• Author / Uploaded
• Luis Alfredo Perez Santana

Citation preview

SEGURIDAD DE UN SERVIDOR Un servidor de seguridad es un sistema de seguridad que actúa como límite de protección entre una red y el mundo exterior. Servidor de seguridad de conexión a Internet (ICF, Internet Connection Firewall) es software de servidor de seguridad que se utiliza para establecer restricciones en cuanto al tráfico que se permite que entre en la red desde Internet. ICF protege la red contra amenazas externas al permitir que el tráfico de red seguro pase a la red a través del servidor de seguridad y denegar la entrada de tráfico no seguro. ANTECEDENTES Procesamiento central (Host).- Uno de los primeros modelos de ordenadores interconectados, llamados centralizados, donde todo el procesamiento de la organización se llevaba a cabo en una sola computadora, normalmente un Mainframe, y los usuarios empleaban sencillos ordenadores personales. Los problemas de este modelo son: 

Cuando la carga de procesamiento aumentaba se tenía que cambiar el hardware del Mainframe, lo cual es más costoso que añadir más computadores personales clientes o servidores que aumenten las capacidades.

 

El otro problema que surgió son las modernas interfaces gráficas de usuario, las cuales podían conllevar a un gran aumento de tráfico en los medios de comunicación y por consiguiente podían colapsar.

Grupo de Servidores.- Otro modelo que entró a competir con el anterior, también un tanto centralizado, son un grupo de ordenadores actuando como servidores, normalmente de archivos o de impresión, poco inteligentes para un número de Minicomputadores que hacen el procesamiento conectados a una red de área local.

Los problemas de este modelo son: 

Podría generarse una saturación de los medios de comunicación entre los servidores poco inteligentes y los minicomputadores, por ejemplo cuando se solicitan archivos grades por varios clientes a la vez, podían disminuir en gran medida la velocidad de transmisión de información.

La Computación Cliente Servidor.- Este modelo, que predomina en la actualidad, permite descentralizar el procesamiento y recursos, sobre todo, de cada uno de los servicios y de la visualización de la Interfaz Gráfica de Usuario. Esto hace que ciertos servidores estén dedicados solo a una aplicación determinada y por lo tanto ejecutarla en forma eficiente.

OBJETIVOS DE SEGURIDAD DE UN SERVIDOR Confidencialidad La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad. Integridad Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información

Disponibilidad Para aumentar la disponibilidad del servidor de seguridad, puede implantarse como un único dispositivo con o sin componentes redundantes o como un par de servidores de seguridad redundantes con algún tipo de mecanismo de equilibrio de carga y/o conmutación por error. Las ventajas e inconvenientes de estas opciones se describen en las subsecciones siguientes. Servidor de seguridad único sin componentes redundantes La ilustración siguiente representa un servidor de seguridad sin componentes redundantes:

Servidor de seguridad único sin componentes redundantes Ventajas Entre las ventajas de un servidor de seguridad único se incluyen: • Bajo costo Puesto que se trata de un solo servidor de seguridad, los costos de hardware y licencias son bajos. • Administración simplificada Se simplifica la administración, puesto que sólo hay un servidor de seguridad para el sitio o la empresa. • Origen de registro único El registro del tráfico está centralizado en un dispositivo. Inconvenientes Entre los inconvenientes de un único servidor de seguridad sin redundancia se incluyen: • Punto único de error

Hay un solo punto de error para el acceso de entrada y salida. • Probable cuello de botella de tráfico Un único servidor de seguridad podría ser un cuello de botella de tráfico, según el número de conexiones y el rendimiento requerido.

