarde el archivo utilizando el menú adecuado.
3 - Renombre el archivo para cambiar su extensión .TXT por .BAT o guárdelo desde el editor de notas con esa extensión. A continuación, muévalo para ubicarlo en la carpeta de la aplicación en el Netlogon.
-
4.- Vaya a Inicio/Ejecutar. Escriba gpmc.msc para abrir la consola de comandos.
1 3
5.- Posiciónese en Objetos de directiva de grupo y elija la opción Nuevo.
6 - Escriba un nombre para la política y oprima el botón Aceptar. Deje la lista desplegable de abajo como está por defecto.
—m
7.- Vaya a la política recién creada y posteriormente haga clic con el botón derecho del mouse en ella. Elija Editar para poder configurarla.
8.-A continuación, expanda el árbol de Configuración del equipo y luego diríjase a la sección denominada Configuración de Windows. Expanda nuevamente el árbol y elija la opción llamada Scripts. En el lado derecho de la pantalla haga clic derecho sobre Inicio y escoja la opción Propiedades.
[Editar s c r i p t m
H^Vdoffiinto comVneHoi>DrA«p),xacion\^5fcsc!one«3iH ínmmim..
i
Cancelar
9.- Para continuar, oprima el botón denominado Agregar y
posteriormente escribir la ruta dei script; en este caso
deberá copiar la que se muestra a continuación:
\\dominio.com\netloqon\apl icacion\apiicacion.bat.
10.- En este paso deberá oprimir el botón Aceptar, luego de lo cual tendrá que cerrar la pantalla de edición. En la consola posiciónese donde quiera conectar la política. Para todas las computadoras de escritorio, ubiqúese en la OU denominada Computadoras. Para continuar, haga clic con el botón derecho delmouse y elija la opción Vincular un GPO existente.
Ctear m '3*0 en este darninio y vinculdrb aquí.
Vinoiar un '3P0 aastprite, , ,
. c-e direc-rvav de gi
Ayuda
11.- Elija la nueva política antes creada del listado que figura en pantalla y finalmente haga clic sobre el botón llamado Aceptar.
Una vez que se reinicie el sistema, se comenzará a instalar la aplicación con las credenciales de un usuario administrador, se llamará al script y se ejecutará en forma oculta.
Políticas avanzadas para Windows 7 y Windows Server 2008
Otro cambio importante es que tenemos la opción de restringir los diseños de las contraseñas para distintos tipos de usuarios. El diseño es la estructura que definimos para que una clave exista.
Seguridad física en los centros de cómputos
La seguridad física es muy importante para la administración. El centro de cómputos es el lugar en donde se conectan tos equipos servidores que nosotros administramos.
Tiene un piso técnico (piso flotante por debajo del cual se pasan los cables), racks, armarios, un equipo de control de temperatura, otro para control de energía y uno para controlar incendios.
Es preciso controlar el indicador de temperatura, ya que un equipo puede generar demasiado calor, más del soportable, y hasta alguno puede quemarse. Los racks son capaces de albergar servidores y switches, consolas para conectarse a los equipos y pacheras. Deben estar bien ventilados, refrigerados y ordenados para que todo funcione correctamente. No sólo tenemos servidores que resguardar, sino todo un grupo de elementos físicos que son muy importantes. Debemos protegerlos, entonces, contra intrusos, desastres naturales, incendios, sabotajes, y otros factores. Necesitamos ser cuidadosos con el acceso de intrusos, porque puede haber un sabotaje a los servidores y, también, ataques mucho más graves.
Como administradores, podemos restringir el acceso de varias formas. Una es utilizar un lector de tarjetas magnéticas, un escáner de iris o de mano, o un simple guardia.
Otra amenaza importante son los incendios, que pueden originarse de varias maneras, motivo por el cual es necesario estar preparados. El piso, el techo y las paredes deben estar creados con materiales ignífugos y no tiene que haber ningún elemento inflamable dentro del centro.
Una buena práctica sería llenar un formulario diario, y hacerlo llegar a todos los administradores y responsables cada día.
• Al iniciar el día, imprimimos un formulario y vamos hasta el centro de cómputos. Anotamos todo el control en él.
Verificamos en primer lugar que no haya luces rojas en tos servidores. Si las hay, abrimos el panel de luces y buscamos información que indique la causa.
• Comprobamos ahora que no haya luces naranjas en los servidores. Si las hay, buscamos otra vez las causas y completamos el formulario.
• Nos dirigimos al panel de control de electricidad y en él verificamos en forma cuidadosa que no haya ningún indicador encendido.
• Vamos hasta el controlador de temperatura del centro de cómputos y verificamos que esté en 22 grados o por debajo de ese valor.
• Entramos en la consola de monitoreo lógico y verificamos las alarmas del día.
