Defensa en profundidad (Defense in Depth) es una iniciativa que pretende aislar en capas y dividir en diferentes áreas las instalaciones con el propósito de hacer más difícil el acceso a nuestro último bastión, es decir, los servidores donde se contiene nuestra información.
Podríamos hacer la analogía con un Banco, donde nuestra información vendría a ser el dinero contenido en una bóveda. Para protegerlo desde la entrada ya vemos medidas de seguridad tales como barreras antigolpes de automóviles, cámaras, guardias, un área pública que podría ser la (DMZ). Mientras más nos acercarnos a la bóveda los controles se acentúan…
A continuación, algunas recomendaciones que nos propone DiD (Defense in Depth) en MSAT (Microsoft Assessment Tool) herramienta que, a través de un cuestionario, crea una pequeña línea base del estado de la organización, en algunos tópicos básicos de seguridad.
1- Firewalls
Representan un mecanismo de defensa inicial que debe abarcar toda la red. Las reglas que se apliquen a los firewalls deben ser altamente restrictivas y establecerse por host y servicio.
Al crear las reglas para los firewalls y las listas de control de acceso (ACL) de los routers, céntrese en primer lugar en proteger los dispositivos de control de acceso y la red frente a posibles ataques.
Asegúrese de que los datos sigan fluyendo mediante la utilización de ACL de red y las reglas para los firewalls.
Compruebe el funcionamiento de las reglas para los firewalls y las ACL de los routers para determinar si las reglas contribuyen a ataques de negación de servicio (Denial of Service, DoS).
Utilice uno o varios DMZ como parte del desarrollo sistemático y formal de firewalls.
Sitúe en esa ubicación todos los servidores a los que se puede acceder por Internet. Limite la conectividad de los DMZ.
2- Antivirus
Utilice soluciones antivirus en todo el ambiente: tanto en los servidores como en las computadoras de escritorio.
Utilice soluciones antivirus especializadas para tareas específicas, como detectores de virus para servidores de archivos, herramientas de análisis de contenido y detectores de carga y descarga de datos.
Configure las soluciones antivirus para que detecten virus que entren o salgan del sistema.
Estas soluciones deben instalarse primero en los servidores de archivos críticos y, a continuación, en los servidores de correo, de base de datos y de red.
En el caso de las computadoras portátiles y de escritorio, debe implementar una solución antivirus en el ambiente predeterminado.
Si utiliza Microsoft Exchange, utilice las funciones adicionales de antivirus y los filtros de contenido para los buzones de correo.
3- Redes privadas virtuales (VPN)
Utilice una VPN entre el perímetro de la red y los segmentos de red internos que necesiten más seguridad.
Utilice una VPN para asegurar los protocolos de texto sin encripción de los ambientes en los que se pueda detectar o modificar el tráfico de datos.
Para los usuarios remotos, debe usar una VPN que requiera autenticación de factores múltiples y que utilice tecnologías IPSEC, SSL y SSH para suministrar conectividad a los recursos necesarios de la red corporativa utilizando las reglas de control de acceso por usuario. Realice auditorías periódicas de la lista de acceso de los usuarios para el dispositivo VPN.
Puede limitar el acceso administrativo del dispositivo VPN para que quede exclusivamente dentro de la red corporativa.
4- Segmentación
Utilice segmentaciones para separar el acceso a extranets específicas para fabricantes, socios o clientes.
Cada segmentación externa de la red debe permitir que el tráfico sólo se dirija a los hosts y puertos de aplicaciones determinadas que proporcionan servicios a los clientes.
Asegúrese de que existan controles de red que permitan sólo el acceso necesario para cada conexión de terceros.
Limite el acceso de los servicios de red suministrados, así como el acceso entre los segmentos de red.
5- Contraseñas Complejas para Usuarios Administrativos
Ponga en práctica una política estricta para las cuentas administrativas mediante el uso de contraseñas complejas que cumplan estas condiciones:
Alfanumérica; mayúsculas y minúsculas; contiene al menos un caracter especial; contiene como mínimo 14 caracteres.
Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:
– Vencimiento de contraseñas
– Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos
– Registro del sistema
Además de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.
Utilice controles avanzados para la administración de las cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas).
6- Contraseñas complejas para usuarios estándar
Para las cuentas de usuarios, ponga en práctica una política que exija el uso de contraseñas complejas que cumplan estas condiciones:
– Alfanumérica
– Mayúsculas y minúsculas
– Contiene al menos un caracter especial
– Contiene como mínimo 8 caracteres
Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:
– Vencimiento de contraseñas
– Bloqueo de la cuenta después de 10 intentos de registro fallidos
– Registro del sistema
Además de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.
Utilice controles avanzados para la administración de cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas).
7- Contraseñas complejas para usuarios de acceso remoto
Ponga en práctica controles de contraseñas complejas para todos los usuarios de acceso remoto, independientemente de si el acceso se concede mediante tecnologías de marcación telefónicas o VPN.
Se considera que una contraseña es compleja si cumple estas condiciones:
– Alfanumérica
– Mayúsculas y minúsculas
– Contiene al menos un caracter especial
– Contiene como mínimo 8 caracteres
Ponga en práctica otro factor más de autenticación para las cuentas de acceso remoto.
Si lo desea, también puede utilizar controles avanzados para la administración de cuentas y el registro de acceso a las cuentas (no permita que se compartan cuentas).
Con respecto al acceso remoto, resulta especialmente importante proteger el ambiente mediante políticas estrictas de administración de cuentas, prácticas seguras de registro y funciones para detectar incidentes.