IDS MAS ANTIGUO 1. Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente. Sistema de detección de intrusos en la red Un "sistema de detección de intrusiones en la red (NIDS)" controla el tráfico en una red en busca de actividad sospechosa, lo que podría ser un ataque o una actividad no autorizada. Un servidor de NIDS grandes se puede configurar en una red troncal, para controlar todo el tráfico, o los sistemas más pequeños se puede configurar para controlar el tráfico de un determinado servidor, switch, gateway o router. El servidor de NIDS también servidor de un papel proactivo en lugar de una función de protección o reactivos. Los usos posibles incluyen el escaneo firewalls locales o servidores de red para cualquier posible intrusión, o para el análisis del tráfico en vivo para ver lo que realmente está pasando. La ventaja principal de esta técnica radica en la facilidad de actualización y también en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes “CE63D1D2 16E713CF”, cuando se colocan al inicio de una transferencia de datos UDP, indican un tráfico Back Orifice con una contraseña predeterminada. Aunque el 80% de las intrusiones utilicen la contraseña predeterminada, el 20% utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por el N-IDS. Por ejemplo, si la contraseña se cambia a "evadir", la serie de bytes se convertirá en "8E42A52C 0666BC4A", lo que automáticamente la protegerá de que el N-IDS la capture. Además, la técnica inevitablemente conducirá a un gran número de falsas alarmas y falsos positivos.

IPS EN AUGE

ADS NOVEDOSO SEGURIDAD DE INFORMACION R-GUARD es una herramienta confiable de seguridad de datos para controlar los derechos de acceso avanzados, el cifrado y la auditoria, y que los lleva más allá del alcance de los servicios de seguridad estándares de Windows.

COMO SE MIDE EL RIESGO EN SERVIDORES

“Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “huecos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de

desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. Tanto los piratas informáticos y sus herramientas son cada vez más sofisticados y omnipresentes, obligando a las empresas que para garantizar que sus sistemas estén siempre al día para defenderse de nuevos ataques. Con el servicio de “Hardening” de Sistemas, su compañía, además, puede protegerse contra las pérdidas financieras asociadas con el tiempo de fuera de servicio del sistema, el robo de la propiedad intelectual, el robo de información de clientes y la publicidad negativa. Sistemas Soportados      

Linux Router y Switches MSSQL Database UNIX Server Windows Desktop Windows Server

Beneficios Nuestro sistema integral de servicio de endurecimiento ayuda a su empresa lograr lo siguiente:     

Asegura que los recursos críticos tengas los “patches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Habilitar el despliegue rápido de una configuración de referencia base segura y fácil de auditoría de un servidor para cambios inesperados. Mejora la seguridad de sus sistemas "tanto como sea posible en previsión de una auditoría externa próxima Garantiza la continuidad del negocio mediante la prevención de virus y troyanos se propaguen en sus sistemas. Reducir los riesgos asociados con fraude y el error humano. CONCLUSION

   

Todo sistema es susceptible de ser atacado, por lo que conviene previnir esos ataques. Conocer las técnicas de ataque ayuda a defenderse más eficientemente. Elegir SISTEMAS OPERATIVOS con poco énfasis en la seguridad, puede suponer un auténtico infierno. La seguridad basada en la ocultacion no existe.

UN SERVIDOR SIN SEGURIDADA NO SIRVE Buenas políticas de seguridad para servidores windows Consideraciones básicas de seguridad • Deshabilita los usuarios de invitado (guest)

En algunas versiones de windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad. • Limita el número de cuentas en tu servidor Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuarios regularmente. Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker. • Limita los accesos de la cuenta de administración El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a la cuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo “ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué. • Renombra la cuenta de administración Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios. • Crea una cuenta “tonta” de administrador Esta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos. Monitorea la utilización de la misma. • Cuidado con los privilegios por omisión para los grupos de usuarios En el contexto de windows existen grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos. • Coloca las paticiones con NTFS Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes. • Configura políticas de seguridad en su servidor y su red Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de microsoft. • Apaga servicios innecesarios en el servidor Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise servicios como: IIS, RAS, terminal services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario

auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted. Algunos servicios a revisar son los siguientes: Computer Browser Microsoft DNS Server Netlogon NTLM SSP RPC Locator RPC Service TCP/IP NetBIOS Helper Spooler Server WINS Workstation Event Log • Cierra el acceso a puertos que no se están utilizando Los servidores son el principal objetivo de un atacante. Una de las estrategias más utilizadas a la hora de localizar una víctima es verificar los puertos que la misma tiene abierta. Por ello, verifique el archivo localizado en: %systemroot%\drivers\etc\services. Configure sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red. Una recomendación general es habilitar específicamente tráfico TCP e ICMP, para ello seleccione la opción de UDP y protocolo IP como permitido únicamente y deje los campos en blanco. Puede conseguir en las páginas de microsoft los puertos abiertos por omisión para el sistema operativo que tiene instalado. • Habilita la auditoría en su servidor La forma más básica para detectar intrusos en un sistema operativo microsoft es habilitar las auditorías. Esto le brindará alertas en aspectos de seguridad muy importantes como: cambios en las políticas de seguridad, intentos de rompimiento de claves, accesos no autorizados, modificaciones a privilegios de usuarios, etc. Como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema. Es importante que registre tanto los eventos exitosos como los fallidos ya que ambas le indicaran que una persona no autorizada está tratando de realizar actividades en su servidor. • Coloca protección a sus archivos de registros de eventos Por omisión los archivos de eventos no están protegidos es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores. De lo contrario un atacante podrá fácilmente eliminar sus huellas luego de un ataque. • Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema En windows por omisión cuando se presiona CtrlAltDel aparece el último usuario que utilizó el equipo esto hace muy fácil obtener el nombre de la cuenta de usuario de administración, el atacante puede utilizar sus habilidades para adivinar o crackear la contraseña del usuario. Este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad. • Verifica los parches de seguridad que libera microsoft mensualmente Microsoft libera boletines de seguridad mensualmente indicando parches para sus sistemas operativos, es indispensable estar al tanto de los mismos y aplicar metódicamente para evitar ser víctima de ataques conocidos y ya reparados. Usted puede suscribirse a listas de actualización en las que le indicaran qué parches están

disponibles y en dónde descargarlos. • Deshabilita las carpetas compartidas por omisión que no son necesarias Colocando net share en la línea de comando del prompt podrás conocer las carpetas compartidas. • Deshabilita la opción de creación del archivo dump Aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones. Puedes deshabilitar esta opción en: panel de control, sistema, propiedades, avanzadas, recuperación y reinicio. Allí deshabilita la opción “escribir información de fallas” a ninguna. Si necesitas conocer las causas de una falla recurrente en el servidor siempre puedes volver a habilitar la opción y verificar qué está sucendiendo. Si lo haces recuerda eliminar los archivos que se creen después de utilizarlos.

Referencias José F. Torres. Practicas básicas de de seguridad en Windows. 2da. Escuela Venezolana de Seguridad de Cómputo. Agosto 2006. Universidad Autónoma de Madrid. Guía básica de seguridad para Windows . http://www.uam.es/servicios/ti/servicios/ss/rec/winnt.html Microsoft Technet. TechNet: Security Guidance for Server Security Microsoft. Windows Server 2003 Security Guide. Microsot. Security Templates. http://go.microsoft.com/fwlink/?LinkId=14846 http://technet.microsoft.com/es-es/library/cc776029(WS.10).aspx http://www.monografias.com/trabajos16/sistemas-distribuidos/sistemas-distribuidos.shtml http://www.microsoft.com/spain/technet/recursos/articulos/secmod155.mspx http://es.kioskea.net/contents/detection/ids.php3 http://www.operacionesintegradas.com.mx/images/tippingpoint/IPS%20abr06%20Hoja%20de%2 0Datos%20en%20espa%F1ol-INTEGRA.pdf http://www.ximark.com/EthicalHacking/HardeningdeSistemas.aspx