Plan de contingencias El plan de contingencias nos dice qué hacer en caso de que ocurra una situación no deseada. Tiene que contener todas las tareas que debemos realizar para que el centro de cómputos vuelva a su estado original y operativo. El plan contempla posibles incendios, catástrofes, cortes de luz, sabotajes, etc. La capacidad para
- recuperarse exitosamente de un desastre en un corto período es crucial para el negocio. Indica las salidas de emergencia, la ubicación de los manuales de emergencia, los procedimientos por seguir, los responsables y los teléfonos a donde llamar. Podríamos hacerio teniendo en cuenta los siguientes puntos: • Pensar en los posibles desastres que pueden ocurrir e identificar los riesgos que la empresa afrontaría en caso de que sucediera alguno.
• Aplicar los conocimientos sobre los sistemas de la empresa, y jerarquizar las aplicaciones en críticas y no críticas.
• Establecer los requerimientos de recuperación.
• Implementar el plan de contingencias, realizar pruebas y simulacros para verificar que los procedimientos son los indicados antes de que sea tarde.
• Difundir el plan de contingencias en la empresa mediante comunicaciones masivas e indicadores.
La ejecución y puesta a punto del plan de contingencias es responsabilidad nuestra y de toda la empresa.
Normas de seguridad
En esta sección veremos normas que están en el mercado y nos permiten certificarnos en calidad (ISO9001), en seguridad (ISO27001) y en buenas prácticas {1SO20000). ITIL no es una certificación propiamente dicha, pero las
^ empresas están aplicando los procedimientos descriptos como tal.
Normas ISSO 9001 y 27001
Las normas ISO 9001 y 27001 son estándares elaborados por la Organización Intemacional para la Estandarización, una federación intemacional de los institutos de normalización de 157 países. La norma ISO9001 especifica los requerimientos para un buen sistema de gestión de la calidad.
La norma 1SO9001 nos da una gran ayuda para mantener una guía de calidad en nuestro trabajo. Aplicarla hasta los límites que podamos hacerlo seguramente nos gratificará tarde o temprano. La norma ISO9001:2008 se compone de ocho capítulos
CAPITULO DESCRIPCION
l Guías y descripciones generaíes 11 NonnatÍ¥3s de referenda
III Términos y definiciones
IV Sistema de pstión
V Responsabilidades de la Dirección
VI G^fión de los recursos
VI! Realización del producto
Vlli iallcióf!, análisis y ÜKJOT
La norma 27001 gestiona la seguridad. Se basa en un Sistema de Gestión de la Seguridad de Información, también conocido como SGSI. Este sistema, bien implantado en una empresa, nos permitirá hacer un análisis de los requerimientos de la seguridad de nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo.
ISO 27000 - Estructura
Biratégico • Seguridad oiganízativa • Segundad lógica • Seguridad física • Seguridad legal
Operativo
GesUón de Incidentes d" de la informacisn
z.
Adquisición, desarrollo y mantenimiento de
sistemas de intormncion ?
r ' " s
Nuestro objetivo ai aplicar esta norma tiene que ser asegurar la confidencialidad, integridad y disponibilidad de la información para nuestros empleados, clientes y cada persona que intervenga en el negocio.
ITIL y la norma ISO20000
ITIL proviene del inglés Information Technology Infrastructure Library, biblioteca de infraestructuras de tecnologías de la información. Es un marco de referencia de mejores prácticas para gestionar operaciones y servicios de IT.
Mejora Continua del Seríicio
Oparacion del Setvido
Diseño
Estratega oelSavlcle
Mejora Continua de! Senido
Mejora Continua dei Servicio
TtarKtaon
La ISO20000 fue publicada en diciembre del año 2005. Debemos tener en cuenta que la norma se divide en tres partes: la primera se encarga de realizar la definición de los requisitos necesarios para diseñar, implementar y mantener la gestión de servicios IT de una empresa; la segunda nos enseña cuáles son los mejores procedimientos para los procesos de gestión de servicios, las mejores prácticas codificadas según el mercado; y por último, la tercera parte es una guía sobre el alcance y la aplicabilidad de la norma correspondiente.
Antivirus corporativos
Las máquinas de escritorio podrían ser las primeras en infectarse con un virus y podrían originar un ataque masivo a nuestra red. Entonces, los servidores y la continuidad del negocio sin duda se verían afectados. Los antivirus corporativos son una evolución de los comunes, usados fuera de una red empresarial. Tienen una configuración centralizada y varios módulos que detallaremos a continuación.
Características de los antivirus corporativos
Sin dudas, la evolución de los antivirus nació con el estudio de los de escritorio. Es por eso que los de servidores son mucho más potentes, tienen más opciones, más configuraciones, y abarcan la seguridad de la empresa como un todo. Además,
centralizan información de toda la red y las descargas de actualizaciones, muy importante para unificar la seguridad. Incorporan todo un grupo de elementos, por ejemplo: antivirus, firewail, antispyware, antispam, analizadores de tráfico de red, etc.
Estos antivirus nos aseguran tener una administración centralizada. Habrá un servidor central, que administre los clientes instalados en servidores y máquinas de escritorio. Los clientes, al querer actualizarse, buscarán las actualizaciones adecuadas en el servidor central de la empresa antes de hacerlo en Internet.