Para limitar aún más los riesgos de ataques de fuerza bruta a las contraseñas, puede poner en práctica los controles siguientes:
– Vencimiento de contraseñas
– Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos
– Registro del sistema
Para los servicios de acceso remoto también deben considerarse los sistemas que se utilizarán para acceder a la red o a los hosts.
Por tanto, podría resultar conveniente controlar los hosts con acceso remoto a la red.
8- Contraseñas complejas
La utilización de contraseñas complejas es un elemento fundamental para la defensa a profundidad.
Las contraseñas complejas deben tener de 8 a 14 caracteres e incluir caracteres alfanuméricos y especiales. Debe establecer una longitud mínima, un mantenimiento del historial, una duración límite y un plazo de vencimiento para reforzar la defensa.
Generalmente, el vencimiento de las contraseñas debe configurarse de la siguiente forma:
– Duración máxima de 90 días
– Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión
– Un historial de 8 contraseñas (mínimo de 8 días)
Además de las contraseñas complejas, la autenticación de factores múltiples es muy importante, especialmente para las cuentas administrativas y de usuarios remotos.
En todas las cuentas de usuario, se debe activar un proceso de bloqueo de cuenta tras 10 intentos de registro fallidos.
Los controles para bloquear una cuenta pueden variar; algunos sencillamente se dedican a los ataques de fuerza bruta a las contraseñas y otros requieren que un administrador desbloquee la cuenta.
Se aconseja activar el bloqueo en las cuentas administrativas, al menos para acceder a la red. Esto no permitirá que la cuenta se bloquee desde la consola, solamente desde la red
Es posible que esta solución no sea adecuada para todas las empresas, particularmente aquellas con sitios remotos.
En tales casos, lo más adecuado es que un administrador desbloquee la cuenta, de este modo que se evita que los ataques pasen desapercibidos durante un largo tiempo si no se dispone de otros medios para detectar fallas de autenticación.
Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas siguientes:
– Bloqueo de las cuentas administrativas y de acceso remoto después de 7 a 10 intentos de inicio de sesión erróneos.
– Bloqueo de las cuentas de usuarios regulares tras al menos 10 intentos de inicio de sesión erróneos.
– Requerir la intervención de un administrador para desbloquear las cuentas de acceso remoto y de administrador, y para reactivar automáticamente las cuentas de usuarios estándar al cabo de 5 minutos.
9- Creación de contraseñas para administradores
Por lo general, las limitaciones para crear contraseñas de administradores deben ser más estrictas que las que se aplican a las cuentas normales.
En Windows, debe crear contraseñas de 14 caracteres alfanuméricos que incluyan caracteres especiales para las cuentas administrativas (y las cuentas de servicio).
10- Paquetes de administración
Cuando se utilizan paquetes de administración, debe robustecer y asegurar físicamente las consolas administrativas.
Debe robustecer las terminales de trabajo de administración que controlan los servidores y dispositivos de la red.
Use conexiones SSH o VPN para proteger los protocolos de texto sin encripción.
Las terminales de trabajo de administración deben estar dedicadas a administradores de red y hosts específicos.
Pruebe todos los sistemas de administración que utilizan SNMP para asegurarse de que tengan los parches más recientes y que no utilicen cadenas de conexión automáticas de la comunidad.
Los sistemas compartidos no almacenan datos de administración específica.
Las terminales de trabajo compartidas no se pueden usar para administrar hosts ni dispositivos de red.
11- Archivo con la bitácora del uso
Los archivos con la bitácora del uso se configuran para que graben las actividades planificadas sin sobrescribir entradas.
Debe establecer un proceso automático de rotación de los archivos con la bitácora del uso cada día, así como la descarga de los archivos a un servidor seguro en la red de administración.
Limite el acceso a los parámetros configurados y a los archivos con la bitácora del uso para evitar que sean modificados o eliminados.
Los archivos con la bitácora del uso se deben revisar periódicamente para detectar actividades sospechosas o anómalas.
La revisión debe extenderse al funcionamiento, mantenimiento y a la seguridad de los sistemas.
Para sacar más partido de esta revisión, debe utilizar un software de correlación de eventos y de análisis de tendencias.
12- Proceso de creación para parches
Mantenga procesos de armado mediante los parches y configuraciones cerradas recomendadas del fabricante.
Compruebe este proceso periódicamente.
Utilice procedimientos para robustecer los hosts con el objeto de corregir y configurar correctamente los servicios y las aplicaciones de cada host.
Desactive todos los servicios y las aplicaciones que no necesite.
Deben robustecerse las terminales de trabajo instalando los parches recomendados, retirando también todos los paquetes y servicios que no sean necesarios y evaluando los permisos de los archivos.
Incluya medidas de robustecimiento de los hosts en los procedimientos estándar de creación de terminales de trabajo.
13- Terminales de trabajo
Las terminales de trabajo son un elemento fundamental en la defensa de cualquier ambiente, sobre todo si hay usuarios remotos o itinerantes que se estén conectando.
Herramientas como firewalls particulares, antivirus y software de acceso remoto son imprescindibles en todas las terminales, donde deberán configurarse correctamente.
Ponga en práctica un procedimiento que exija una revisión periódica de estas herramientas para asegurarse de que la configuración refleje los cambios en las aplicaciones y los servicios usados y que, al mismo tiempo, garantice la solidez de la terminal de trabajo ante los ataques.
13 noviembre, 2008 a las 05:41
te olvidaste de las Vlan …. es algo demasiado importante, como para dejarla de lado…..
salu2
Ddaz
6 julio, 2011 a las 00:19
Creo que dentro de segmentación se puede contemplar a las VLAN