Infraestructura de los antivirus
Las soluciones de antivirus corporativos tienen varios servicios que debemos instalar. Es preciso proteger toda la infraestructura: servidores, máquinas de escritorio, accesos y egresos. Los servidores y las máquinas de escritorio tendrán instalados clientes, que reportarán a un servidor central, el cual será exclusivo de la aplicación de seguridad.
Rouíer
Cliente A Cliente B
Firewail
Conmutador/Hub
Cliente C Symantec Endpoint Securfly Manager con base de datos integrada
Figura 14. Este gráfico muestra cómo se vería nuestra infraestructura
de antivirus en un amWerrte chico, sin ¡Uvisión de servicios, sin replicación.
El servidor es parte de nuestra red y está de frente a los clientes, sin ningún tipo de firewail en el medio. Si nuestra empresa es más grande, tendremos el gráfico de la Figura 15.
Conmutación por error y batanceo de carga
Symantec Encipoínt Protectton fvianager
Clientes
m Switch Symantec Endpoint
f Switch Protíjction IMat>ager
Figura IS. Si rtuestra empresa es más grande, ta instalación requerirá de dos o más servidoras fiara controlar la gran cantidad
de clientes en la red. y otro más paca almacenar ¡os datos.
Crear un reporte programado con Symantec
1.- En el servidor de Symantec Endpoint Security Manager diríjase a inicio/ Programas, y abra la consola de administración de Symantec.
2.- Para continuar, será necesario que oprima sobre el icono correspondiente a la opción denominada Reports, ubicado en la barra de herramientas del lado izquierdo, y elija la solapa Scheduied Reports.
3.- Haga clic en Add para programar un nuevo reporte. Complete el nombre, una breve descripción, elija cada cuánto se va a repetir, e indique una fecha de inicio y un filtro en la lista desplegable Use a saved filter.
a*3 3
4- En este paso deberá seleccionar el tipo de reporte deseado en el menú desplegable llamado Report Type. En este caso, es Computer Status Report, para crear un reporte de estado de clientes.
5.- A continuación, cree un reporte de definición de actualización. Para hacerlo, del menú desplegable Select a Report seleccione el reporte de estado Virus Definition Distribution.
Por último, complete un e-mail y oprima OK para guardar el reporte creado.
Firewalls corporativos
Según estadísticas del IDC (International Data Corporation), el FBI (Federal Bureau of Investigation), la CIA (Central Intelligence Agency) y de varios organismos más, el 98% de las empresas cuenta con algún sistema de firewail. Los firewalls son las puertas de entrada a nuestra empresa, por lo que debemos controlar el acceso de la manera adecuada, como controlamos el ingreso a nuestra casa.
Firewalls físicos y lógicos
Estos sistemas están diseñados para bloquear el acceso no autorizado por ciertos canales de comunicación en nuestra red. Pueden limitar el tráfico y también cifrarlo, para ocultar datos hasta el destino. Otra función importante es que se los puede utilizar como gateways (puertas de enlace) entre distintas redes. Sin la seguridad del firewail, el tráfico sería un caos, y cualquier paquete de información podría llegar a cualquier puerto de nuestro servidor y, así, entrar sin permiso a la red.
Este tipo de firewalls son físicos (hardware). Pueden bloquear conexiones por puertos o direcciones de IP o MAC, pero no, una máquina que cambia de dirección IP constantemente. Entonces, si dentro de un protocolo HTTP queremos bloquear todas las conexiones a los sitios que contengan la palabra virus, los firewalls físicos podrán bloquear sólo direcciones de IP, por lo que tendremos que cargar continuamente direcciones por ser bloqueadas según una búsqueda previa. Es allí donde nos encontramos con los firewalls lógicos, que trabajan a nivel de aplicación, dentro de cada protocolo. Entonces, para bloquear estos sitios, precisamos configurar una regla que nos diga que se cierren todas las conexiones en donde el nombre del sitio por conectar contenga la palabra virus.
Los proxys son programas o dispositivos que realizan una acción en nombre de otro. Son intermediarios de comunicación, y es ahí donde actúa el firewail. Los dispositivos de nuestra red no se conectan directamente a Internet, sino que lo hacen a través del proxy.
Desired Internet Connectivity
t'4rt' I iri I-' trabajo
Definición de reglas de seguridad
La definición de reglas en los firewalls no es nada más y nada menos que establecer un bloqueo o una habilitación de cierto protocolo y puerto. Hay dos políticas básicas y formas de realizar las configuraciones que tienen que ver con la filosofía de ía seguridad dentro de la empresa:
• Política restrictiva
• Política permisiva
Adoptando la primera, debemos denegar todo el tráfico excepto el que esté explícitamente permitido. Entonces, cerramos todos los puertos de comunicación, y habilitamos los protocolos y los puertos que utilicemos. La segunda es un poco más blanda, ya que con ella permitimos todo el tráfico excepto el que esté explícitamente denegado; es decir que dejamos todos los puertos abiertos y bloqueamos sólo aquellos que nos parezcan una amenaza.
